A Check Point Research (CPR), divisão de Inteligência em Ameaças da Check Point Software, analisou uma série de atividades de hackers que lançaram recentemente uma campanha DDoS (ataques de negação de serviço distribuído) contra mais de 50 organizações francesas em apoio ao CEO do Telegram, Pavel Durov, que foi preso pelas autoridades francesas no dia 24 de agosto deste ano.
Chamada de #FreeDurov ou #OpDurov, a campanha de hacktivismo foi iniciada pelo pró-Rússia Exército Cibernético Popular da Rússia e grupos pró-islâmicos RipperSec e agora tem dezenas de membros. Os hacktivistas têm uma dupla motivação ao apoiar o Durov, que foi recentemente preso pelas autoridades francesas. Esses agentes de ameaça dependem do Telegram para se comunicar com seus membros e para divulgar suas agendas de forma mais ampla, tornando-o uma ferramenta importante para seus propósitos.
“Embora não seja surpreendente que o esforço esteja sendo liderado por grupos pró-russos e pró-islâmicos, que possivelmente têm grandes interesses em apoiar Durov, o que chama a atenção é a rapidez com que dezenas de outros grupos se uniram em uma campanha coordenada de hacktivismo contra mais de 50 organizações francesas”, explica Sergey Shykevich, gerente do Grupo de Inteligência de Ameaças da Check Point Research (CPR).
Grupos participantes da campanha
– Cyber Army of Russia Reborn (CARR)
O CARR, também conhecido como Russian Cyber Army Team, foi criado em março de 2022, logo após o início da guerra entre Rússia e Ucrânia. O grupo mira principalmente a Ucrânia e seus aliados com ataques DDoS e já realizou ataques significativos, como comprometer sistemas SCADA de companhias de água nos Estados Unidos, Polônia e França. Recentemente, o CARR foi sancionado pelo Departamento de Estado dos Estados Unidos por atacar infraestrutura crítica nos país e na Europa.
O grupo é afiliado ao serviço de inteligência militar da Rússia e ao grupo Sandworm, relacionado ao Departamento Central de Inteligência da Rússia, abreviado como GRU. Em 3 de setembro de 2024, o canal principal do CARR no Telegram tinha 62.181 membros. Após anunciar a operação #FreeDurov em 24 de agosto, às 22h23, o CARR começou a direcionar ataques DDoS a organizações francesas.
– RipperSec
RipperSec é um grupo hacktivista pré-islâmico, provavelmente malaio, criado em junho de 2023. Os alvos anteriores do grupo incluíram organizações em Israel, entidades governamentais nos Estados Unidos e infraestruturas bancárias na Índia. O RipperSec reivindicou ataques ao X (o antigo Twitter) durante a recente entrevista de Donald Trump com Elon Musk, usando sua própria ferramenta DDoS chamada MegaMedusa.
O grupo, acredita-se, tem origem na Malásia, embora afirmem que o fundador faleceu e que atualmente são liderados por um líder de Cingapura. Em 3 de setembro de 2024, o canal do Telegram do grupo tinha 3.083 membros.
– CyberDragon
CyberDragon é um grupo hacktivista pró-russo criado em setembro de 2023. O grupo ataca esporadicamente várias organizações ucranianas e entidades da OTAN em apoio à Rússia. Antes de se engajar na #FreeDurov, o CyberDragon conduziu uma campanha chamada #OP404, em coordenação com outros grupos hacktivistas pró-russos, visando provedores de hospedagem ucranianos.
Em 26 de agosto, o CyberDragon anunciou sua participação na #FreeDurov, afirmando que os governos europeus querem controlar o Telegram e que o ataque foi realizado em conjunto com o grupo CARR.
– UserSec
UserSec é um grupo hacktivista pró-russo em operação desde, pelo menos, 2022. O canal atual do grupo no Telegram tinha 8.124 membros em 3 de setembro de 2024, e o grupo mira principalmente estados-membros da OTAN.
Em 25 de agosto de 2024, o UserSec publicou um post apoiando a operação #FreeDurov e anunciou que atacaria entidades francesas em colaboração com o CARR.
– EvilWeb
EvilWeb é um grupo hacktivista pró-russo criado em março de 2024. Como parte do apoio à narrativa russa, o grupo atacou várias entidades americanas e europeias, operando em um método de hack-and-leak em paralelo com ataques DDoS tradicionais.
O EvilWeb alega ter obtido dados de várias organizações americanas de alto perfil. Em 3 de setembro de 2024, o canal do Telegram do EvilWeb tinha 1.146 membros. O grupo anunciou sua participação na operação #FreeDurov em 25 de agosto de 2024 e começou a executar ataques de DDoS e hacking.
– STUCX Team
O STUCX Team é um grupo hacktivista malaio em operação desde pelo menos março de 2023. Antes de 7 de outubro de 2023, o grupo atacou entidades indianas com ataques DDoS. Após o início da guerra entre Israel e Hamas (em 7 de outubro), o STUCX Team começou a atacar organizações israelenses e, mais recentemente, realizou uma campanha de defacement e DDoS na Argentina. Em 26 de agosto, o grupo publicou um post apoiando #FreeDurov e começou a direcionar ataques à França.
Em resumo, a prisão do fundador do Telegram, Pavel Durov, ressoou entre vários grupos hacktivistas, principalmente pró-russos e pró-islâmicos. O sentimento dos grupos em relação a Durov varia: alguns apenas expressaram apoio, enquanto outros se preocupam com a segurança operacional do Telegram e afirmam que a OTAN quer coagir Durov a ser submisso.
Grupos russos proclamam que Durov é “um dos nossos” e engajam-se na ciberespionagem por razões patrióticas. Além disso, o Telegram é um dos principais facilitadores das atividades hacktivistas, então esses grupos seriam os primeiros a sofrer com possíveis retrocessos de privacidade na plataforma.
Com a libertação de Durov da custódia policial, a campanha #FreeDurov parece ter entrado em uma fase de espera, aguardando a próxima ação das autoridades francesas.