# Targeting Western Logistics 2024-2025 > [!danger] Russia mapeia rotas de suprimentos OTAN-Ucrania - APT28 e Sandworm ativos > Desde 2024, o [[g0007-apt28|APT28]] (Fancy Bear) e o [[g0034-sandworm|Sandworm]] do GRU russo conduzem uma campanha coordenada de espionagem contra empresas ocidentais de logistica, transporte e defesa envolvidas no apoio material a Ucrania. A campanha explora o CVE-2023-23397 (zero-click NTLM hash leak no Outlook) para roubar credenciais e mapear rotas, cronogramas e manifestos de carga - inteligência diretamente útil para operações militares russas. ## Visão Geral A campanha **Targeting Western Logistics** representa uma das operações de espionagem economica e militar mais significativas do conflito Ucrania-Russia no espaco cibernetico: o GRU russo emprega dois de seus principais grupos - [[g0007-apt28|APT28]] e [[g0034-sandworm|Sandworm]] - em operações complementares contra a cadeia de suprimentos militar ocidental. O objetivo e claro: mapear a logistica de apoio a Ucrania para identificar rotas de suprimento, volumes de armamento, cronogramas de entrega e empresas envolvidas. O vetor de acesso inicial mais eficaz da campanha e a exploração do [[cve-2023-23397|CVE-2023-23397]] - uma vulnerabilidade zero-click no Microsoft Outlook que vaza automaticamente hashes NTLM quando um email especialmente criado e recebido, sem qualquer interação do usuario. Esse hash capturado permite autenticação via **pass-the-hash** (T1078 - Valid Accounts) em servicos corporativos, eliminando a necessidade de senhas em texto claro. Uma vez dentro, o implante [[chopstick|Chopstick/X-Agent]] - malware multiplataforma do APT28 - fornece controle remoto persistente e coleta sistematica de dados logisticos. A campanha foi documentada conjuntamente em advisory conjunto dos governos dos EUA, Reino Unido, Alemanha, Estonia, Letonia e Franca em maio de 2024, destacando a amplitude dos alvos: transportadoras aereas, ferroviarias e rodoviarias, operadores portuarios, empresas de defesa e fornecedores de equipamentos militares em toda a Europa Ocidental. Para o Brasil, o impacto direto e limitado, mas a técnica do CVE-2023-23397 e exportavel: empresas brasileiras com parceiros europeus que utilizam Outlook sem patches recentes podem ser comprometidas como vetores secundarios nesta ou em campanhas similares. ## Attack Flow - Western Logistics Targeting ```mermaid graph TB A["🎯 Spear-phishing Logistica<br/>Funcionarios de transporte/defesa"] --> B["📧 CVE-2023-23397<br/>Zero-click NTLM hash leak Outlook"] B --> C["🔑 Credenciais Roubadas<br/>Acesso via T1078 Valid Accounts"] C --> D["🔧 Chopstick/X-Agent<br/>Implant persistente multiplataforma"] D --> E["🗺 Mapeamento Logistico<br/>Rotas, cronogramas, manifestos"] E --> F["💀 Espionagem Estratégica<br/>Suporte OTAN a Ucrania mapeado"] classDef initial fill:#1a1a3a,color:#aaaaff,stroke:#2980b9 classDef persist fill:#2a1a1a,color:#ffaaaa,stroke:#e74c3c classDef impact fill:#1a3a2a,color:#aaffcc,stroke:#16a085 class A,B initial class C,D persist class E,F impact ``` Campanha ativa de espionagem e sabotagem conduzida pelo [[g0007-apt28|APT28]] e [[g0034-sandworm|Sandworm]] - ambos braços do GRU russo - direcionada a empresas de logística, defesa e transporte ocidentais que suportam a Ucrânia. Detectada e alertada pelo CISA e parceiros da OTAN a partir de 2024. ## Visão Geral Com o prolongamento do conflito na Ucrânia, a inteligência russa intensificou operações de espionagem cibernética contra a cadeia logística de apoio ao país. O objetivo primário é rastrear e potencialmente perturbar o fluxo de equipamentos militares, armas e suprimentos humanitários enviados pelos países da OTAN. ## Alvos Os alvos identificados incluem: - Empresas de logística e transporte que movimentam cargas para a Ucrânia - Contratantes de defesa fornecendo equipamentos militares - Operadores ferroviários e portuários na Europa Oriental - Agências governamentais coordenando assistência militar - Empresas de tecnologia provendo sistemas de rastreamento de remessas ## Técnicas e Táticas ### Acesso Inicial - **[[t1566-001-spearphishing-attachment|T1566.001 - Spearphishing Attachment]]**: Emails direcionados a funcionários de logística com documentos maliciosos - **[[t1190-exploit-public-facing-application|T1190 - Exploit Public-Facing Application]]**: Exploração de VPNs e sistemas de gestão de frota expostos à internet - **[[cve-2023-23397|CVE-2023-23397]]**: Exploração zero-click do Outlook para roubo de credenciais NTLM ### Pós-Comprometimento - **[[t1078-valid-accounts|T1078 - Valid Accounts]]**: Uso de credenciais roubadas para acesso legítimo - Coleta de dados sobre rotas de transporte, cronogramas e cargas - Acesso a sistemas de rastreamento GPS e manifests de carga - Persistência via [[chopstick]] e [[chopstick|x-agent]] ## Atribuição O CISA (EUA), NCSC (Reino Unido), BfV (Alemanha) e parceiros da OTAN atribuíram a campanha ao [[g0007-apt28|APT28]] e [[g0034-sandworm|Sandworm]], ambos ligados ao GRU (Serviço de Inteligência Militar Russo), com alta confiança. Alertas públicos foram emitidos: - CISA/NCSC Joint Advisory sobre ataques à logística ocidental (2024) - NCSC/CERT-EU Joint Advisory - Europol alerta sobre ataques a infraestrutura de transporte ## Malware - **[[chopstick]]** (também chamado SOFACY ou X-Tunnel): Backdoor modular do APT28, comunicação C2 criptografada - **[[chopstick|x-agent]]** (também chamado Sofacy ou Sednit): Implant multiplataforma para espionagem, captura de keystrokes e exfiltração ## Impacto A campanha representa uma ameaça estratégica à capacidade ocidental de suportar a Ucrânia: - Potencial comprometimento de informações sobre entregas de armas - Risco de sabotagem física via acesso a sistemas de controle logístico - Dados de rotas expostos podem informar operações militares russas ## Contexto Geopolítico Esta campanha está diretamente ligada ao conflito Rússia-Ucrânia iniciado em fevereiro de 2022. A lógica operacional: se a Rússia não pode interceptar fisicamente os suprimentos, ela busca mapear o sistema logístico via espionagem cibernética para planejar operações de disrupção. ## Relações - Conduzida por: [[g0007-apt28|APT28]], [[g0034-sandworm|Sandworm]] - Malware: [[chopstick]], [[chopstick|x-agent]] - CVE explorada: [[cve-2023-23397|CVE-2023-23397]] - Relacionada a: [[operation-pawn-storm|Operation Pawn Storm]] (mesmo ator principal) - Afeta setor: [[critical-infrastructure|infraestrutura crítica]], [[government]], [[defense]] - Contexto: conflito [[Rússia]]-[[Ucrânia]] --- *Fonte: [CISA Advisory on Russian Targeting of Western Logistics](https://www.cisa.gov/)* *Fonte: [NCSC-UK Intelligence Summary](https://www.ncsc.gov.uk/)* *Fonte: [Mandiant APT28 Tracking Report](https://www.mandiant.com/)*