# Ember Bear ## Visão Geral **Ember Bear** e um grupo de espionagem cibernética patrocinado pelo Estado russo, atribuido a **Unidade 29155 do GRU** - o 161 Centro Especializado de Treinamento - uma unidade do GRU com historico documentado em assassinatos e operações de influencia fora do ciberespaco (incluindo o envenenamento de Sergei Skripal em Salisbury, 2018). Rastreado como **Cadet Blizzard** (Microsoft), **DEV-0586**, **UNC2589** e **Bleeding Bear**, o grupo e operacionalmente distinto do [[g0034-sandworm|Sandworm]] (Unidade 74455) e do [[g0007-apt28|APT28]] (Unidade 26165). Em janeiro de 2022, semanas antes da invasao russa da Ucrania, o Ember Bear foi responsavel pelo lancamento do **[[whispergaté|WhisperGaté]]**, um wiper disfarado de ransomware contra dezenas de organizacoes ucranianas - o primeiro ato cibernetico confirmado do preambulo da invasao. O grupo também realizou defacement massivo de sites governamentais ucranianos com mensagens como "Tenha medo e espere o pior". > [!danger] Unidade de Operacoes Especiais do GRU > A Unidade 29155 e única no ecossistema de ameaças russas por combinar **operações fisicas (assassinatos, envenenamentos)** com **ciberespionagem e sabotagem**. Esta fusao de capacidades representa uma ameaça de espectro completo raramente vista em outros atores estatais. > [!info] WhisperGaté - Primeiro Tiro da Guerra > O lancamento do WhisperGaté em 13-14 janeiro 2022 foi interpretado como operação preparatoria para a invasao de 24 fevereiro. O malware combinava um falso ransom note com destruicao irrecuperavel de MBR e sobrescrita de arquivos - tipico de false-flag (encenacao de ransomware para cobrir sabotagem). ## Attack Flow - Wiper + Espionagem ```mermaid graph TB A["Reconhecimento<br/>Vulnerability scanning T1595.002<br/>Mapeamento de infra ucraniana<br/>OSINT sobre alvos"] --> B["Acesso Inicial<br/>Exploit publico T1190<br/>External remote services T1133<br/>Brute force T1110"] B --> C["Foothold<br/>P.A.S. Webshell<br/>Responder + Bloodhound<br/>Credenciais AD T1003"] C --> D["Movimento Lateral<br/>CrackMapExec, PsExec<br/>RDP, lateral tool transfer<br/>Log enumeration T1654"] D --> E["Coleta<br/>Email collection T1114<br/>Automated collection T1119<br/>Video capture T1125"] E --> F["Impacto<br/>WhisperGaté wiper<br/>MBR destruction<br/>False-flag ransomware note"] ``` ## WhisperGaté - Anatomia do Wiper O [[whispergaté|WhisperGaté]] e um malware de tres estagios com design de false-flag: **Estagio 1 - MBR Overwrite:** Substitui o Master Boot Record com nota de "ransomware" falsa. O sistema nao inicializa mais - sem possibilidade de recuperacao sem backup. **Estagio 2 - Downloader:** Um pequeno executavel que baixa o payload de estagio 3 de um canal Discord comprometido. **Estagio 3 - File Corruptor:** Sobrescreve arquivos com extensoes específicas (.exe, .docx, .xlsx, etc.) com dados aleatorios. Os arquivos parecem existir mas o conteudo e irrecuperavel. A nota exibida imita ransomware convencional (pedindo US$ 10.000 em Bitcoin), mas o objetivo e destruicao, nao extorsao - caracteristica de operação de sabotagem estatal. ## Perfil Tecnico O Ember Bear combina ferramentas de código aberto com malware proprio, privilegiando velocidade operacional sobre sofisticacao: - **[[whispergaté|WhisperGaté]]:** Wiper proprio com design de false-flag - **[[s1018-saint-bot|Saint Bot]]:** Loader customizado para entrega de payloads secundarios - **[[s0598-pas-webshell|P.A.S. Webshell]]:** Shell de acesso remoto PHP usada em sistemas Linux/web servers - **[[s0521-bloodhound|BloodHound]]:** Mapeamento de Active Directory - **[[s0488-crackmapexec|CrackMapExec]]:** Lateral movement em redes Windows - **[[s1040-rclone|Rclone]]:** Exfiltração para cloud storage - **[[s0508-ngrok|ngrok]] / [[s1187-regeorg|reGeorg]]:** Tunneling e evasão de firewall ## Técnicas Utilizadas - [[t1190-exploit-public-facing-application|T1190 - Exploit Public-Facing Application]] - [[t1133-external-remote-services|T1133 - External Remote Services]] - [[t1003-os-credential-dumping|T1003 - OS Credential Dumping]] - [[t1018-remote-system-discovery|T1018 - Remote System Discovery]] - [[t1090-003-multi-hop-proxy|T1090.003 - Multi-hop Proxy]] - [[t1114-email-collection|T1114 - Email Collection]] - [[t1583-acquire-infrastructure|T1583 - Acquire Infrastructure]] - [[t1560-archive-collected-data|T1560 - Archive Collected Data]] - [[t1036-masquerading|T1036 - Masquerading]] - false-flag ransomware - [[t1595-002-vulnerability-scanning|T1595.002 - Vulnerability Scanning]] - [[t1583-003-virtual-private-server|T1583.003 - Virtual Private Server]] - [[t1654-log-enumeration|T1654 - Log Enumeration]] - [[t1119-automated-collection|T1119 - Automated Collection]] - [[t1571-non-standard-port|T1571 - Non-Standard Port]] - [[t1070-004-file-deletion|T1070.004 - File Deletion]] - [[t1570-lateral-tool-transfer|T1570 - Lateral Tool Transfer]] - [[t1095-non-application-layer-protocol|T1095 - Non-Application Layer Protocol]] - [[t1125-video-capture|T1125 - Video Capture]] - [[t1572-protocol-tunneling|T1572 - Protocol Tunneling]] - [[t1110-brute-force|T1110 - Brute Force]] ## Software Utilizado - [[whispergaté|WhisperGaté]] - [[s1018-saint-bot|Saint Bot]] - [[s0598-pas-webshell|P.A.S. Webshell]] - [[s0488-crackmapexec|CrackMapExec]] - [[s0174-responder|Responder]] - [[s0508-ngrok|ngrok]] - [[s1187-regeorg|reGeorg]] - [[psexec|PsExec]] - [[s1040-rclone|Rclone]] - [[s0521-bloodhound|BloodHound]] ## Relevância para o Brasil e LATAM > [!warning] Risco Indireto - Modelo de Conflito Cibernetico > O Ember Bear e o modelo de referência para como um Estado usa ciberataques coordenados com operações militares. Brasil e LATAM devem usar o caso ucraniano como exercicio de simulacao de ameaça para infraestrutura critica, especialmente setores de telecomúnicacoes e governo. O risco direto ao Brasil e baixo-moderado. Porém: - **Modelo de ameaça relevante:** Diplomaticos, pesquisadores de defesa e analistas de segurança em LATAM que lidam com conflito russo-ucraniano podem ser alvos secundarios - **Capacidade de exploitation de vulns públicas** (T1190) e transversal a qualquer regiao - **Padroes de wiper** como false-flag ransomware devem ser incluidos em modelos de ameaça para infraestrutura critica brasileira - A **Unidade 29155 tem historico de operações fisicas** - risco nao apenas cibernetico para individuos de interesse da Russia ## Referências - MITRE ATT&CK: [G1003](https://attack.mitre.org/groups/G1003/) - Microsoft MSTIC - Cadet Blizzard Profile (2023) - CISA/NSA/FBI Advisory - WhisperGaté (2022) - WashPost - GRU Unidade 29155 e sabotagem na Europa - [[g0034-sandworm|Sandworm]] - Unidade 74455 GRU (sabotagem ICS) - [[g0007-apt28|APT28]] - Unidade 26165 GRU (espionagem) - [[g0047-gamaredon|Gamaredon]] - FSB, foco Ucrania - [[government|Governo]] - [[critical-infrastructure|Infraestrutura Critica]] - [[telecommunications|Telecomúnicacoes]]