Pacific News #288: A guerra nunca muda

Pacific News #288: A guerra nunca muda

Assunto do momento: Como as nações executam a guerra cibernética?

O que aconteceu? Agentes de ameaças patrocinados por Estados são uma ameaça real e usam táticas que variam de acordo com o seu alvo. Uma tendência observada desde 2024, segundo pesquisa publicada em 25 de junho pela DomainTools, é o ataque ao sistema de abastecimento de água de seu adversário. 

Por que isso importa? Estamos falando de ataques à infraestrutura crítica de uma nação e que não dependem de um malware sofisticado, mas de falhas básicas como senhas fracas, PLCs expostos e uma segmentação de rede insuficiente. Como resultado, estes ataques podem ocasionar interrupção ou até envenenamento do abastecimento de águas de uma população inteira.

Os atacantes: Vários agentes executam essas táticas, mas a pesquisa focou em três grupos específicos: Iranianos, especialmente com os CyberAv3ngers; russos, com destaque ao grupo Sandworm e chineses, com o VoltTyphoon executando grande parte destes ataques. 

O cenário geral: Segundo os pesquisadores, estes agentes tratam a infraestrutura de água e esgoto como pontos estratégicos de pressão, sendo o valor do ataque majoritariamente psicológico e político, não cinético. Mesmo um acesso limitado ou uma interrupção breve pode gerar reações desproporcionais.

Saiba mais: Apesar da gravidade, as portas de entrada usadas são falhas básicas, não malware sofisticado. Credenciais fracas ou padrão, HMIs e PLCs expostos, acesso remoto mal protegido, contas compartilhadas, sistemas legados e pouca segmentação entre TI e OT. Isso deveria preocupar qualquer organização, não só operadoras de água, já que esses mesmos sistemas estão presentes em diversos ambientes corporativos. A boa notícia é que blindar os fundamentos já elimina grande parte do risco, e, muitas vezes, basta isso para fazer o atacante desistir e buscar um alvo mais fácil.


Ad blocker para Youtube colocou 10 milhões de usuários em risco

O que aconteceu? Pesquisadores da empresa Island identificaram que a extensão Adblock for YouTube, com mais de 10 milhões de instalações na Chrome Web Store, possuía um mecanismo que poderia executar código JavaScript remotamente em qualquer site visitado, caso fosse ativado por meio de uma configuração no servidor.

Por que isso importa? A funcionalidade poderia ser explorada sem que os usuários precisassem atualizar a extensão ou aprovar novas permissões, aumentando significativamente o potencial de abuso caso fosse comprometida ou utilizada de forma maliciosa.

Os riscos: Se ativado, o recurso poderia permitir o roubo de dados e credenciais, leitura de páginas e execução de ações em nome do usuário. Os pesquisadores afirmam que não há evidências de que a funcionalidade tenha sido usada para ataques, mas a capacidade existia.

O outro lado: A desenvolvedora informou que o recurso nunca foi utilizado e publicou uma atualização para remover a funcionalidade de execução remota e corrigir as falhas apontadas pelos pesquisadores. A atualização ainda depende da aprovação do Google.


Russos foram responsáveis ​​por ataque cibernético à Jaguar Land Rover em 2025

O que aconteceu? Segundo fontes próximas à investigação, o The New York Times relatou que os responsáveis pela invasão eram russos. Ainda não está claro, porém, se eles atuavam diretamente a serviço do governo de Vladimir Putin, se eram criminosos comuns ou se operavam em uma zona intermediária, com aprovação tácita do governo russo.

Por que isso importa? Em 2025, cibercriminosos atacaram a gigante automotiva Jaguar Land Rover (JLR), paralisando a produção por meses e gerando impacto negativo na economia do Reino Unido. Na ocasião, o governo britânico decidiu socorrer a empresa com um aporte de £1,5 bilhão. Estimativas indicam que a invasão custou cerca de US$2,5 bilhões à economia britânica.

Saiba mais: Em um caso raro, embora não inédito no mundo da segurança cibernética, descobriu-se que o grupo russo não foi o único a invadir redes da JLR. De acordo com o The Times, um agente malicioso jordaniano conhecido pelo codinome Rey também teria realizado uma invasão.


Papo Rápido

@Ataques

Dois pesquisadores de segurança identificaram seis falhas no iPhone AirDrop e no Samsung Quick Share, as ferramentas sem fio de compartilhamento de arquivos entre dispositivos em uma mesma rede. Basicamente, um atacante, com um notebook e sem conexão anterior, consegue derrubar o serviço de compartilhamento e fazer parte da mesma rede de compartilhamento sistematicamente. As correções já estão a caminho. (TheHackerNews)

O agente malicioso Aubrey Cottle, ligado ao grupo Anonymous, foi condenado a 18 meses de prisão após admitir seu envolvimento em um ataque de desfiguração de site contra o Partido Republicano do Texas em 2021. (HackRead)

@Patches

A nova versão do Kali Linux já está disponível. No patch 2026.2, a segunda versão do Sistema Operacional neste ano, 9 novas ferramentas foram implementadas e muitas melhorias para o Kali NetHunter. Além disso, para usuários de desktop também houve atualizações, com o sistema usando GNOME 50 e KDE Plasma 6.6. (BleepingComputer)

Uma falha grave no Amazon Q Developer, CVE-2026-12957, permitia que um repositório malicioso executasse comandos e roubasse as credenciais de nuvem de um desenvolvedor. A vulnerabilidade residia na forma como o assistente de codificação de IA da Amazon lidava com servidores do Protocolo de Contexto de Modelo (MCP). O problema foi corrigido no Language Servers for AWS 1.65.0, mas o boletim da AWS orienta os clientes a migrarem para a versão 1.69.0. (TheHackerNews)

@Mundo

A empresa chinesa de cibersegurança 360 revelou o Tulongfeng, uma ferramenta de IA que, segundo a companhia, pode competir de igual para igual com o Mythos, da Anthropic. Já a Sakana AI, uma startup de IA sediada em Tóquio, lançou o Fugu que também afirma se equiparar a modelos líderes. (TechCrunch)

A Aflac Life Insurance Japan, subsidiária japonesa da gigante dos seguros Aflac, anunciou que foi vítima de um ataque cibernético de larga escala que afetou mais de 4 milhões de usuários. O incidente começou no dia 15 de junho e só foi descoberto 10 dias depois, afetando, ao menos, 5 serviços e resultando na exfiltração massiva de dados. (SecurityWeek)


Quer saber mais? Siga-nos nas redes sociais: LinkedinInstagram.
Segurança nunca é demais, ainda mais nos dias de hoje.
Compartilhe o conhecimento, espalhe a segurança!

Siga nossa Newsletter e se mantenha atualizado sobre as últimas tendências em Cybersec!

Escrito por: Thaís Hudari AbibMurilo Lopes e Cíntia Baltar
Arte: George Lopes e Anselmo Costa