Algumas empresas de cibersegurança já tinham afirmado que hackers russos estavam por trás de uma campanha de ciberataques sob o nome de Sofacy/APT 28 (que visou instituições ocidentais como a NATO) e Sandworm (que provocou um vasto corte de eletricidade no oeste da Ucrânia em 23 de dezembro). "Uma das campanhas mais ativas e agressivas do momento é a campanha Sofacy/APT 28. O Gabinete de Proteção da Constituição (a agência de serviços de inteligência) vê indícios de uma manobra estatal russa", afirmou em comunicado o chefe da inteligência interna alemã, Hans-Georg Maassen.

"Os ciberataques dos serviços de inteligência russos formam parte de operações de alcance internacional que tentam obter informações estratégicas. Algumas destas operações podem remontar a um período de entre sete a 11 anos", afirma o documento, que evoca uma "guerra híbrida". Geralmente, os computadores visados são infectados por meio de ataques de phishing, uma técnica que visa recolher dados pessoais, incluindo palavras-passe, dos utilizadores.

O Bundestag, câmara baixa do Parlamento alemão, foi atacado na primavera de 2015 pelo vírus Troie Sofacy, que "comprometeu a sua rede de dados". Mas a agência interior de inteligência da Alemanha também citou "a campanha Sandworm" que tem um "objetivo de cibersabotagem". "Além das instituições governamentais, os alvos (dos ataques) são empresas de telecomunicações, de energia e universidades e instituições educacionais", informa a mesma fonte.

Segundo o chefe do serviço de inteligência alemão, o "ciberespaço é um lugar para uma guerra híbrida" e abriu "novos espaços para a espionagem e a sabotagem". "A segurança informática das instituições governamentais, administrativas, económicas, científicas e de investigação está permanentemente ameaçada", declarou.

O partido conservador da chanceler Angela Merkel, a CDU, confirmou ter sido alvo de um ataque no mês passado. "Adaptamos a nossa infra-estrutura de IT", indicou o partido.

NATO, Ucrânia e opositores russos na mira

De acordo com especialistas em segurança cibernética, o Sofacy já tinha atacado no passado os servidores do gabinete holandês de segurança (OVV) para obter o relatório sobre a queda do voo MH17 no leste da Ucrânia. O inquérito internacional apontou que foi um míssil do tipo BUK de fabricação russa, utilizado pelo rebeldes pró-russos, que a 17 de julho de 2014 derrubou o Boeing 777 da Malaysia Airlines, uma versão negada pela Rússia.

"A operação Sofacy é uma campanha de ciberespionagem abrangente e ambiciosa. Tem como principais alvos militares, embaixadas, funcionários de empresas de defesa americanas e os seus aliados, incluindo instituições governamentais e a NATO", resumiu num relatório de janeiro de 2016 a empresa de cibersegurança Trend Micro, com sede no Japão. "Grupos de oposição, dissidentes do governo russo, meios de comunicação internacionais e líderes políticos na Ucrânia também têm sido alvos", acrescenta.

O canal de televisão francês TV5 Monde também foi vítima de um ataque similar a 8 de abril de 2015. Os seus programas, transmitidos em mais de 200 países e territórios em todo o mundo, foram interrompidos e substituídos por um ecrã preto. Ao mesmo tempo, o canal perdeu o controlo das suas contas no Facebook e Twitter, enquanto os sites apresentavam reivindicações do grupo jihadista Estado islâmico. Uma fonte judicial francesa tinha mencionado em junho de 2015 a provável responsabilidade de "hackers russos".