Alguns tipos de agressão online são “barulhentos” e é quase certeza que chamem atenção, como o multifacetado ataque russo às eleições presidenciais de 2016. E alguns outros são “silenciosos” e mais lembram as sutis operações espião-contra-espião ficcionalizadas nos romances do grande John LeCarré.
O extenso hack russo que fez com que o governo americano e as autoridades corporativas se mexessem nos últimos dias parece ter sido uma espécie de espionagem online silenciosa e sofisticada.
Os investigadores da empresa de segurança cibernética FireEye, que foi vítima da operação, ficaram impressionados com o fato de as táticas meticulosas envolverem “algumas das melhores operações de segurança” que seus investigadores já viram, empregando no mínimo um software malicioso que nunca fora detectado anteriormente.
“É espionagem clássica”, disse Thomas Rid, professor de ciências políticas da Escola de Estudos Internacionais Avançados da Johns Hopkins, especializado em questões de segurança cibernética. “Foi feita de uma maneira altamente sofisticada (...). Mas é uma operação camuflada”.
O impacto pode se revelar profundo. A SolarWinds, fabricante do software de gerenciamento de rede muito utilizado que os russos manipularam para possibilitar suas intrusões, relatou em um documento federal na segunda-feira que talvez tenham sido afetados “menos de 18 mil” de seus clientes.
Trata-se de uma pequena fração dos mais de 300 mil clientes da empresa em todo o mundo, entre os quais se encontram o Pentágono e a Casa Branca, mas ainda representa um grande número de redes importantes. (A Rússia negou qualquer participação nos ataques).
Em uma postagem de blog na qual explica a natureza do ataque, a FireEye relatou que entre as vítimas estão “entidades de consultoria, tecnologia, telecomunicações e governo na América do Norte, Europa, Ásia e Oriente Médio. Acreditamos que há vítimas adicionais em outros países e setores”.
Somente no governo dos Estados Unidos, os alvos conhecidos incluem os departamentos de Tesouro, Comércio e Segurança Interna, e o impacto provavelmente será muito mais amplo, devido ao vasto uso de ferramentas de rede da SolarWinds, empresa que tem sede em Austin, Texas.
A notícia potencialmente boa é que os ataques silenciosos tendem a priorizar entradas e saídas clandestinas, evitando saques generalizados a sistemas que possam alertar as barreiras defensoras.
Os hackers silenciosos geralmente se preocupam mais em cobrir seus rastros do que em simplesmente fazer backup de um grande arquivo digital e levar tudo o que conseguem.
Mas a notícia potencialmente ruim é que ataques silenciosos podem ser eficazes na coleta de informações confidenciais altamente específicas ao longo de meses ou mesmo anos.
Embora os detalhes do que foi tirado de quem ainda não sejam públicos – as agências e as próprias empresas podem demorar um pouco para descobrir – a operação russa remonta pelo menos a março e esteve ativa até domingo.
Trata-se de um período de nove meses que abrangeu – para mencionar apenas alguns dos eventos mais obviamente importantes que teriam criado imensas quantidades de arquivos de computador interessantes para os espiões – o pior da pandemia de coronavírus, o desenvolvimento mais rápido da história de vacinas que empregam novas tecnologias e, é claro, as eleições presidenciais e parlamentares dos Estados Unidos.
“Não é uma questão de quantidade, mas de qualidade” dos alvos, disse John Hultquist, gerente de análise da FireEye.
“A SolarWinds claramente era uma porta pela qual eles podiam passar”, acrescentou. “Estamos fechando essa porta. Mas eles ainda estão nessas organizações. Muitas equipes de segurança da informação estão trabalhando nesse problema agora e provavelmente continuarão trabalhando até o Natal”.
Mas, como Rid observou, até agora o episódio parece ser um caso de espionagem digital clássica, do tipo que as principais nações, incluindo os Estados Unidos, promovem todos os dias para ganhar vantagens geopolíticas de vários tipos.
E, até agora, tem sido muito menos barulhento e perturbador do que a série de esforços que os russos empreenderam em 2016, quando hackers do país invadiram sistemas eleitorais, infiltraram-se nas conversas das redes sociais com centenas de contas fictícias e roubaram e-mails confidenciais dos democratas e os vazaram em momentos-chave de uma campanha presidencial muito acirrada.
Aquele esforço de 2016, conduzido pela unidade de inteligência militar russa, a GRU, e pela semi-independente Agência de Pesquisa em Internet, deixou um rastro notório de evidências, que foi descoberto por investigadores do governo e do mundo corporativo.
O esforço de 2020, por outro lado, parece ter sido trabalho do SVR, o serviço de inteligência estrangeira da Rússia, que é especializado em espionagem digital mas consta em poucos registros conhecidos de campanhas de desinformação online colocadas em prática.
O hack recente foi, segundo consta, direcionado e cuidadoso, vindo à tona somente após a FireEye — uma das principais empresas de segurança online dos EUA — ter sido ela mesma alvo dos hackers, que roubaram potentes ferramentas para ciberataques que a FireEye usava para fins de pesquisa.
“Vai demorar algum tempo até conhecermos a lista completa das organizações que foram vítimas. Os clientes da Solar Winds estão correndo para examinar seus registros e responder ao incidente”, afirmou John Scott-Railton, pesquisador sênior do Citizen Lab, da Faculdade Munk de Assuntos Globais e Políticas Públicas da Universidade de Toronto. “Entender o que foi roubado e o que os hackers deixaram para trás vai levar ainda mais tempo. Essa tarefa será complexa, pelo fato de, aparentemente, os hackers terem tomado muito cuidado em disfarçar sua ação como uma atividade legítima.”
Os hackers usaram técnicas em múltiplas etapas, que aparentemente começaram com a invasão das credenciais de alguém da SolarWinds. Isso permitiu aos russos manipular atualizações de software de sistemas que dependem do Orion, uma popular ferramenta da empresa que viabiliza um grau de acesso profundo a redes de computadores.
As atualizações de correção de software, que contêm assinaturas digitais verificando sua autenticidade, são alvos ideais para hackers, mas são alvos controvertidos, porque podem comprometer a fé no próprio processo de atualização — uma chave para boas práticas de segurança online para computadores e sistemas de todo o mundo.
As atualizações de correção de software adulteradas — que a FireEye afirma, em seu blog, terem sido transformadas em “cavalos de Tróia”, um termo que deriva do cavalo usado pelos gregos para enganar os inocentes moradores da cidade fortificada de Tróia para, assim, invadi-la e saqueá-la — foram entregues aos usuários do Orion entre março e maio.
Os investigadores chamaram essas versões “troianas" da atualização de “Sunburst". Elas ficavam dormentes por até duas semanas antes de começar a executar comandos silenciosamente dentro das redes de computadores, estabelecendo contato com um domínio de “comando e controle” externo. O malware disfarçava suas transmissões, fazendo com que parecessem comunicações comuns entre sistemas, quando, na verdade, eram controladas pelos hackers.
Mas esses passos iniciais não desencadeavam, necessariamente, um ataque hacker em cada sistema que recebia as atualizações troianas, de acordo com o que foi detalhado no blog da FireEye. Em vez disso, a empresa descreve um cenário em que o malware entregue pela atualização do SolarWinds criava uma espécie de porta dos fundos, que os russos eram capazes de abrir sempre que quisessem.
Posteriormente, os hackers invadiam redes específicas, deixando um “discreto rastro de malware”, o que envolvia criar e deletar arquivos enquanto avançavam na invasão. Eles também roubavam e utilizavam credenciais autênticas e senhas dos usuários dos sistemas hackeados, para disfarçar ainda mais sua atividade, enquanto avançavam pelas redes de computadores, de acordo com a FireEye.
Os investigadores encontraram pelo menos uma ferramenta que foi aparentemente construída sob medida, apelidada de "Teardrop" [lágrima]. Os hackers também adotaram vários passos subsequentes para desbloquear os segredos mantidos nas redes de computadores.
Para tornar esse processo ainda mais complexo, os hackers usaram endereços de IP localizados nos mesmo países em que os sistemas estavam instalados, evitando comunicações obviamente reveladoras com computadores localizados em Moscou, por exemplo.
O blog da FireEye descreveu maneiras pelas quais administradores de redes podem ter detectado — e talvez ainda possam detectar — evidências dos ataques de hackers da Rússia. Mas a empresa também deixou claro: esse foi um caso de espionagem dedicada a estar um passo à frente dos investigadores por tanto tempo quanto possível. / Tradução de Augusto Calil
