Descrição de chapéu
Robert Muggah

Ataque hacker que atingiu Microsoft e setor militar dos EUA destrói ilusão de segurança na rede

Malware inserido em aplicativos da SolarWinds é parte da campanha de espionagem mais audaciosa da história

  • Salvar artigos

    Recurso exclusivo para assinantes

    assine ou faça login

Robert Muggah

Diretor de Pesquisa do Instituto Igarapé e especialista em segurança e desenvolvimento

[RESUMO]Ação de espionagem cibernética mais audaciosa de que se tem notícia, a inserção de vírus em aplicativos da empresa de software SolarWinds permitiu que hackers se infiltrassem em órgãos do governo americano e empresas do porte da Microsoft, o que pode levar ao roubo de informações secretas por um longo período. Caso escancara as vulnerabilidades dos mecanismos de defesa no meio virtual e, tal como a pandemia de Covid-19, revela o fracasso da cooperação internacional para lidar com esse tipo de contágio.

Enquanto a pandemia de Covid-19 se espalhava pelo mundo, outro vírus misterioso e com efeitos devastadores de longo prazo também se multiplicava despercebido pelo planeta.

Em algum momento entre o final de 2019 e início de 2020, um grupo de hackers experientes inseriu um malware (vírus criado para danificar dados e roubar informações) em aplicativos de rede fornecidos pela SolarWinds, fabricante de softwares de infraestrutura de TI com sede no Texas. A decisão de focar a SolarWinds foi estratégica, dada a vasta clientela da empresa nos Estados Unidos e no mundo.

Exposto publicamente em dezembro, o malware infeccioso —apelidado de Sunburst pela firma de segurança cibernética FireEye e pelo Solarigate da Microsoft— faz parte da campanha de espionagem cibernética mais audaciosa da história. Por meses, os invasores se infiltraram em organizações governamentais e privadas por meio de uma atualização do software de gerenciamento de segurança cibernética Orion.

Fachada da sede da empresa, com galhos de árvores no primeiro plano
Sede da SolarWinds em Austin, no Texas - Sergio Flores - 18.dez.20/Reuters

Como o coronavírus, o Sunburst e outro malware descoberto recentemente revelam o lado negativo da conectividade global e o fracasso da cooperação internacional para lidar também com esse tipo de contágio.

O que diferencia o ataque a SolarWinds dos incidentes anteriores é a sua escala. A empresa tem mais de 300 mil clientes em todo o mundo, de acordo com registros feitos à Comissão de Valores Mobiliários dos Estados Unidos. Ao longo de 2020, a SolarWinds enviou atualizações de software para cerca de 18 mil deles. Até o momento, 250 redes podem ter sido afetadas.

Pouco depois de ser baixado, o vírus executa comandos chamados “jobs”, que criam métodos para transferir arquivos, desativar serviços e reinicializar máquinas. Os alvos incluem os departamentos de Defesa, de Segurança Interna, de Estado, de Energia e de Tesouro dos EUA, as Forças Armadas do país, o setor de segurança nuclear e 425 empresas da lista Fortune 500, que vão desde Cisco e Equifax até Mastercard e Microsoft.

Ao comprometer o governo e as empresas mais poderosos do mundo, incluindo líderes de tecnologia, o ataque à SolarWinds destrói a ilusão da segurança da informação. A situação também assustou o setor de serviços financeiros.

Poucas horas após a descoberta do problema, especialistas em segurança cibernética apontaram o Serviço de Inteligência Estrangeiro da Rússia, ou SVR, como o provável culpado. A unidade de elite de hackers da Rússia, conhecida nos círculos de segurança cibernética como Advanced Persistent Threat 29 (Ameaça Persistente Avançada 29), APT29 ou Cozy Bear, é conhecida há tempos.

Acredita-se que o SVR tenha comandado as violações digitais à Casa Branca, ao Departamento de Estado e do Estado-Maior Conjunto em 2014 e 2015, bem como o infame incidente com o Comitê Nacional Democrata (DNC) durante a campanha eleitoral de 2016. O SVR teria invadido os servidores do DNC ao lado do APT28, também conhecido como Fancy Bear, uma equipe supervisionada pela agência de inteligência russa, a GRU. A GRU supostamente roubou emails e os divulgou na internet.

O Departamento de Justiça dos EUA denunciou 12 russos suspeitos de envolvimento no caso em 2018. Poucos dias depois que o episódio da SolarWinds se tornou público, a Agência de Segurança de Infraestrutura e Cibersegurança dos EUA advertiu que o ataque “representa um risco grave” para os governos federal, estadual e local, bem como para empresas privadas.

Um dos desafios mais frustrantes para as vítimas de ciberespionagem e ciberataques é a dificuldade de identificar seus autores. Embora o episódio da SolarWinds tenha sido associado ao SVR em uma declaração conjunta das agências de inteligência dos EUA na primeira semana de janeiro de 2021, é difícil ter certeza.

Para complicar as coisas, suspeita-se que um outro malware que tinha como alvo a empresa seja oriundo de um grupo diferente. Ao mesmo tempo, os investigadores dos Estados Unidos estão analisando o possível envolvimento da JetBrain, uma empresa tcheca fundada na Rússia, na disseminação de código infectado por meio de seu produto TeamCity.

Por sua vez, a embaixada russa em Washington publicou uma declaração no Facebook negando responsabilidade e descrevendo os ataques como contrários aos interesses da política externa do país. Acrescentou ainda que “a Rússia não conduz operações [cibernéticas] ofensivas”. Contradizendo seu próprio secretário de Estado, o ex-presidente Donald Trump concordou com os russos, sugerindo que a China poderia ser a culpada.

O que também distingue o caso da SolarWinds é a maneira como se deu o ataque e o fato de que pode servir como ponte para ações futuras. Diferentemente do ocorrido em invasões cibernéticas contra empresas como Equifax (2017) e Sony (2014), é extremamente difícil rastrear o que aconteceu e determinar quais dados foram acessados.

As vítimas do ataque da SolarWinds não estavam restritas a uma única organização ou departamento e não é possível simplesmente eliminar o malware limpando o sistema. Ao contrário: os hackers garantiram que teriam acesso de longo prazo adicionando novas credenciais e usando privilégios administrativos para conceder a si próprios permissões para acessar várias partes da infraestrutura de TI de suas vítimas. Assim, o roubo de informações de redes protegidas pode durar anos.

O caso é um exemplo de ataque de cadeia de suprimentos em cascata —o que significa que se estende muito além dos próprios clientes diretos da companhia. Embora ninguém saiba ainda quantos governos e empresas foram afetados, dezenas de milhares de outras entidades estão em risco —muitas das quais têm pouco a ver com a SolarWinds.

Como os produtos da empresa são projetados para monitorar redes digitais e, portanto, estão no centro da infraestrutura de TI, eles têm amplo acesso e poucas restrições ao seu alcance. Para piorar as coisas, a SolarWinds supostamente encorajou os clientes a relaxar as restrições antivírus e de segurança existentes, o que significa que a rede estava mais vulnerável que o normal.

Os invasores fizeram uso desse acesso irrestrito para roubar permissões e códigos-fonte de empresas como a Microsoft e comprometer ainda mais alvos. Um relatório feito pela Microsoft após a ação e amplamente divulgado indicou que cerca de 80% dos 40 clientes identificados como comprometidos estavam sediados nos Estados Unidos, com o restante espalhado por Bélgica, Canadá, Israel, México, Espanha, Reino Unido e Emirados Árabes Unidos.

Mais de 44% dos alvos operavam no setor de tecnologia da informação, outros 27% eram governos e 18%, ONGs, o que mostra os efeitos potencialmente ilimitados de violações nessas redes.

A façanha é um lembrete das linhas tênues que separam a espionagem da guerra —e da dificuldade de formular uma resposta proporcional. Não existe uma norma internacional estabelecida contra a espionagem; a coleta clandestina de informações é uma característica tolerada das relações internacionais.

Quando a espionagem é exposta publicamente, o que normalmente se segue é alguma forma de condenação ou sanções, além de esforços para aprimorar os mecanismos de defesa. No entanto, a vasta escala do ataque à SolarWinds e a grande probabilidade de casos similares ainda não detectados devem forçar uma reflexão. A possibilidade de usar ataques cibernéticos como arma política, inclusive sabotando serviços públicos (como foi o caso em uma recente situação entre Israel e Irã), representa uma ameaça de enormes proporções.

O caso da SolarWinds levanta questões urgentes sobre a governança da internet. Oferece um lembrete perturbador da ausência de salvaguardas globais reconhecidas para prevenir e responder a ataques cibernéticos. Até o momento, o status quo convinha aos Estados Unidos, junto com China, Israel, Coreia do Norte e Rússia. Não é mais o caso.

As últimas revelações sublinham os riscos sistêmicos de adotar uma abordagem laissez-faire para gerenciar os bens comuns digitais. Isso não quer dizer que o problema tenha passado despercebido. Por duas décadas, um grupo governamental de especialistas convocado pelas Nações Unidas tentou estabelecer normas básicas para a governança cibernética, mas as principais potências ainda não chegaram a um acordo sobre princípios. As implicações de não haver regras estabelecidas são mais perigosas do que nunca.

  • Salvar artigos

    Recurso exclusivo para assinantes

    assine ou faça login

Tópicos relacionados

Comentários

Os comentários não representam a opinião do jornal; a responsabilidade é do autor da mensagem.