A principal agência de inteligência da Rússia lançou mais uma campanha para penetrar em milhares de redes de computadores do governo, de empresas e "think tanks" dos Estados Unidos, alertaram funcionários da Microsoft e especialistas em segurança cibernética neste domingo (24).
O caso vem à tona poucos meses depois que o presidente Joe Biden impôs sanções em resposta a uma série de operações de espionagem sofisticadas conduzidas pela Rússia em todo o mundo.
A nova iniciativa é "muito grande e está em andamento", segundo Tom Burt, um dos principais executivos de segurança da Microsoft. Funcionários do governo confirmaram que a operação, aparentemente destinada a adquirir dados armazenados na nuvem, parecia partir do Serviço de Inteligência Estrangeiro (SVR), agência russa que foi a primeira a entrar nas redes do Comitê Nacional Democrata durante as eleições de 2016.
A Microsoft insistiu que a porcentagem de violações bem-sucedidas é pequena, mas não forneceu informações suficientes para medir com precisão a gravidade do furto.
No início deste ano, a Casa Branca culpou o SVR pela invasão chamada SolarWinds, um esforço altamente sofisticado para alterar o software usado por agências governamentais e pelas maiores empresas dos EUA, dando aos russos amplo acesso a 18 mil usuários. Biden disse que o ataque minou a confiança nos sistemas básicos do governo e prometeu retaliação tanto pela intrusão quanto pela interferência eleitoral. Mas quando ele anunciou sanções contra instituições financeiras e empresas de tecnologia russas, em abril, reduziu as penalidades.
"Eu deixei claro para o presidente Putin que poderíamos ter ido mais longe, mas optei por não fazê-lo", disse Biden na ocasião, após ligar para o líder russo, Vladimir Putin. "Agora é a hora de diminuir a escalada."
As autoridades americanas insistem que o tipo de ataque relatado pela Microsoft se enquadra na categoria do tipo de espionagem que as grandes potências conduzem regularmente umas contra as outras. Ainda assim, a operação sugere que, enquanto os dois governos dizem estar se reunindo regularmente para combater o ransomware e outros males da era da internet, o enfraquecimento das redes continua veloz, numa corrida armamentista que se acelerou à medida que os países buscavam dados da vacina para Covid-19 e uma série de segredos industriais e governamentais.
"Espiões espionam", diz John Hultquist, vice-presidente de análise de inteligência da Mandiant, empresa que primeiro detectou o ataque SolarWinds, na Conferência Cipher Brief Threat em Sea Island, no domingo, onde se reuniram muitos especialistas cibernéticos e autoridades de inteligência. "Mas o que aprendemos com isso é que o SVR, que é muito bom, não está desacelerando."
Não está claro o sucesso da última campanha. A Microsoft disse que notificou recentemente mais de 600 organizações que foram alvo de cerca de 23 mil tentativas de invasão em seus sistemas. Em comparação, a empresa disse ter detectado apenas 20,5 mil ataques direcionados de "todos os atores de Estados-nações" nos últimos três anos.
Segundo a empresa, uma pequena porcentagem das tentativas mais recentes foi bem-sucedida, mas não foram dados detalhes ou indicação de quantas organizações foram comprometidas.
Autoridades americanas confirmaram que a operação, que consideram espionagem de rotina, está em andamento, mas insistiram que, se fosse bem-sucedida, a culpa seria da Microsoft e de provedores semelhantes de serviços em nuvem.
Um funcionário sênior do governo chamou os ataques mais recentes de operações simples e sem sofisticação, que poderiam ter sido evitadas se os provedores de serviços em nuvem tivessem implementado práticas básicas de segurança cibernética.
Segundo ele, a responsabilidade de implementar práticas simples de segurança cibernética para trancar portas digitais é do setor privado.
Autoridades do governo têm pressionado para colocar mais dados na nuvem porque é muito mais fácil proteger as informações lá. (A Amazon detém o contrato de nuvem da CIA; durante o governo Trump, a Microsoft ganhou um grande contrato para levar o Pentágono para a nuvem, embora o programa tenha sido cancelado recentemente pelo governo Biden, em meio a uma longa disputa jurídica sobre como foi concedido.)
O ataque mais recente dos russos, segundo especialistas, foi um lembrete de que mudar para a nuvem não é a solução —especialmente se aqueles que administram as operações da nuvem usarem segurança insuficiente.
A Microsoft disse que o ataque se concentrou em seus "revendedores", empresas que personalizam o uso da nuvem para empresas ou instituições acadêmicas. Os hackers russos aparentemente calcularam que, se pudessem se infiltrar nos revendedores, essas empresas teriam acesso de alto nível aos dados que eles queriam —emails do governo, tecnologias de defesa ou pesquisa de vacinas.
A agência de inteligência russa estava "tentando replicar a abordagem usada em ataques anteriores, visando organizações integrantes da cadeia de suprimentos de tecnologia da informação global", diz Burt.
No caso da SolarWinds no final do ano passado, visar a cadeia de suprimentos significou que os hackers russos mudaram sutilmente o código de computador do software de gerenciamento de rede usado por empresas e agências governamentais, inserindo clandestinamente o código corrompido no momento em que estava sendo enviado para 18 mil usuários.
Assim que esses usuários atualizaram para uma nova versão do software —da mesma forma que dezenas de milhões de pessoas atualizam um iPhone a cada poucas semanas, por exemplo—, os russos de repente tiveram acesso a toda a sua rede.
No último ataque, o SVR, conhecido como operador furtivo no mundo cibernético, usou técnicas mais semelhantes à força bruta. Conforme descrito pela Microsoft, a incursão envolveu principalmente a implantação de um enorme banco de dados de senhas roubadas em ataques automatizados com o objetivo de levar hackers do governo russo aos serviços em nuvem da Microsoft. É uma operação mais confusa e menos eficiente —que só funcionaria se alguns dos revendedores de serviços em nuvem da Microsoft não tivessem imposto algumas das práticas de segurança cibernética que a empresa exigiu deles no ano passado.
A Microsoft disse que fará mais para que seus revendedores cumpram as obrigações contratuais de implementar medidas de segurança.
"O que os russos estão procurando é acesso sistêmico", afirma Christopher Krebs, que dirigiu a Agência de Segurança Cibernética e de Infraestrutura no Departamento de Segurança Interna até ser demitido pelo presidente Donald Trump no ano passado, por declarar que as eleições de 2020 haviam sido disputadas honestamente e sem fraude significativa. "Eles não querem tentar entrar nas contas uma por uma."
Autoridades federais dizem que estão usando agressivamente novas autorizações de Biden para proteger o país contra ameaças cibernéticas, notando particularmente um novo e amplo esforço internacional para desmantelar bandos de ransomware, muitos deles sediados na Rússia.
Com uma equipe nova e muito maior de autoridades graduadas supervisionando as operações cibernéticas do governo, Biden tem tentado impor mudanças de segurança que devem tornar muito mais difícil realizar ataques como o mais recente.
Comentários
Os comentários não representam a opinião do jornal; a responsabilidade é do autor da mensagem.