Na segunda-feira, um grupo de hackers, ShadowBrokers anunciou um leilão para o que chamaram de “armas cibernéticas” criadas pela NSA (Agência de Segurança Nacional dos EUA). Com base em documentos inéditos, fornecidos por Edward Snowden, o The Intercept confirma que o arsenal contém softwares autênticos da NSA, que são parte de um conjunto de ferramentas usadas para infectar secretamente computadores de todo o mundo.

A origem da linha de código tem sido motivo de uma discussão acirrada entre especialistas em segurança cibernética nessa semana, mas, embora seja incerto como o software foi obtido — alguns analistas responsabilizam os russos e outros levantam a hipótese de uma ação unilateral por parte de um funcionário insatisfeito da NSA —, uma coisa é certa: o malware está coberto de impressões digitais virtuais da NSA e a origem é indiscutivelmente a agência.

A prova que vincula os documentos dos ShadowBrokers à NSA vem na forma de um manual da agência sobre como implantar malware, classificado como top secret (ultraconfidencial) e não publicado até o momento. A versão provisória do manual instrui operadores da agência a monitorar o uso de um programa de malware usando uma sequência de 16 caracteres específica: “ace02468bdf13579”. A mesma sequência aparece por todo o material vazado pelos ShadowBrokers, em linhas de código associadas ao mesmo programa, SECONDDATE.

O SECONDDATE tem uma função especializada em complexo sistema global criado pelo governo dos EUA para infectar e monitorar aquilo que um dos documentos estima serem milhões de computadores por todo o mundo. A divulgação do programa, acompanhada da divulgação de dezenas de ferramentas maliciosas, é primeira vez em que cópias completas de softwares de ataque da NSA são disponibilizados para o público, mostrando um pouco de como funciona um dos elaborados sistemas presente nos documentos fornecidos por Snowden quando implementados no mundo real, assim como exibindo provas concretas de que os hackers da NSA nem sempre têm a palavra final quando o assinto é exploração de computadores.

Mas softwares maliciosos com esse nível de sofisticação não são uma ameaça apenas para outros países, contou ao The Intercept o criptógrafo Matthew Green:

O risco desse tipo de software é que podem ser usados contra qualquer roteador vulnerável. É como deixar ferramentas de arrombamento de cadeado na cantina de uma escola secundária. Na verdade, é pior do que isso, porque muitos desses softwares maliciosos não se encontram disponíveis por outros meios, portanto, só estão sendo descobertos agora pelos fabricantes, e usuários vulneráveis, que precisam atualizar seus firewalls e roteadores.

Então o risco é duplo: parte dele é que essas informações já podem ter sido usadas contra os EUA pelos responsáveis pelo roubo. Se, de fato, tiverem sido roubadas pela Rússia, conclui-se que os russos já têm seus próprios softwares maliciosos, não se fazendo necessário fornecê-los com mais deles. E agora, que os softwares maliciosos foram revelados, corre-se o risco de que criminosos comuns os usem contra alvos corporativos.

A NSA não respondeu às perguntas sobre o grupo ShadowBrokers, os documentos de Snowden ou o malware.

SECONDDATE (segundo encontro)

As ferramentas de ataque divulgadas pelos ShadowBrokers encontram-se organizadas sob uma lista de codinomes, como POLARSNEEZE e ELIGIBLE BOMBSHELL, mas suas finalidades exatas ainda estão sendo estudadas. No entanto, temos mais informações sobre uma das armas em específico: SECONDDATE.

SECONDDATE é uma ferramenta desenvolvida para interceptar solicitações da web e redirecionar os navegadores dos computadores atacados para um servidor da web da NSA. O servidor, por sua vez, foi desenvolvido para infectá-los com malware. A existência do SECONDDATE foi publicada pela primeira vez pelo The Intercept em 2014, como parte de uma matéria sobre os esforços de exploração de computadores de todo o mundo, chamado TURBINE. O servidor de malware, conhecido como FOXACID, também foi descrito em documentos dos arquivos de Snowden anteriormente publicados.

Outros documentos, publicados pelo The Intercept hoje, ligam o SECONDDATE ao vazamento dos ShadowBrokers, bem como oferece novos detalhes sobre a função da ferramenta na rede de infecção e vigilância como um todo. Além disso, mostram como o SECONDDATE tem sido usado para espionar o Paquistão e um sistema de computadores no Líbano.

O manual confidencial, que confirma que o SECONDDATE encontrado on-line é o mesmo usado pela NSA, é um documento de 31 páginas intitulado “FOXACID SOP for Operational Management” (FOXACID SOP para Gerenciamento Operacional) e é classificado como uma versão provisória. O documento é recente, no máximo de 2010. Uma das seções do manual descreve ferramentas administrativas para monitor como vítimas são encaminhadas para o FOXACID, incluindo um conjunto de marcadores usados para indexar os servidores. De acordo com o documento, quando um marcador é criado em relação a uma infecção gerada pelo SECONDDATE, um identificador específico precisa ser usado:

Em negrito: “Se o projeto for usar o SECONDDATE, use o MSGID “ace02468bdf13579″.

A mesma sequência de caracteres do SECONDDATE MSGID aparece em 14 arquivos diferentes do material vazado pelos ShadowBrokers, inclusive no arquivo chamado SecondDate-3021.exe: O número secreto da NSA pode ser encontrado facilmente quando os arquivos são visualizados através de um programa de edição de código:

Ao todo, em muitas das pastas contidas no pacote fornecido pelos ShadowBrokers (captura de tela abaixo), há 47 arquivos com nomes relacionados ao SECONDDATE, incluindo diferentes versões do código bruto necessário para executar um ataque SECONDDATE, instruções de uso e outros arquivos relacionados.

Após examinar o código, Matthew Green disse ao The Intercept que é “improvável que” a presença da sequência de caracteres do MSGID tanto no documento de treinamento da NSA quanto no vazamento desta semana “seja uma coincidência”. O pesquisador de segurança de computadores, Matt Suiche, fundador de uma startup, que tem analisado o caso ShadowBrokers esta semana, contou ao The Intercept que a existência das sequências de caracteres do MSGID nos dois lugares não é uma coincidência “de jeito nenhum”.

Onde entra o SECONDDATE

Essa visão geral confirma, através dos documentos confidenciais fornecidos por Snowden e publicados hoje, que o SECONDDATE é apenas um componente do BADDECISION, uma ferramenta de infiltração da NSA ainda mais ampla. O SECONDDATE ajuda a NSA a realizar um ataque man in the middle (intermediário) contra os usuários de um rede sem fio, se passando por um site seguro, quando, na verdade, os usuários receberam conteúdo malicioso de um servidor da NSA.

De acordo com uma apresentação de PowerPoint de dezembro de 2010, chamada “Introdução ao BADDECISION”, a ferramenta foi desenvolvida para direcionar usuários de uma rede sem fio, por vezes denominada rede 802.11 na apresentação, para servidores de malware do FOXACID. Ou, como a apresentação descreve, BADDECISION é “uma ferramenta CNE [exploração de redes de computadores] 802.11 que usa um ataque de intermediário e a técnica frame injection (injeção de quadros) para redirecionar um cliente para um servidor FOXACID”. Confirme coloca outro slide ultraconfidencial, o ataque explora “a maior vulnerabilidade de seu computador: o navegador”.

Visão geral do BADDECISION
– BADDECISION é uma “ferramenta CNE 802.11 que usa um ataque man in the middle e a técnica frame injection para redirecionar um cliente de destino para um servidor do FOXACID”.
– Tira proveito de um meio aberto compartilhado e do protocolo HTTP
– Funciona com WPA/WPA2!

Um dos slides indica que o ataque funciona em usuários com uma conexão à Internet, sem fio e criptografada.

Tudo indica que essa manobra envolva o BADDECISION e o SECONDDATE, com o segundo sendo usado como “componente” do primeiro. Uma série de diagramas na apresentação “Introdução ao BADDECISION” mostra como um operador da NSA “usa o SECONDDATE para injetar conteúdo de redirecionamento em [um] cliente-alvo”, sequestrando de forma indetectável o navegador do usuário enquanto tenta acessar um site benigno (CNN.com, no exemplo). O arquivo explica que, quando executado corretamente, a “vítima continua a navegar normalmente, de forma completamente alheia”, chega a um servidor da NSA repleto de malware e é infectado ao máximo — ou como coloca a apresentação, o usuário é “WACKED” (espancado). Nas outras apresentações ultraconfidenciais, coloca-se de forma franca: “Como redirecionamos a vítima para o servidor do FOXACID sem sermos notados?” Simples: “Usando o NIGHTSTAND ou o BADDECISION.”

É impressionante o número disponível de ferramentas que se interconectam para invadir um computador. No manual do FOXACID, hackers do governo são informados que um hacker da NSA deve se familiarizar com o uso do SECONDDATE, em conjunção com ataques man in the middle de redes Wi-Fi de codinome MAGICSQUIRREL e MAGICBEAN. Uma apresentação ultraconfidencial sobre o FOXACID lista mais formas de redirecionar vítimas para o sistema de servidores de malware.

Injeção
– Operador usa SECONDDATE para injetar conteúdo de redirecionamento no cliente de destino.
– HTTP original do cliente de destino recebe solicitação e continua no caminho normal.

Para se posicionarem dentro do alcance de uma rede sem fio vulnerável, operadores da NSA podem se valer de um sistema de antenas móveis executando um software de codinome BLINDDATE, exibido abaixo no campo de batalha no que parece ser Cabul, no Afeganistão. O software também pode ser usado em um drone. Por sua vez, o BLINDDATE pode executar o BADDECISION, permitindo assim um ataque SECONDDATE:

Em outras partes dos arquivos, há ao menos dois casos documentados do SECONDDATE sendo usado para infectar um computador fora dos EUA com êxito: Uma apresentação de abril de 2013 se vangloria de ataques bem-sucedidos em sistemas de computadores no Paquistão e no Líbano. No primeiro, hackers da NSA usaram o SECONDDATE para invadir “alvos na Divisão VIP do NTC (Corporação Nacional de Telecomunicações) do Paquistão”, que continha documentos pertencentes à “espinha dorsal da rede de comunicações do Paquistão, Linha Verde,” usada por dirigentes civis e militares”.

No segundo, a NSA usou o SECONDDATE para realizar um ataque man in the middle ao Líbano “pela primeira vez na história”, infectando um ISP libanês para extrair “mais de 100 MB de dados da Unidade 1800 do Hezbollah”, uma unidade do grupo militante dedicada ao socorro de palestinos.

O SECONDDATE é apenas um dos métodos usados pela NSA para direcionar os navegadores de suas vítimas a um servidor do FOXACID. Outros métodos usados incluem o envio de spam com o intuito de explorar erros de provedores de e-mail conhecidos ou atrai vítimas a clicar em links maliciosos que levam a um servidor do FOXACID. Um dos documentos, um boletim informativo da Divisão de Operações de Fonte Especial da NSA, descreve como outros softwares da NSA, além do SECONDDATE, eram constantemente usados para direcionar vítimas no Paquistão a servidores de malware do FOXACID e, por fim, infectar os computadores das vítimas.

Uma invasão possivelmente mundana

Snowden, que trabalhou para provedores de serviço da NSA, como Dell e Booz Allen Hamilton, contextualizou e ofereceu uma possível explicação, relativamente simples, para o vazamento: o quartel-general da NSA pode não ter sido hackeado e um dos computadores usados pela agência para planejar e executar ataques pode ter sido comprometido. Em uma série de tweets, o ex-funcionário da agência contou que, com frequência, a NSA mantém presença em sistemas que são supostamente controlados por outros e que, possivelmente, alguém na agência tenha tomado o controle de um servidor e deixado rastros. Um regime, um grupo de hackers ou uma agência de inteligência pode ter obtido os arquivos e, por consequência, uma bela oportunidade de constranger a agência.

5) Sabendo disso, os hackers da NSA (TAO) são instruídos a não deixar ferramentas de hack (“binários”) no servidor depois de uma operação. Mas as pessoas são preguiçosas.
6) Qual a novidade? Servidores contendo malware da NSA sendo hackeados por um rival não é novidade. Um rival mostrando que o fez, é.


Tradução de Inacio Vieira