A crescente tendência entre hackers que trabalham para governos de reutilizar o código e os computadores de nações rivais está prejudicando a integridade das investigações sobre hacking e colocando em questão a forma como são atribuídos os ataques online, de acordo com pesquisadores da empresa de segurança virtual  Kaspersky Lab.

Em um artigo publicado nesta quarta-feira na conferência de segurança digital Virus Bulletin, em Madrid, os pesquisadores destacam casos em que flagraram hackers que agiam em nome de alguns Estados se apropriando de ferramentas e sequestrando infraestruturas já usadas por hackers de outros países. Os pesquisadores alertam que os investigadores precisam estar atentos aos sinais desse tipo de ação para evitar atribuir ataques aos autores errados.

Os pesquisadores de ameaças cibernéticas desenvolveram toda uma indústria para identificar grupos de hackers e compilar seus perfis para compreender os métodos que usam, prever futuros ataques e criar estratégicas para combatê-los. A atribuição de autoria dos ataques é feita “agrupando” arquivos maliciosos, endereços de IP e servidores que costumam ser usados em invasões, por saber que os agentes de ameaça costumam reutilizar códigos e infraestrutura para economizar tempo e esforço. Assim, quando os pesquisadores encontram os mesmos algoritmos de criptografia e certificados digitais sendo usados em vários ataques, por exemplo, eles presumem que tenham sido perpetrados pelo mesmo grupo. A questão é que nem sempre é o caso.

Obter a informação correta é especialmente importante porque as empresas de investigação de segurança vêm desempenhando um papel cada vez maior na atribuição de autoria dos ataques de hackers a governos. Os ataques no ano passado ao Comitê Nacional do Partido Democrata, por exemplo, foram atribuídos a grupos de hackers associados à inteligência russa, em grande parte com base na análise feita pela empresa de segurança privada CrowdStrike, que descobriu que as ferramentas e as técnicas usadas eram semelhantes às de ataques anteriormente atribuídos a grupos de inteligência russos.

Embora os pesquisadores da Kaspersky considerem que essa autoria está correta, alertam que os pesquisadores precisam ser mais cautelosos ao presumir a autoria dos mesmos agentes com base nas  ferramentas e técnicas usadas.

Agências de inteligência e hackers militares estão em situação privilegiada para despistar os pesquisadores por meio de reutilização de código e de ferramentas, porque praticam o que os autores do artigo chamam de coleta quaternária de dados (fourth-party collection). Essa categoria de coleta de dados pode abranger uma série de atividades, incluindo invadir a máquina de uma vítima que outros hackers já tenham invadido e coletar informações de inteligência sobre os hackers naquela máquina, roubando suas ferramentas. É possível também hackear os servidores a partir dos quais outros hackers lançam seus ataques, que podem armazenar o arsenal de ferramentas maliciosas e código-fonte que utilizam. Se um grupo se apropria das ferramentas e do código-fonte de outro, é bem simples dar mais um passo e começar a reutilizá-los.

“A Agência A poderia se apropriar do código-fonte de outra agência e promovê-lo como próprio. Nesse caso, o agrupamento e a atribuição já começariam a falhar”, escreveram Juan Andrés Guerrero-Saade, principal pesquisador de segurança da Kaspersky, e seu colega, Costin Raiu, que comanda a equipe global de pesquisa e análise da Kaspersky.

“[N]osso argumento no artigo era: isso é o que encontraríamos [se alguém fizesse uma operação de bandeira falsa {false-flag operation}] (…) e esses foram os casos em que vimos as pessoas tentarem e falharem”, disse Guerrero-Saade.

O recente ataque de ransomware [código malicioso que exige pagamento de resgate para liberação de dados] WannaCry é um exemplo claro de apropriação e reutilização de um malware. No ano passado, um misterioso grupo conhecido como Shadow Brokers se apropriou de um conjunto de ferramentas de hacking que pertenciam à Agência de Segurança Nacional dos EUA, e publicou tudo na Internet alguns meses depois. Uma das ferramentas — conhecida como zero-day, que explora vulnerabilidades até então desconhecidas — foi reeditada pelos hackers responsáveis pelo WannaCry para espalhar o ataque. Nesse caso, foi fácil estabelecer uma conexão entre a apropriação do código da NSA e a sua reutilização com o WannaCry, porque o ataque original recebeu ampla divulgação. Outros casos semelhantes, no entanto, podem não ser tão óbvios, e confundir os pesquisadores sobre a efetiva autoria de um ataque.

“[S]e uma superpotência (…) invadisse, por exemplo, o grupo DarkHotel amanhã, roubasse todo o seu código e tivesse acesso a toda sua [infra-estrutura de comando e controle], não teríamos nem notícia desse evento monumental”,  disse Guerrero-Saade ao The Intercept, em referência a um grupo de hackers que conduziu uma série de ataques sofisticados contra hóspedes em hotéis de luxo. “Nessa situação, eles estariam em condições de reproduzir as operações no detalhe (…) sem que ninguém soubesse.”

Screen-Shot-2017-10-03-at-12.18.51-PM-1507065392

Juan Andrés Guerrero-Saade, à direita, principal pesquisador de segurança da Kaspersky, fala sobre operações de bandeira falsa na conferência Virus Bulletin em Denver, no ano passado.

Captura de tela: Virus Bulletin Youtube

Espiando os espiões

Não é segredo para ninguém que espiões espionam espiões. Documentos vazados pelo ex-agente da NSA Edward Snowden descrevem como a agência e seus parceiros de espionagem faziam inspeções de rotina nas máquinas das vítimas que hackeavam para verificar se havia outros hackers à espreita. A NSA tem uma ferramenta própria, semelhante a um antivírus, chamada ReplicantFarm, que implanta nos sistemas que invade para verificar a presença de outros agentes conhecidos. Isso é feito para assegurar que as ferramentas de outros agentes em cada máquina não irão interferir nas operações da agência e para subsidiar tanto operações ofensivas quanto a defesa das redes governamentais dos EUA com informações sobre elas. A NSA captura essas ferramentas e aplica engenharia reversa, e eventualmente copia para uso próprio as técnicas que julga inteligentes.

Embora copiar as técnicas seja comum, dois ex-hackers da NSA contaram ao The Intercept que, durante seu período de atuação, nunca se depararam com efetiva reutilização de código, e duvidam que a agência tenha conduzido as chamadas operações de bandeira falsa.

“Quando pegamos ferramentas de agentes estrangeiros, nós nos apropriamos das técnicas”, disse uma das fontes ao The Intercept. Mas “há um monte de problemas quando você faz uma atribuição falsa. (…) É possível começar uma guerra por conta disso. É provável que seja mais comum em outros países, mas nos EUA (…) o objetivo normalmente é impedir a atribuição, não falseá-la.”

Acrescentou ainda que, se algum ente do governo dos EUA pratica operações de bandeira falsa, o mais provável é que seja a CIA.

Um ex-funcionário da CIA contou ao The Intercept que seu antigo empregador de fato pratica esse tipo de operações cibernéticas para ocultar sua identidade, mas não para atribuir a responsabilidade a terceiros.

Guerrero-Saade acredita que a NSA e seus parceiros na aliança dos “Cinco Olhos” (Five Eyes alliance), que inclui, além dos EUA, Reino Unido, Canadá, Austrália e Nova Zelândia, muito provavelmente não sejam a maior preocupação no que se refere à reutilização de código e infraestrutura nas operações de bandeira falsa.

“Em geral, os Cinco Olhos são mais contidos”, ele comentou. “[Mas] sabemos que os grupos chineses, os supostamente israelenses e mesmo os grupos [russos] estão dispostos a qualquer coisa. Os grupos israelenses, em especial, são (…) extremamente audaciosos”.

Bandeiras falsas na prática

Os pesquisadores da Kaspersky encontraram diversos exemplos de situações reais em que um agente de ameaça ligado a um Estado teve sua infraestrutura invadida por outro. Em uma dessas situações, uma backdoor foi instalada em um servidor de teste e relay (usado para transmitir dados roubados) de um grupo conhecido como NetTraveler, ligado a um Estado. A Kaspersky não sabe quem instalou a backdoor, mas seu provável objetivo era monitorar o NetTraveler ou roubar suas ferramentas e os dados que o grupo, por sua vez, havia roubado das vítimas.

Em outro caso, a infraestrutura de um agente de ameaça foi sequestrada por outro para lançar secretamente seus próprios ataques. O grupo DarkHotel — que se acredita ser sul-coreano — com frequência invade sites para lançar ataques contra alvos chineses. Revelou-se que um desses sites hospedava scripts maliciosos pertencentes a outro grupo, que a Kaspersky chama de ScarCruft, e que então usava o mesmo site para lançar seus próprios ataques contra alvos russos, chineses e sul-coreanos.

Em mais um caso, pesquisadores da Kaspersky localizaram uma trojan backdoor chamada Decafett, que parecia ligada aos grupos Lazarus e BlueNoroff — acredita-se que ambos sejam vinculados à Coreia do Norte — mas também usava um sistema de DNS dinâmico obscuro e incomum, que anteriormente só havia sido usado pelo grupo DarkHotel.

E um misterioso grupo hacker conhecido como TigerMilk usou, em ataques a instituições militares e governamentais do Peru, um certificado digital que tinha sido usado no famoso ataque Stuxnet ao programa nuclear iraniano. Os autores do ataque Stuxnet, que se acredita serem a NSA e a inteligência israelense, haviam assinado seu código malicioso com um certificado digital roubado de uma empresa em Taiwan para enganar as máquinas no Irã, fazendo seus arquivos maliciosos se passarem por software legítimo dessa empresa.

O grupo TigerMilk usou o mesmo certificado para assinar seus arquivos maliciosos, muito tempo depois que o certificado, tornado famoso pelo ataque Stuxnet, já havia sido revogado e invalidado. Como um certificado inválido não tem muita utilidade para permitir aos invasores inserirem seu código malicioso em uma máquina, os pesquisadores da Kaspersky entendem que a única razão para seu uso pelo TigerMilk era “enganar os grupos de resposta a incidentes e os pesquisadores, para que culpassem o conhecido grupo Stuxnet”.

Pode parecer que todas as atribuições de responsabilidade passariam a ser discutíveis uma vez que os grupos de hackers roubem e reutilizem as ferramentas dos rivais para lançar suspeitas sobre eles. Os pesquisadores da Kaspersky, porém, dizem que verdadeiras operações de bandeira falsa são raras e difíceis de realizar. Os exemplos que eles descobriram eram tentativas simplórias de confundir os pesquisadores. Para efetivamente atribuir um ataque a outros, um grupo de hackers precisa copiar ou imitar convincentemente todas as táticas, técnicas e procedimentos do grupo em questão, não apenas algumas delas. Basta um erro para desfazer a ilusão.

“[P]ara colocar em prática uma verdadeira e incrível operação de bandeira falsa, em que você realmente incorpora outro grupo de todas as formas possíveis, é preciso conhecer a fundo o funcionamento do grupo (…), como agem quando estão do lado da vítima, [você precisa usar] o código-fonte, os payloads e a mesma criptografia, a mesma estrutura de comando e controle — porque nos apegamos a quaisquer anomalias para dizer que algo não parece adequado”, afirmou Guerrero-Saade.

Ele apontou ainda um caso recente em que a comunidade de pesquisa estava rastreando o que parecia ser um grupo de hackers russo desconhecido. Por seis a oito meses, os pesquisadores observaram cuidadosamente o grupo e começaram a suspeitar que se tratava na verdade de um outro grupo russo chamado Turla — exceto pelo fato de que o código e a infraestrutura usados pelo grupo eram muito diferentes dos usados pelo Turla. Eles já estavam prestes a concluir que de fato se tratava de um grupo novo e totalmente distinto, quando os hackers cometeram um deslize e usaram uma das ferramentas mais antigas e bem típicas do Turla. Em vez de se tratar de um novo grupo russo, os pesquisadores concluíram que era simplesmente o Turla usando um novo lote de ferramentas para tentar ocultar sua identidade e sua atividade. Esse incidente ilustra bem como os pesquisadores precisam ter paciência e não se apressar quando vão atribuir a responsabilidade por um ataque, pois a pressa pode levar a conclusões falsas.

Guerrero-Saade destacar que, ao falar sobre reutilização de código e operações de bandeira falsa, ele e Raiu não estão tentando colocar todas as investigações sob suspeita. Ele considera que operações de bandeira falsa são raras e que a maior parte das atribuições de responsabilidade por ameaças feitas pelos pesquisadores são corretas. Mas é preciso repensar as limitações e os parâmetros daquilo que os pesquisadores podem saber com certeza, “para que possamos entender quando estamos vacilando e quando estamos sendo enganados, e para que possamos admitir quando não há como saber. Existem, sim, situações em que não há como saber.”

Tradução: Deborah Leão