Os grupos de hackers são a ameaça que mais cresce para as nações atualmente – não tanto os “hacktivistas” de que ouvimos falar, mas grupos extremamente profissionais que trabalham para governos dos quais não ouvimos falar. Grupos de hackers patrocinados pelo Estado têm a capacidade de invadir as redes da mídia, das grandes corporações, dos departamentos de defesa e – sim – dos governos e causar estragos. Até mesmo empresas de segurança criadas para detê-los podem ser infiltradas .
A situação é tão má que está a ser descrita como outra “guerra fria”, e esta é verdadeiramente global e em grande parte invisível. Até as marcas corporativas são alvo de Estados que procuram uma vantagem económica sobre as nações concorrentes. Como as defesas do computador são ridiculamente fáceis de serem comprometidas pelos hackers, as capacidades ofensivas tornam-se mais tentadoras, até que eventualmente todos estejam atacando uns aos outros. É apenas uma questão de tempo até que os ataques cibernéticos sejam considerados um acto de guerra real (uma posição para a qual os EUA já estão a adoptar). Grupos de hackers como os mal chamados “Guardiões da Paz” já ameaçaram ataques terroristas violentos e restringiram a liberdade de expressão em Hollywood.
Aqui estão 10 dos principais jogadores neste novo jogo de espionagem, sabotagem e guerra de gato e rato.
10 O Exército Eletrônico Sírio (SEA)
Síria
O Exército Eletrônico Sírio (SEA) gozou de fama e de uma espécie de relação de amor e ódio com a mídia em 2011-2013. O grupo é composto maioritariamente por estudantes universitários na Síria ou nos seus aliados que frequentemente fazem propaganda ao presidente sírio, Bashar al-Assad. Seus ataques de alto perfil aos principais meios de comunicação incluíram o New York Times , várias contas do Twitter e até mesmo o Onion ( cuja resposta foi bastante memorável ), o que lhes rendeu um respeito relutante entre as empresas de segurança.
A SEA também orquestrou ataques bem-sucedidos à CNN, ao The Washington Post e à Time em 2013. Finalmente, o grupo uma vez convenceu o público de que uma explosão tinha ocorrido na Casa Branca, ferindo o presidente Obama. Isto perturbou brevemente o mercado de ações, fazendo com que o índice Dow Jones caísse um percentual total .
Os hackers da SEA também são conhecidos por se envolverem em empreendimentos mais obscuros, como atacar e intimidar indivíduos com quem não concordam ou que não apoiam Assad. Embora afirmem ser simples patriotas, também admitem transmitir informações relevantes ao Estado, ilustrando a linha obscura entre hacktivistas e hackers patrocinados pelo Estado. A SEA funciona principalmente através do uso de “spear-phishing”, um método parcialmente de engenharia social em que um utilizador é induzido a fornecer palavras-passe ou outras informações confidenciais, muitas vezes sendo direcionado para um site falso criado para esse fim.
Em Novembro de 2014, a SEA devolveu e “hackeou” vários sites utilizando uma rede de distribuição de conteúdos, exibindo um pop-up que dizia: “Você foi hackeado pelo Exército Electrónico Sírio”.
9 Tarh Andishan
Irã
Em 2009, o Irão ficou com uma infra-estrutura informática gravemente comprometida e diminuída após o amplamente divulgado ataque do worm Stuxnet . O Irão respondeu elevando as suas capacidades de hacking, desde a simples desfiguração de websites até à guerra cibernética total. Assim nasceu um grupo de hackers patrocinado pelo Estado apelidado de “Tarh Andishan” (“Pensadores” ou “Inovadores” em farsi).
O grupo ganhou destaque com a “Operação Cutelo”, uma campanha que está ativa desde cerca de 2012 e tem como alvo pelo menos 50 organizações em todo o mundo nos campos militar, comercial, educacional, ambiental, energético e aeroespacial. Curiosamente, também visaram grandes companhias aéreas e, em alguns casos, até obtiveram “acesso completo” aos portões e sistemas de controlo das companhias aéreas , “permitindo-lhes potencialmente falsificar credenciais de embarque”. A empresa de segurança cibernética Cylance, que ainda não chegou a uma conclusão quanto aos objetivos de longo prazo do grupo, divulgou um relatório inicial sobre Tarh Andishan (que representa apenas uma fração das atividades do grupo) devido a temores de que a Operação Cleaver já represente um “grave risco para a segurança física do mundo.”
O relatório apresenta evidências como identificadores de hackers conhecidos, nomes de domínio iranianos, hospedagem de infraestrutura e outros indicadores. A Cylance acredita que a infraestrutura disponível para Tarh Andishan é grande demais para ser obra de um indivíduo ou de um pequeno grupo. Tarh Andishan usa técnicas avançadas que vão desde injeção de SQL, explorações avançadas e sistemas automatizados de propagação semelhantes a worms, backdoors e muito mais. Acredita-se que tenham cerca de 20 membros, a maioria de Teerã, com membros auxiliares no Canadá, no Reino Unido e na Holanda. As suas vítimas incluem os EUA e a América Central, partes da Europa, Coreia do Sul, Paquistão, Israel e várias outras regiões do Médio Oriente.
8 Libélula / Urso Energético
Leste Europeu
Um grupo que a Symantec chama de “gangue Dragonfly” e outras empresas de segurança chamam de “Energetic Bear” tem operado na Europa Oriental e tem como alvo principalmente empresas de energia desde cerca de 2011. Antes disso, tinha como alvo os setores aéreo e de defesa, geralmente no EUA e Canadá. A Symantec afirma que o grupo de hackers “apresenta as características de uma operação patrocinada pelo Estado, exibindo um alto grau de capacidade técnica”. Foi descoberto pela primeira vez pela empresa de segurança russa Kaspersky Labs.
O Dragonfly usa Trojans de acesso remoto (RATs), como suas próprias ferramentas de malware Backdoor.Oldrea e Trojan.Karagany, para espionar alvos da indústria de energia, embora os métodos também possam ser usados para sabotagem industrial. O malware geralmente é anexado a e-mails de phishing, embora os hackers tenham recentemente atualizado para métodos de segmentação “watering hole”: sites comprometedores que um alvo costuma frequentar. Os alvos são então enviados em uma série de redirecionamentos até que Oldrea ou Karagany possam ser introduzidos no sistema da vítima. Nas fases posteriores da sua campanha, conseguiram até infectar software legítimo , que seria descarregado e instalado normalmente juntamente com malware indesejado.
Como o Stuxnet antes dele, a campanha do Dragonfly foi um dos primeiros grandes esforços para atingir diretamente os sistemas de controle industrial. Ao contrário do Stuxnet, que visava apenas o programa nuclear do Irão, a campanha do Dragonfly foi generalizada, tendo a espionagem e o acesso a longo prazo como o seu objectivo principal e a capacidade de cometer sabotagem grave como uma capacidade opcional mas aterrorizante .
7 Operações de acesso personalizadas, NSA
EUA
Após o Stuxnet, os EUA não ficariam para trás na guerra cibernética e no jogo da espionagem. O país reserva-se o direito de “utilizar todos os meios necessários – diplomáticos, informativos, militares e económicos – conforme apropriado e consistente com o direito internacional aplicável”. O grupo de hackers patrocinado pelo Estado americano é o Tailored Access Operations (TAO), administrado pela Agência de Segurança Nacional. É o grupo responsável por tornar Edward Snowden famoso depois que a revista alemã Der Spiegel vazou detalhes revelando o TAO e o fato de que a NSA havia coletado dados telefônicos de milhares de americanos e alvos de inteligência no exterior.
Desde pelo menos 2008, o TAO também foi capaz de interceptar entregas de PC (onde interceptaria o computador e colocaria software de espionagem dentro dele), explorar vulnerabilidades de hardware e software e hackear corporações tão sofisticadas quanto a Microsoft (o que o TAO supostamente fez por meio do diálogo de relatório de falhas da Microsoft). caixas juntamente com a gama habitual de técnicas ultra-sofisticadas de guerra cibernética).
A organização não é tão secreta hoje em dia, e os funcionários até se listam no LinkedIn, mas ela está igualmente ocupada – espero que desta vez contra inimigos estrangeiros. Sua sede principal com 600 funcionários está localizada no principal complexo da NSA em Fort Mead, Maryland. Para ter uma ideia de suas operações atuais, basta perguntar a Dean Schyvincht, que afirma ser Operador Sênior de Rede de Computadores da TAO no escritório do Texas. Ele diz que “mais de 54.000 operações de Exploração de Rede Global (GNE) em apoio aos requisitos das agências nacionais de inteligência” foram realizadas em 2013 com uma equipe de apenas 14 pessoas sob sua gestão. Só podemos imaginar o que Fort Mead está tramando.
6 Equipe de Segurança do Ajax / Flying Kitten
Irã
O Ajax começou em 2010 como um grupo de “hacktivistas” e desfiguradores de websites do Irão, mas passaram do activismo à espionagem cibernética e à saída de dissidentes políticos. Negam ser patrocinados pelo Estado, mas muitos acreditam que foram contratados pelo governo iraniano – um padrão cada vez mais comum em que um grupo ganha a atenção de um governo através das suas atividades públicas, a fim de obter o patrocínio do Estado.
O Ajax chamou a atenção de empresas de segurança e grupos como o CrowdStrike quando uma série de erros (um dos quais forneceu aos investigadores o endereço de e-mail real de um membro) expôs tentativas de atingir a indústria de defesa dos EUA e os dissidentes iranianos. A empresa FireEye acredita que o Ajax foi responsável pela “Operação Saffron Rose” – uma série de ataques de phishing e tentativas de falsificar o Microsoft Outlook Web Access e páginas VPN para obter informações e credenciais na indústria de defesa dos EUA. O grupo também expôs dissidentes, atraindo-os com ferramentas anticensura corruptas .
Grupos como este demonstram uma crescente “área cinzenta entre as capacidades de espionagem cibernética dos grupos de hackers do Irão e qualquer envolvimento direto do governo iraniano ou militar”. Esta linha tênue entre grupos e governos provavelmente se tornará mais pronunciada no futuro.
5 APT28
Rússia
“APT” significa “ameaça persistente avançada”, uma designação usada em relatórios sobre grupos de hackers por empresas de segurança. Às vezes – quando não há mais nada a fazer – esses grupos recebem o nome destes relatórios. Esse é o caso de um grupo perigoso chamado “APT28” e que se acredita estar operando fora da Rússia. Tem se envolvido em espionagem cibernética avançada pelo menos desde 2007.
A Rússia é considerada um dos líderes mundiais na guerra cibernética, mas é difícil encontrar provas conclusivas que liguem o APT28 a Moscovo. De acordo com o vice-presidente de inteligência de ameaças da FireEye, seu relatório mostra que o malware e as ferramentas usadas e criadas pelo APT28 indicam consistentemente “falantes da língua russa operando durante o horário comercial que é consistente com o fuso horário das principais cidades da Rússia, incluindo Moscou e São Petersburgo”. .”
O grupo utilizou uma série de métodos e ataques contra alvos militares e políticos nos EUA e na Europa Oriental, incluindo alvos especificamente valiosos para a Rússia, como a Geórgia. Tem até como alvo a NATO e, num relatório diferente, um funcionário da Casa Branca confirmou que o grupo invadiu redes não confidenciais da Casa Branca e pode ter como alvo a Ucrânia .
4 Unidade 61398 / Equipe de comentários / Putter Panda
China
Em 2013, a Mandiant divulgou um relatório que alegou ter capturado a China com a mão bem no pote de biscoitos informativos. Mandiant concluiu que um grupo que trabalhava para a Unidade de elite militar chinesa 61398 roubou centenas de terabytes de dados de pelo menos 141 organizações em países de língua inglesa. A Mandiant baseou esta alegação em evidências como endereços IP de Xangai, computadores que usavam configurações de idioma chinês simplificado e indicações de que vários indivíduos, e não sistemas automatizados, estavam por trás dos ataques.
A China rejeitou as alegações , dizendo que o relatório “não se baseia em factos” e “carece de provas técnicas”. Brad Glosserman, diretor executivo do Fórum do Pacífico do Centro de Estudos Estratégicos e Internacionais, refutou isto, salientando que as provas – quando tomadas em conjunto com o tipo de informação roubada – não apoiam uma rejeição. A Mandiant até sabia de onde vinha a maioria dos ataques: um prédio de 12 andares nos arredores de Xangai, onde os hackers tinham acesso a cabos de fibra óptica de alta potência.
Cerca de 20 grupos de hackers de alto perfil vêm da China, e acredita-se que pelo menos alguns deles se reportem ao Exército de Libertação Popular (militares chineses). Isso inclui o Comment Crew e o Putter Panda, um grupo de hackers ativo desde 2007 que supostamente trabalhou em edifícios de propriedade do PLA. Ajudaram a desencadear uma acusação em curso nos EUA contra um grupo de cinco indivíduos em 2014.
3 Axioma
China
Uma coalizão de grupos relacionados à segurança, incluindo Bit9, Microsoft, Symantec, ThreatConnect, Volexity e outros, identificou outro grupo perigoso, que apelidaram de “Axiom”. O grupo é especializado em espionagem corporativa e em atacar dissidentes políticos, e pode ter estado por trás do ataque de 2010 ao Google. Acredita-se que a Axiom venha da China, mas ninguém ainda foi capaz de identificar onde o grupo opera na China continental . Um relatório da coligação afirmou que as actividades da Axiom se sobrepunham à “área de responsabilidade” atribuída às agências de inteligência do governo chinês, uma decisão também apoiada por um flash do FBI divulgado à Infragard .
O relatório prossegue descrevendo a Axiom como um possível subgrupo de um grupo maior e sem nome em operação há mais de seis anos, visando principalmente indústrias privadas que são influentes na esfera económica. Eles usam técnicas que vão desde ataques de malware genéricos até explorações de hackers sofisticadas que podem levar anos para se manifestar. Os governos ocidentais, as instituições pró-democracia e os dissidentes dentro e fora da China também foram alvo. O porta-voz da embaixada chinesa, Geng Shuang, afirmou que “a julgar pela experiência passada, este tipo de relatórios ou alegações são geralmente fictícios” e que o governo de Pequim “fez tudo o que pôde para combater tais atividades”.
2 Bureau 121
Pyongyang, Coreia do Norte
Até agora, a maioria das pessoas já ouviu falar dos ataques à Sony Pictures por parte de hackers que se autodenominam “Guardiões da Paz” (GOP). O grupo alegou estar chateado por causa de The Interview – um filme que retrata o assassinato explícito do líder da Coreia do Norte, Kim Jong-un. Os Guardiões da Paz até ameaçaram ataques terroristas ao estilo do 11 de Setembro contra instalações da Sony e cinemas se The Interview fosse lançado, juntamente com ataques contra os atores e executivos envolvidos. O Partido Republicano escreveu : “O que quer que aconteça nos próximos dias é convocado pela ganância da Sony Pictures Entertainment. O mundo inteiro denunciará a SONY.”
Os laços com a Coreia do Norte levaram a acusações de que o próprio país foi responsável por pelo menos alguns dos ataques. Isto empurrou um grupo conhecido como Bureau 121 para a mídia. O Bureau 121 é um grupo de guerra cibernética formado por hackers e especialistas em informática norte-coreanos. Desertores alegaram que o grupo pertence ao General Bureau of Reconnaissance, a agência de espionagem militar da Coreia do Norte. Envolve-se em hacks e sabotagens patrocinados pelo Estado em nome do governo de Pyongyang contra a Coreia do Sul e supostos inimigos como os EUA. Em 2013, um ataque a 30 mil PCs dentro de bancos e empresas de radiodifusão sul-coreanas foi atribuído ao grupo . Segundo alguns, o Bureau 121 compreende cerca de 1.800 membros que são tratados como elites e que recebem incentivos abundantes, como salários elevados e a capacidade de trazerem consigo as suas famílias quando lhes são atribuídos espaços de habitação em Pyongyang. O desertor Jang Se-yul, que afirma ter estudado com o grupo na faculdade militar de ciência da computação da Coreia do Norte (Universidade de Automação), disse à Reuters que existem divisões do grupo no exterior, incorporadas em negócios legítimos.
Mas será que o governo da Coreia do Norte está realmente por trás dos ataques? Um porta-voz recusou-se a esclarecer, dizendo apenas : “As forças hostis estão relacionando tudo à RPDC (Coreia do Norte). Eu gentilmente aconselho você a esperar e ver.” A Casa Branca disse à CNN que “encontraram uma ligação com o governo norte-coreano” e estavam “considerando uma série de opções para avaliar uma resposta potencial”. Seja qual for o caso, a Sony cedeu às ameaças. Depois que muitos cinemas cancelaram a estreia do filme no Natal, a corporação retirou-a indefinidamente – uma medida que não parece boa para a liberdade de expressão em um mundo onde qualquer agressor cibernético com habilidades de hacking suficientes pode escapar impune de algo assim. Nota: Desde o momento em que este artigo foi escrito, a Sony lançou o filme com capacidade limitada.
1 Lince Oculto
China
“Hidden Lynx” (nome dado pela Symantec) é um dos mais novos grupos ativos. Um relatório de 2013 os descreve como uma equipe de hackers extremamente organizada e experiente (cerca de 50 a 100 deles), com uma grande quantidade de recursos à sua disposição e paciência para usá-los. Eles regularmente usam – se não criam – as mais recentes técnicas de hacking, incluindo o uso característico de “watering hole”. Este foi um dos métodos usados em 2013 para se infiltrar na empresa de segurança baseada em nuvem Bit9, na tentativa de obter acesso aos seus clientes .
Essas pessoas não se envolvem apenas na obtenção de credenciais de jogos, na segmentação de usuários peer-to-peer ou no roubo de identidade (embora também façam tudo isso). Eles perseguem alguns dos alvos mais seguros do mundo, incluindo indústrias de defesa, empresas de alto nível e governos de grandes nações, com ataques concentrados nos EUA, China, Taiwan e Coreia do Sul. Eles são a organização hacker mercenária por excelência ao estilo de Hollywood.
Todas as indicações parecem apontar para a China como a principal base de operações do Hidden Lynx, mas não é certo se se trata de algum tipo de entidade patrocinada pelo Estado ou de um poderoso grupo mercenário . As suas competências e técnicas avançadas – bem como o facto de a sua infra-estrutura e servidores de comando e controlo terem origem na China – tornam altamente improvável que o grupo não tenha apoio .
