SEA ISLAND, Geórgia – A principal agência de inteligência da Rússia lançou outra campanha para perfurar milhares de redes de computadores do governo dos EUA, empresas e grupos de reflexão, alertaram funcionários da Microsoft e especialistas em segurança cibernética no domingo, poucos meses depois que o presidente Biden impôs sanções a Moscou em resposta a uma série de operações de espionagem sofisticadas que conduziu em todo o mundo.
O novo esforço é “muito grande e está em andamento”, disse Tom Burt, um dos principais oficiais de segurança da Microsoft, em uma entrevista. Funcionários do governo confirmaram que a operação, aparentemente destinada a adquirir dados armazenados na nuvem, parecia ter saído do SVR, a agência de inteligência russa que foi a primeira a entrar nas redes do Comitê Nacional Democrata durante as eleições de 2016.
Embora a Microsoft insistisse que a porcentagem de violações bem-sucedidas era pequena, ela não forneceu informações suficientes para medir com precisão a gravidade do roubo.
No início deste ano, a Casa Branca culpou o SVR pelo chamado SolarWinds hacking, um esforço altamente sofisticado para alterar o software usado por agências governamentais e pelas maiores empresas do país, dando aos russos amplo acesso a 18.000 usuários. Biden disse que o ataque minou a confiança nos sistemas básicos do governo e prometeu retaliação tanto pela intrusão quanto pela interferência eleitoral. Mas quando ele anunciou sanções contra instituições financeiras e empresas de tecnologia russas em abril, ele reduziu as penalidades.
“Eu deixei claro com o presidente Putin que poderíamos ter ido mais longe, mas optei por não fazê-lo”, disse Biden na ocasião, após ligar para o líder russo. “Agora é a hora de diminuir a escalada.”
As autoridades americanas insistem que o tipo de ataque relatado pela Microsoft se enquadra na categoria do tipo de espionagem que as grandes potências conduzem regularmente umas contra as outras. Ainda assim, a operação sugere que, mesmo enquanto os dois governos dizem que estão se reunindo regularmente para combater o ransomware e outras doenças da era da internet, o enfraquecimento das redes continua rapidamente em uma corrida armamentista que se acelerou à medida que os países buscavam dados da vacina Covid-19 e uma série de segredos industriais e governamentais.
“Os espiões vão espionar”, disse John Hultquist, vice-presidente de análise de inteligência da Mandiant, a empresa que primeiro detectou o ataque ao SolarWinds, na Conferência Cipher Brief Threat em Sea Island, onde muitos especialistas cibernéticos e oficiais de inteligência se reuniram. “Mas o que aprendemos com isso é que o SVR, que é muito bom, não está desacelerando”.
Não está claro o sucesso da última campanha. A Microsoft disse que notificou recentemente mais de 600 organizações que foram alvo de cerca de 23.000 tentativas de entrar em seus sistemas. Em comparação, a empresa disse ter detectado apenas 20.500 ataques direcionados de “todos os atores do estado-nação” nos últimos três anos. A Microsoft disse que uma pequena porcentagem das tentativas mais recentes foi bem-sucedida, mas não forneceu detalhes ou indicou quantas organizações foram comprometidas.
Oficiais americanos confirmaram que a operação, que eles consideram espionagem de rotina, estava em andamento. Mas eles insistiram que, se fosse bem-sucedido, seria a Microsoft e provedores semelhantes de serviços em nuvem que arcavam com a maior parte da culpa.
Um funcionário sênior da administração chamou os ataques mais recentes de “operações simples e sem sofisticação que poderiam ter sido evitadas se os provedores de serviços em nuvem tivessem implementado práticas básicas de segurança cibernética”.
“Podemos fazer muitas coisas”, disse o funcionário, “mas a responsabilidade de implementar práticas simples de segurança cibernética para trancar suas – e, por extensão, nossas – portas digitais é do setor privado”.
Funcionários do governo têm pressionado para colocar mais dados na nuvem porque é muito mais fácil proteger as informações lá. (A Amazon executa o contrato de nuvem da CIA; durante a administração Trump, a Microsoft ganhou um grande contrato para mover o Pentágono para a nuvem, embora o programa tenha sido cancelado recentemente pela administração Biden em meio a uma longa disputa legal sobre como foi concedido.)
Mas o ataque mais recente dos russos, dizem os especialistas, foi um lembrete de que mudar para a nuvem não é solução – especialmente se aqueles que administram as operações em nuvem usam segurança insuficiente.
A Microsoft disse que o ataque foi focado em seus “revendedores”, empresas que personalizam o uso da nuvem para empresas ou instituições acadêmicas. Os hackers russos aparentemente calcularam que, se pudessem se infiltrar nos revendedores, essas empresas teriam acesso de alto nível aos dados que desejavam – fossem e-mails do governo, tecnologias de defesa ou pesquisa de vacinas.
A agência de inteligência russa estava “tentando replicar a abordagem usada em ataques anteriores, visando organizações integrantes da cadeia de suprimentos de tecnologia da informação global”, disse Burt.
Essa cadeia de suprimentos é o principal alvo dos hackers do governo russo – e, cada vez mais, dos hackers chineses que estão tentando reproduzir as técnicas de maior sucesso da Rússia.
No caso da SolarWinds no final do ano passado, ter como alvo a cadeia de suprimentos significou que os hackers russos mudaram sutilmente o código de computador do software de gerenciamento de rede usado por empresas e agências governamentais, inserindo clandestinamente o código corrompido no momento em que estava sendo enviado para 18.000 usuários.
Assim que esses usuários atualizaram para uma nova versão do software – quase como dezenas de milhões de pessoas atualizam um iPhone a cada poucas semanas – os russos de repente tiveram acesso a toda a sua rede.
No último ataque, o SVR, conhecido como operador furtivo no mundo cibernético, usou técnicas mais semelhantes à força bruta. Conforme descrito pela Microsoft, a incursão envolveu principalmente a implantação de um enorme banco de dados de senhas roubadas em ataques automatizados com o objetivo de levar hackers do governo russo aos serviços em nuvem da Microsoft. É uma operação mais confusa e menos eficiente – e só funcionaria se alguns dos revendedores de serviços em nuvem da Microsoft não tivessem imposto algumas das práticas de segurança cibernética que a empresa exigiu deles no ano passado.
A Microsoft disse em um blog programado para ser tornado público na segunda-feira que faria mais para fazer cumprir as obrigações contratuais de seus revendedores para implementar medidas de segurança.
“O que os russos estão procurando é acesso sistêmico”, disse Christopher Krebs, que dirigia a Agência de Segurança Cibernética e de Infraestrutura no Departamento de Segurança Interna até ser demitido pelo presidente Donald J. Trump no ano passado por declarar que as eleições de 2020 haviam sido executado honestamente e sem fraude significativa. “Eles não querem tentar entrar nas contas uma por uma”.
Autoridades federais dizem que estão usando agressivamente novas autoridades de Biden para proteger o país de ameaças cibernéticas, notando particularmente um novo e amplo esforço internacional para desmantelar gangues de ransomware, muitas das quais sediadas na Rússia. Com uma equipe nova e muito maior de funcionários graduados supervisionando as operações cibernéticas do governo, Biden tem tentado impor mudanças de segurança que devem tornar ataques como o mais recente muito mais difíceis de realizar.
Em resposta à SolarWinds, a Casa Branca anunciou uma série de prazos para agências governamentais e todos os contratados que lidam com o governo federal, para realizar uma nova rodada de práticas de segurança que os tornaria alvos mais difíceis para russos, chineses, iranianos e norte-coreanos hackers. Essas etapas incluem etapas básicas como um segundo método de autenticação de quem está entrando em uma conta, semelhante a como os bancos ou empresas de cartão de crédito enviam um código para um telefone celular ou outro dispositivo para garantir que uma senha roubada não seja usada.
Mas a adesão aos novos padrões, embora melhorada, permanece irregular. As empresas muitas vezes resistem às ordens do governo ou dizem que nenhum conjunto único de regulamentações pode enfrentar o desafio de bloquear diferentes tipos de redes de computadores. Um esforço do governo para exigir que as empresas relatem violações de seus sistemas ao governo dentro de 24 horas, ou sejam sujeitas a multas, encontrou intensa oposição de lobistas corporativos.
Discussão sobre isso post