Mundo

Revelações de ataques cibernéticos nos EUA provavelmente apenas a ponta do iceberg
Espionagem destinada ao governo, os grandes negócios eram 'sustentados, direcionados, de longo alcance', dizem analistas
Por Christina Pazzanese - 20/12/2020


Praça Vermelha em Moscou. Mikolajn / iStock

Os hackers se infiltraram nas redes de computadores de algumas das maiores corporações do país, das principais empreiteiras de defesa e das principais agências do governo dos Estados Unidos, incluindo agências de segurança nacional, no que os analistas de segurança acreditam ser uma violação "muito significativa".

Até agora, sabe-se que o Departamento de Segurança Interna, partes do Pentágono, o Tesouro dos EUA, o Departamento de Comércio, os Centros de Controle e Prevenção de Doenças e os Institutos Nacionais de Saúde tiveram sistemas atacados por meio de malware instalado em uma rede amplamente usada software de monitoramento. A onipresença do software e a probabilidade de os hackers terem acesso por meses significa que muitos outros alvos podem ser afetados, incluindo a Agência de Segurança Nacional.

As autoridades americanas supostamente souberam da violação recentemente, depois que uma empresa privada de segurança cibernética, a FireEye, os informou que algumas ferramentas de hacking foram roubadas, de acordo com o The New York Times . O escopo total da violação e a metodologia precisa permanecem desconhecidos, mas analistas dizem que sua complexidade e habilidade apontam para o serviço de inteligência estrangeira da Rússia como o perpetrador mais provável.

Paul Kolbe , um ex-funcionário sênior da CIA e especialista em Rússia que agora supervisiona o Projeto de Inteligência do Belfer Center na Harvard Kennedy School (HKS), e Lauren Zabierek , diretora executiva do Projeto Cibernético do Centro , falaram como obter uma compreensão mais profunda do ataque cibernético e uma noção do que os EUA podem fazer a seguir.

Perguntas & Respostas
Paul Kolbe e Lauren Zabierek


Quão prejudicial isso parece ser?

KOLBE: Provavelmente estamos vendo a ponta do iceberg agora. O que está claro é que a sofisticação, o escopo, a profundidade disso, e quão duradouro foi, quantas entidades governamentais e não governamentais que afetou, é realmente significativo. Se alguém [meio] para contornar os sistemas de segurança estivesse manipulando ou contornando a autenticação de dois fatores, que muitas empresas e lugares ... usam, isso seria muito significativo porque essa é uma defesa primária que os sistemas financeiros, sistemas altamente classificados, sistemas que as organizações estão tentando para fornecer segurança extra. Se eles estão encontrando maneiras de superar isso, isso aumenta o dano potencial e carrega implicações mais amplas do que apenas essa série específica de hacks.

É um grande incidente e é excepcional pelo fato de ter ocorrido, mas não é excepcional em termos dos tipos de atividades que acontecem todos os dias, os tipos de espionagem que são conduzidos contra o governo dos Estados Unidos e empresas.

Acredita-se que o serviço de inteligência externa da Rússia, o SVR, seja o responsável. Parece trabalho de hackers russos? Poderia ser outra pessoa?

ZABIEREK: Definitivamente, há um grupo limitado de atores que poderiam realizar uma campanha tão sustentável, direcionada e de longo alcance. Certamente não posso atribuir isso a um ator específico; Eu definitivamente deixaria isso para os especialistas tomarem essa decisão. Em geral, os russos estão definitivamente interessados ​​em alvos do governo, em semear desconfiança, especialmente com o pedaço FireEye, nessas instituições em particular, e a espionagem direcionada e sustentada contra nossas entidades federais, enquanto um ataque ou violação norte-coreana seria mais motivado financeiramente. O hack Wanna Cry tinha o objetivo de gerar finanças. A China, novamente de maneira geral, tende a se concentrar no roubo de propriedade intelectual ou no roubo de dados sobre as pessoas. Mas para mim, isso definitivamente parece mais uma operação russa.

Eu acho interessante que eles tenham como alvo esse software específico do qual muitos de nós nunca ouvimos falar e que é usado por uma grande quantidade de clientes. Acho que sozinho provavelmente demorou muito para descobrir da parte deles. Então, aquele direcionamento inicial e, em seguida, sondar para ver quais vulnerabilidades existem e se existem quaisquer vulnerabilidades de dia zero e, em seguida, desenvolver explorações para elas, penetrar nesses buracos e entrar - o cronograma em que estão dizendo isso começou na primavera de 2020 - isso parece muito, muito rápido. Não há muito tempo para executar tal ataque.

KOLBE: Os chineses têm os recursos para fazer isso e estaria bem dentro de seu MO. Mas pelo que estou lendo, as ferramentas de malware específicas que estão sendo usadas são claramente identificáveis ​​com os russos e com o SVR.

Conforme a lista de entidades vitimizadas cresce, isso sugere mais sobre o que elas buscavam?

KOLBE: Uma das coisas impressionantes é quanto tempo isso aparentemente aconteceu. Eles tiveram muito tempo para sentar em silêncio nas sombras digitais, mapeando as redes, estudando-as, vendo para onde se ligam, vendo onde estão os bolsões de informação que podem ser úteis, indo atrás de algumas coisas que sabem que querem . Mas também, quase certamente, encontrar e recolher coisas para usar em um dia chuvoso.

Quanto ao escopo, apenas mostra que é muito mais amplo. Mostra um apetite realmente voraz por muitas fontes de informações e dados diferentes e potencialmente valiosas. Nada que eu tenha visto realmente mostra - e vai demorar um pouco até que as pessoas descubram, se é que alguma vez, o que foi realmente acessado e o que foi realmente exfiltrado e roubado - mas o fato de que são tantas organizações em um amplo escopo de atividades indica uma abordagem de “lançar uma rede ampla”. Mas, certamente, dentro dessas organizações, há, sem dúvida, esforços para identificar e direcionar os conjuntos de dados mais valiosos. Quase com certeza eles não foram capazes de obter tudo a que poderiam ter acesso. [Algo] como 13.000 ou 18.000 empresas diferentes carregaram o software. Quer dizer, é um grande esforço potencial.

Os EUA ainda estão litigando a última grande violação russa de 2015-2016. Você está surpreso que um ataque dessa magnitude tenha acontecido novamente tão cedo?

KOLBE: Não, estou surpreso que não tenhamos mais notícias. SVR, os chineses, outros, todos eles desenvolveram enormes capacidades, têm bons recursos, boa equipe e estão focados em fazer exatamente isso. Este não é um caso isolado, não é algo incomum. A extensão disso soa muito grande, mas é, na verdade, o que é realidade e o que está acontecendo todos os dias. Garanto a você que existem outras operações semelhantes em tamanho e escopo, senão maiores, que não foram descobertas.

Como é feita uma investigação sobre isso e quanto tempo pode levar?

KOLBE: Haverá uma grande operação forense para determinar o que aconteceu, ou seja, seguindo as migalhas de pão, com que migalhas de pão eles podem encontrar, tentando determinar de onde veio, em quais sistemas proliferou? E isso pode ser impossível de determinar porque muitas vezes o que acontece é que, enquanto as pessoas manobram pelas redes, elas estão apagando seus rastros à medida que avançam. E se houver extração de informação, ou seja, roubo, ela não terá sumido, então é difícil determinar se foi roubada ou não. Portanto, podemos nunca saber exatamente quais sistemas foram acessados ​​e quais informações foram perdidas. Portanto, é um trabalho forense massivo, uma triagem massiva do que teria sido mais importante e, em seguida, uma avaliação de danos: se isso foi perdido, o que significa?

Isso pode levar muito tempo para ser concluído. Potencialmente meses?

KOLBE: Facilmente.

O que pode ser feito para reforçar os sistemas violados enquanto uma investigação está em andamento?

ZABIEREK: Há muitas coisas que podemos fazer enquanto isso. Você tem seus respondentes de incidentes que irão essencialmente limpar e reconstruir ou limpar e fechar qualquer tipo de falha na rede. Portanto, elimine quaisquer intrusos, potencialmente conserte qualquer uma dessas vulnerabilidades se eles precisarem continuar trabalhando com aquele software específico.

A CISA, Agência de Segurança de Infraestrutura de Segurança Cibernética, é responsável por proteger as redes federais e, claro, o Departamento de Defesa é responsável por proteger as redes do DoD. Então, agora mesmo, você definitivamente tem ciberdefensores no DoD trabalhando para garantir que nossas redes do DoD estejam protegidas e não sejam comprometidas. Mas há uma falta real de capacidade agora sem um diretor confirmado.

Posteriormente, uma vez finalizada a atribuição, o governo federal, o governo, seja antes de Biden assumir a liderança ou não, pode tomar uma decisão sobre o que fará naquele nível. Temos o Escritório de Engajamento Cibernético no Departamento de Estado, mas esse escritório foi incorporado, acho, aos assuntos econômicos. Então, você não tem mais aquele diplomata cibernético de alto nível confirmado para se envolver diplomaticamente.

Você tem o CyberCom [US Cyber ​​Command] que vai se engajar no ciberespaço; a comunidade de inteligência está fazendo certas coisas. Mas, do ponto de vista doméstico, o atual governo prejudicou nossa capacidade de responder de determinadas maneiras. Não tenho certeza do que eles fariam. Se houver um diretor cibernético nacional [sob a administração Biden], por exemplo, e eles reinstalarem o Bureau de Assuntos Cibernéticos do Departamento de Estado, então acho que você terá uma resposta muito mais forte.

A investigação e a resposta dos EUA serão prejudicadas pela transição para um novo governo?

KOLBE: Acho que não. Ele se encaixa em um longo, longo, longo padrão de espião versus espião. E sejam espiões humanos ou ciberespiões, espiões digitais ou espiões humanos, o jogo continua. Espiões serão pegos, haverá uma breve onda de imprensa e protestos e expressões de choque, e então o pessoal volta ao trabalho. Não acho que o governo Biden permitirá que o que é essencialmente uma operação de espionagem descoberta, mude sua visão da Rússia, que eu acho que é muito clara para começar. Não vai ajudar em nenhuma renovação das discussões. Mas em coisas como controle de armas e outras questões que são de interesse central nas relações bilaterais, também não terá impacto sobre elas, não acho.

O presidente eleito Biden e o vice-presidente eleito Harris receberão informações detalhadas sobre isso para que eles estejam atualizados?

KOLBE: Com certeza, se não por outro motivo, a equipe de transição é um alvo altamente atraente.

As entrevistas foram editadas para maior clareza e extensão.

 

.
.

Leia mais a seguir