Ação de espionagem cibernética mais audaciosa de que se tem notícia, a inserção de vírus em aplicativos da empresa de software SolarWinds permitiu que hackers se infiltrassem em órgãos do governo americano e empresas do porte da Microsoft, o que pode levar ao roubo de informações secretas por um longo período. Caso escancara as vulnerabilidades dos mecanismos de defesa no meio virtual e, tal como a pandemia de Covid-19, revela o fracasso da cooperação internacional para lidar com esse tipo de contágio.
Enquanto a pandemia de Covid-19 se espalhava pelo mundo, outro vírus misterioso e com efeitos devastadores de longo prazo também se multiplicava despercebido pelo planeta.
Em algum momento entre o final de 2019 e início de 2020, um grupo de hackers experientes inseriu um malware (vírus criado para danificar dados e roubar informações) em aplicativos de rede fornecidos pela SolarWinds, fabricante de softwares de infraestrutura de TI com sede no Texas. A decisão de focar a SolarWinds foi estratégica, dada a vasta clientela da empresa nos Estados Unidos e no mundo.
Exposto publicamente em dezembro, o malware infeccioso —apelidado de Sunburst pela firma de segurança cibernética FireEye e pelo Solarigate da Microsoft— faz parte da campanha de espionagem cibernética mais audaciosa da história. Por meses, os invasores se infiltraram em organizações governamentais e privadas por meio de uma atualização do software de gerenciamento de segurança cibernética Orion.
Como o coronavírus, o Sunburst e outro malware descoberto recentemente revelam o lado negativo da conectividade global e o fracasso da cooperação internacional para lidar também com esse tipo de contágio.
O que diferencia o ataque a SolarWinds dos incidentes anteriores é a sua escala. A empresa tem mais de 300 mil clientes em todo o mundo, de acordo com registros feitos à Comissão de Valores Mobiliários dos Estados Unidos. Ao longo de 2020, a SolarWinds enviou atualizações de software para cerca de 18 mil deles. Até o momento, 250 redes podem ter sido afetadas.
Pouco depois de ser baixado, o vírus executa comandos chamados “jobs”, que criam métodos para transferir arquivos, desativar serviços e reinicializar máquinas. Os alvos incluem os departamentos de Defesa, de Segurança Interna, de Estado, de Energia e de Tesouro dos EUA, as Forças Armadas do país, o setor de segurança nuclear e 425 empresas da lista Fortune 500, que vão desde Cisco e Equifax até Mastercard e Microsoft.
Ao comprometer o governo e as empresas mais poderosos do mundo, incluindo líderes de tecnologia, o ataque à SolarWinds destrói a ilusão da segurança da informação. A situação também assustou o setor de serviços financeiros.
Poucas horas após a descoberta do problema, especialistas em segurança cibernética apontaram o Serviço de Inteligência Estrangeiro da Rússia, ou SVR, como o provável culpado. A unidade de elite de hackers da Rússia, conhecida nos círculos de segurança cibernética como Advanced Persistent Threat 29 (Ameaça Persistente Avançada 29), APT29 ou Cozy Bear, é conhecida há tempos.
Acredita-se que o SVR tenha comandado as violações digitais à Casa Branca, ao Departamento de Estado e do Estado-Maior Conjunto em 2014 e 2015, bem como o infame incidente com o Comitê Nacional Democrata (DNC) durante a campanha eleitoral de 2016. O SVR teria invadido os servidores do DNC ao lado do APT28, também conhecido como Fancy Bear, uma equipe supervisionada pela agência de inteligência russa, a GRU. A GRU supostamente roubou emails e os divulgou na internet.
O Departamento de Justiça dos EUA denunciou 12 russos suspeitos de envolvimento no caso em 2018. Poucos dias depois que o episódio da SolarWinds se tornou público, a Agência de Segurança de Infraestrutura e Cibersegurança dos EUA advertiu que o ataque “representa um risco grave” para os governos federal, estadual e local, bem como para empresas privadas.
Um dos desafios mais frustrantes para as vítimas de ciberespionagem e ciberataques é a dificuldade de identificar seus autores. Embora o episódio da SolarWinds tenha sido associado ao SVR em uma declaração conjunta das agências de inteligência dos EUA na primeira semana de janeiro de 2021, é difícil ter certeza.
Para complicar as coisas, suspeita-se que um outro malware que tinha como alvo a empresa seja oriundo de um grupo diferente. Ao mesmo tempo, os investigadores dos Estados Unidos estão analisando o possível envolvimento da JetBrain, uma empresa tcheca fundada na Rússia, na disseminação de código infectado por meio de seu produto TeamCity.
Por sua vez, a embaixada russa em Washington publicou uma declaração no Facebook negando responsabilidade e descrevendo os ataques como contrários aos interesses da política externa do país. Acrescentou ainda que “a Rússia não conduz operações [cibernéticas] ofensivas”. Contradizendo seu próprio secretário de Estado, o ex-presidente Donald Trump concordou com os russos, sugerindo que a China poderia ser a culpada.
O que também distingue o caso da SolarWinds é a maneira como se deu o ataque e o fato de que pode servir como ponte para ações futuras. Diferentemente do ocorrido em invasões cibernéticas contra empresas como Equifax (2017) e Sony (2014), é extremamente difícil rastrear o que aconteceu e determinar quais dados foram acessados.
As vítimas do ataque da SolarWinds não estavam restritas a uma única organização ou departamento e não é possível simplesmente eliminar o malware limpando o sistema. Ao contrário: os hackers garantiram que teriam acesso de longo prazo adicionando novas credenciais e usando privilégios administrativos para conceder a si próprios permissões para acessar várias partes da infraestrutura de TI de suas vítimas. Assim, o roubo de informações de redes protegidas pode durar anos.
O caso é um exemplo de ataque de cadeia de suprimentos em cascata —o que significa que se estende muito além dos próprios clientes diretos da companhia. Embora ninguém saiba ainda quantos governos e empresas foram afetados, dezenas de milhares de outras entidades estão em risco —muitas das quais têm pouco a ver com a SolarWinds.
Como os produtos da empresa são projetados para monitorar redes digitais e, portanto, estão no centro da infraestrutura de TI, eles têm amplo acesso e poucas restrições ao seu alcance. Para piorar as coisas, a SolarWinds supostamente encorajou os clientes a relaxar as restrições antivírus e de segurança existentes, o que significa que a rede estava mais vulnerável que o normal.
Os invasores fizeram uso desse acesso irrestrito para roubar permissões e códigos-fonte de empresas como a Microsoft e comprometer ainda mais alvos. Um relatório feito pela Microsoft após a ação e amplamente divulgado indicou que cerca de 80% dos 40 clientes identificados como comprometidos estavam sediados nos Estados Unidos, com o restante espalhado por Bélgica, Canadá, Israel, México, Espanha, Reino Unido e Emirados Árabes Unidos.
Mais de 44% dos alvos operavam no setor de tecnologia da informação, outros 27% eram governos e 18%, ONGs, o que mostra os efeitos potencialmente ilimitados de violações nessas redes.
A façanha é um lembrete das linhas tênues que separam a espionagem da guerra —e da dificuldade de formular uma resposta proporcional. Não existe uma norma internacional estabelecida contra a espionagem; a coleta clandestina de informações é uma característica tolerada das relações internacionais.
Quando a espionagem é exposta publicamente, o que normalmente se segue é alguma forma de condenação ou sanções, além de esforços para aprimorar os mecanismos de defesa. No entanto, a vasta escala do ataque à SolarWinds e a grande probabilidade de casos similares ainda não detectados devem forçar uma reflexão. A possibilidade de usar ataques cibernéticos como arma política, inclusive sabotando serviços públicos (como foi o caso em uma recente situação entre Israel e Irã), representa uma ameaça de enormes proporções.
O caso da SolarWinds levanta questões urgentes sobre a governança da internet. Oferece um lembrete perturbador da ausência de salvaguardas globais reconhecidas para prevenir e responder a ataques cibernéticos. Até o momento, o status quo convinha aos Estados Unidos, junto com China, Israel, Coreia do Norte e Rússia. Não é mais o caso.
As últimas revelações sublinham os riscos sistêmicos de adotar uma abordagem laissez-faire para gerenciar os bens comuns digitais. Isso não quer dizer que o problema tenha passado despercebido. Por duas décadas, um grupo governamental de especialistas convocado pelas Nações Unidas tentou estabelecer normas básicas para a governança cibernética, mas as principais potências ainda não chegaram a um acordo sobre princípios. As implicações de não haver regras estabelecidas são mais perigosas do que nunca.
Robert Muggah