A face oculta da investigação sobre o ataque à WADA

Por , 10 de October de 2016 a las 19:00
A face oculta da investigação sobre o ataque à WADA
digital

A face oculta da investigação sobre o ataque à WADA

Por , 10 de October de 2016 a las 19:00

Não há dúvida de que o ciberespaço é o novo campo de batalha das agências de segurança para proteger seus ativos mais valiosos ante potenciais ataques cibernéticos.

No entanto, como no mundo físico, os meios de comunicação também adquirem um papel importante para a criação de uma argumentação na opinião pública sobre a origem desses ataques cibernéticos. Como resultado, estamos acostumados a ouvir que todos nossos males no mundo virtual vêm da Rússia, Coréia do Norte e China ou grupos organizados localizados dentro de suas fronteiras.

Um exemplo disto podemos encontrar no roubo de informações da Agência Mundial Antidopagem (World Anti Doping Agency ou WADA, por sus siglas em Inglês). Imediatamente depois de ter produzido a primeira filtração em que foi publicado que os atletas norte-americanos tinham consumido substâncias proibidas com o consentimento do Comitê Olímpico Internacional (COI), a própria agência publicou em uma declaração oficial que foi informada pelas autoridades que o ataque cibernético veio da Rússia e foi protagonizado pelo grupo chamado Fancy Bear. Mas será que é tão fácil investigar sua origem? A ElevenPaths, unidade de segurança cibernética da Telefónica, publicou um relatório (em espanhol) que analisa o caso.

O que se sabe sobre a informação apresentada

No dia 13 de setembro, o grupo identificado como @FancyBears no Twitter publicava em um site recém-criado informações sobre quatro conhecidas atletas de elite e que, supostamente, foram roubadas em uma ação perpetrada contra a WADA. Este incidente ocorria apenas algumas semanas depois de enviar uma série de e-mails de spear phishing para coletar as credenciais de usuários desta organização.

As informações publicadas nos sites pertencentes ao grupo incluía vários arquivos PDF e capturas de tela do que pareciam ser relatórios oficiais da WADA. Os metadados dos documentos extraídos mostravam o nome chnd (um usuário administrativo da organização), o software OpenOffice 2.1 do que se conhece vulnerabilidades de execução remota e a data de 31 de agosto de 2016 em um fuso horário UTC-4.

No que diz respeito à difusão web

As entidades cibernéticas envolvidas usavam uma narrativa característica associada tradicionalmente ao coletivo hacktivista Anonymous que os próprios autores enquadram no contexto de uma operação em maior escala chamada de #OpOlympics. Por outro lado, há evidências de que a marca Fancy Bear Hack Team foi associada, em fevereiro de 2016, a outros grupos hacktivistas ligados à Rússia como APT28.

Nas páginas web usam como data de filtração 13 de setembro, o que poderia indicar uma diferença horária que coloca o infiltrado no fuso horário de, pelo menos, UTC+3 (horário de Moscou). A segunda parte da filtração foi publicada no site no 15 de setembro. No entanto, cabeçalhos consultados em 15 de Setembro mostram como data da última modificação 14 de setembro de 2016 às 21:30 GMT, ou seja, na quarta-feira, 14 de setembro 23:30 de UTC+2 e 15 de setembro para o fuso horário UTC+3 e anteriores. Esta circunstância é consistente com a hipótese debatida pela WADA sobre as origens do ataque.

Em sua conta do Facebook também está publicada a informação filtrada. Embora o primeiro comentário está em grego, 6 dos 10 seguintes estão em russo, o que também sugere uma primeira divulgação da página do Facebook em plataformas de língua russa.

Enquanto isso, o domínio fancybear.org está registrado com um fornecedor de registro anônimo enquanto fancybear.net foi identificado com informação adicional que possa apontar para um usuário na França com uma conta gmx.com. Ambos os domínios foram registrados muito recentemente: em 01 de setembro de 2016.

Os comentários do código HTML usados para exibir a página web em que aparece a primeira parte do vazamento, estavam em coreano, embora se correspondessem com palavras simples, tais como: conteúdo (함유량), redes sociais (소셜) 네트워킹) ou final (끝). Curiosamente, após o lançamento da segunda parte do vazamento, não voltaram a encontrar esses comentários.

wadattack2

Finalmente, uma das imagens da fancybear.net é 0_125b8b_3cb8177e_M.png com hash MD5 a20350dc2e412a9c351d83571ecc3251. Curiosamente, a única referência que foi identificada na internet a uma imagem com esse nome está no site de língua russa kira-scrap.ru.

Não é tão fácil atribuir uma ação na rede

Uma das máximas da delinquência cibernética, também internalizada por coletivos hacktivistas é a segurança em operações, também conhecido como OpSec. A OpSec refere-se à utilização de técnicas para evitar a exposição da infraestrutura tecnológica e ocultar os métodos usados pelos invasores. No caso de Fancy Bear, foram identificadas informações por vezes contraditórias, por isso não é possível descartar completamente que se trate de um ataque de bandeira falsa em que a informação foi intencionalmente exposta para fazer acreditar que o ataque vem da Rússia. Infelizmente, muitas vezes o único que se pode fazer é esperar que os criminosos cometam um erro para trazê-los à justiça.

Texto Anterior

Filmes em realidade virtual. Quando jogo e vídeo se misturam

Filmes em realidade virtual. Quando jogo e vídeo se misturam
Próximo Texto

Páginas pessoais: sua carta de apresentação online

Páginas pessoais: sua carta de apresentação online