Espalha-se a espionagem cibernética apoiada por governos e o seu impacto nas relações geopolíticas vai crescendo.
O que está acontecendo agora?
Operações cibernéticas têm aumentado progressivamente por pelo menos duas décadas, bem distante da atenção dos cidadãos comuns. Dito isso, duas tendências estão convergindo em uma direção que sugere que as ações de espiões cibernéticos e geopolíticos estão prestes a se tornarem muito mais públicas daqui para frente.
Novos vetores de ataque estão surgindo da computação móvel e em nuvem e da Internet das Coisas (IoT). Do ponto de vista da segurança, a crescente importância da computação móvel, da nuvem e da IoT se traduz em novas camadas acima do já vasto cenário de ameaças. E segundo, tem havido uma explosão de inovação relacionada a redes zumbi, o canivete suíço dos principais grupos de cibercriminosos. Veja o que isso significa daqui para frente.
Expansão do panorama
Rússia, China, Coreia do Norte e Irã continuam a apoiar proativamente e direcionar cibercriminosos profissionais engajados em espionagem cibernética, roubo de dados e infiltração de rede; enquanto os EUA, o Reino Unido e Israel também se engajam nessas operações cibernéticas, como mencionado anteriormente.
De uma perspectiva defensiva, a situação não é boa. Estamos cada vez mais dependentes de dispositivos móveis e computação em nuvem, assim como também há uma rápida expansão dos sistemas de IoT – sem abordar de forma abrangente os problemas de segurança que surgem. Então, o panorama de ameaças continua se expandindo.
Para piorar as coisas, falhas de segurança continuam aparecendo em sistemas antigos profundamente integrados em redes corporativas. Isso representa um território ainda não explorado e o exemplo mais recente é ainda mais peculiar. Poucos meses atrás, a Microsoft foi obrigada a lançar uma atualização de segurança de emergência* para o Windows XP e o Windows 2003, sistemas operacionais antigos e considerados obsoletos, que já não contavam com suporte da empresa fazia alguns anos.
O problema são os sistemas operacionais Windows mais antigos, que continuam sendo amplamente utilizados em redes comerciais. Essa vulnerabilidade mais recente é semelhante àquela que antecipou o WannaCry e que infectou mais de 200 mil indivíduos e empresas em 150 países.
Simon Pope, diretor de resposta a incidentes da Microsoft, contextualiza essa última falha de forma rígida em uma postagem*: “Essa vulnerabilidade é pré-autenticada e não precisa de nenhuma interação do usuário. Em outras palavras, a vulnerabilidade pode se tornar viral, o que quer dizer que qualquer malware que explore essa brecha poderá se propagar de um computador vulnerável para outro computador, de um jeito semelhante a como funcionava o malware WannaCry”.
Alvos principais
Sabemos que os russos derrubaram as plantas de energia da Ucrânia, que o Irã invadiu o setor industrial da Arábia Saudita* e que os EUA e Israel usaram o “Stuxnet” contra as plantas nucleares iranianas*. Isso mostra que controles industriais são os alvos principais de operações cibernéticas apoiadas por governos. O Stuxnet também foi um verme que procurava servidores Windows antigos sem atualizações de segurança.
Um problema aparentemente intratável é que empresas, especialmente indústrias, são incrivelmente lentas na implementação de correções de segurança ou substituição de servidores mais antigos. Depois que a Microsoft lançou esta última correção, a empresa de segurança CyberX analisou o tráfego de mais de 850 redes de produção e descobriu que 53% continuam a usar servidores Windows mais antigos e sem suporte.
“A correção de computadores em redes de controle industrial é um desafio. Geralmente essas redes operam 24 horas por dia e sete dias por semana, controlando processos físicos em larga escala, como refino de petróleo e geração de eletricidade”, aponta Phil Neray, vice-presidente de cibersegurança industrial da CyberX.
Isso quer dizer que essas ameaças vão acabar com a indústria? Será que os bandidos vão colocar em prática as lições aprendidas com o WannaCry e explorar mais profundamente essa última falha, antes que os mocinhos consigam fazer uma atualização de segurança?
Proliferação das redes zumbi
Como sabemos, o WannaCry foi desenvolvido e lançado pela Coreia do Norte*, principalmente como uma forma de fazer dinheiro, como é a fama dos cibercriminosos* apoiados por Kim Jong-un. Nos dois anos posteriores ao WannaCry, as táticas e ferramentas usadas pelos coletivos de cibercriminosos de elite avançou consideravelmente, em especial no que diz respeito à expansão do uso de redes zumbi.
As redes zumbi abrangem um grande número de PCs infectados, servidores e nós de computação virtual. Círculos criminosos usam as redes zumbi para espalhar malwares, invadir redes, lançar vermes, roubar dados e armazenar dados roubados. O relatório “Bad Bot Report 2019”*, da fornecedora de segurança Distill Network, destaca como as “redes zumbi persistentes avançadas” (APBs, da sigla em inglês) são projetadas para realizar atividades altamente sofisticadas. As APBs podem percorrer automaticamente dezenas de milhares de endereços IP, utilizar inúmeros proxies anônimos, trocar identidades rapidamente e fazer outros truques sofisticados para reforçar sua resiliência.
Enquanto isso, um recente relatório* da Nokia identifica a mais nova fonte das redes zumbi: os dispositivos IoT, como roteadores domésticos, câmeras de bebês e equipamentos de escritórios. Cerca de 78% do tráfego de malwares detectado pela Nokia em 2018 veio de redes zumbi compostas por dispositivos IoT, mais do que o dobro da taxa detectada dois anos antes, em 2016.
Segundo a Nokia, a fonte de boa parte desse tráfego suspeito de redes zumbi IoT vem de pesquisadores testando novas formas de explorar a rede. No entanto, é só uma questão de tempo antes que as redes zumbi IoT sejam suficientemente refinadas para ajudar a realizar atividades sofisticadas, do tipo que a Distil vem rastreando. É provável que esforços apoiados por governos movam a bola para frente.
Estamos vivendo em um tempo em que controvérsias geopolíticas estão em um ritmo acelerado. Tudo isso é alimentado pela coleta de inteligência e contrainteligência; pela engenharia social e pela propaganda; sem contar no roubo de dados e nas interrupções das redes. É uma corrida armamentista como nenhuma outra.
* Original em inglês.