Hackers fantasmas: o mistério da segurança cibernética que ninguém resolveu

Na longa história do hacking, ocorreram inúmeras violações de dados que, anos ou mesmo décadas depois, permanecem sem solução. Inúmeros hackers e grupos de hackers por trás deles nunca foram desmascarados.

Mas grupos de hackers prolíficos são pegos. Isso é verdade quer sejam cibercriminosos como o LAPSUS$, uma notória gangue de extorsão que comprometeu empresas, incluindo Microsoft e Nvidiaque tiveram vários membros presos, ou sofisticados grupos de hackers governamentais da Rússia e da China, cujos membros foram nomeados, indiciados e colocados em listas dos mais procurados.

Ainda assim, alguns dos casos mais fascinantes da história da cibersegurança permanecem em aberto – sem culpados, sem respostas e, em alguns casos, nem mesmo um motivo claro. Decidimos revisitar vários deles em uma série de artigos, começando com um dos episódios mais estranhos da história dos vazamentos de inteligência.

A primeira parte centra-se nos Shadow Brokers – um grupo enigmático que surgiu online, despejou um tesouro de ferramentas de hacking que se acredita pertencerem à NSA e depois desapareceu.

No verão de 2016, no meio dos ataques cibernéticos russos relacionados com as eleições presidenciais dos EUA, o grupo apareceu no Twitter. Eles se vincularam a um Postagem Pastebin e @ mencionou vários meios de comunicação – uma estratégia estranha e ineficaz que significava que a maioria desses meios de comunicação provavelmente nunca viu os tweets.

Mas se alguém tivesse clicado no link, teria visto um documento intitulado “Leilão de armas cibernéticas do Equation Group – Convite” – uma referência à obscura operação de hackers que se acredita ser dirigida pela NSA.

“!!! Atenção, patrocinadores governamentais da guerra cibernética e aqueles que lucram com ela!!!! Quanto você paga pelas armas cibernéticas dos inimigos?” escreveram os hackers, alegando ter hackeado o Equation Group.

O documento incluía links para download de algumas ferramentas de hacking, bem como um link para download de um arquivo criptografado que os compradores interessados ​​poderiam descriptografar fazendo uma oferta. “Arquivos leiloados são melhores que o Stuxnet”, escreveram eles, referindo-se ao famoso malware usado contra instalações nucleares iranianas em um ataque cibernético EUA-Israel em 2007. Eles pediram pelo menos um milhão de Bitcoins.

O vazamento rapidamente atraiu a cobertura da imprensa. Assim que os investigadores de segurança analisaram as ferramentas, perceberam que se tratava de armas cibernéticas excepcionalmente sofisticadas, muito provavelmente roubadas da NSA – uma suspeita reforçada pelo facto de alguns nomes partilhados com programas revelados pelo denunciante da NSA, Edward Snowden.

O leilão provavelmente foi um estratagema, já que o grupo acabou descartando publicamente muitas das ferramentas meses depois. Muito sobre os Shadow Brokers fazia pouco sentido. O inglês ruim deles era quase cômico, como se eles estivessem se esforçando demais ou sinalizando deliberadamente o artifício. Apesar de claramente buscar atenção – e receber bastante cobertura da imprensa – o grupo só falou com um jornalista uma vez, dando uma breve entrevista para Joseph Cox da 404 Media, então repórter da VICE Motherboard.

Dez anos depois, não sabemos literalmente nada sobre quem estava por trás da personalidade dos Shadow Brokers. Cox e eu entrevistou ex-funcionários da NSA na época, que disse que um membro ou ex-integrante da NSA poderia estar envolvido. Mas ninguém jamais foi preso e acusado – o que é extraordinário, visto que este foi sem dúvida um dos piores vazamentos de ferramentas de hacking da inteligência dos EUA de todos os tempos.

Um potencial suspeito era Harold T. Martin III, um contratado da NSA preso por roubar informações confidenciais da agência. Mas a teoria tem um problema: enquanto Martin estava sob custódia, os Shadow Brokers permaneceram ativos online. Ele nunca foi formalmente acusado em conexão com os vazamentos. A teoria mais amplamente creditada é que os Shadow Brokers foram criados por um grupo de espionagem do governo russo como ferramenta de propaganda.

O impacto foi enorme. Entre as ferramentas lançadas, a Shadow Brokers publicou Eterno Azul — uma família de vulnerabilidades de dia zero direcionadas ao Windows que permitiu que hackers invadissem computadores em uma rede invadida, expandissem rapidamente seu acesso e implantassem worms de autopropagação. (Vulnerabilidades de dia zero são falhas desconhecidas pelo fabricante do software, o que significa que ainda não existe nenhum patch.) Os hackers norte-coreanos usaram o EternalBlue para liberar o Verme ransomware WannaCry. Mais tarde, hackers russos o incorporaram NãoPetyaque ultrapassou os seus objectivos iniciais na Ucrânia e causou danos estimados em 10 mil milhões de dólares a nível mundial. Para as empresas, a lição foi dura: as vulnerabilidades acumuladas pelas agências de inteligência não permanecem secretas para sempre – e quando vazam, o setor privado paga o preço.

O tesouro ainda está rendendo descobertas. Entre as ferramentas vazadas estava uma contendo uma lista de nomes de projetos – incluindo um chamado Fast16, sinalizado apenas com o rótulo “NADA PARA VER AQUI – CONTINUE”. Mês passadoos pesquisadores anunciaram que o localizaram e examinaram, encontrando malware datado de 2005, projetado para adulterar software supostamente usado por cientistas nucleares iranianos.