Por que os especialistas em segurança acreditam que a Rússia hackeou rede democrata

Desde que as autoridades do Comitê Nacional Democrata descobriram que suas redes de dados estavam comprometidas, há algumas semanas, um coro crescente de especialistas e autoridades viram evidências de que o governo russo foi o responsável.

Nos meses que se passaram, a infiltração e suas consequências deram voltas surpreendentes e muitas vezes bizarras, culminando em um escândalo político nesta semana quando a Convenção Nacional Democrata começou na Filadélfia. Mas uma constante permaneceu: um corpo cada vez maior de evidências forenses envolvendo o governo russo.

As primeiras pistas surgiram em maio, depois que autoridades do comitê notaram uma atividade incomum em sua rede. Elas contrataram a empresa de segurança cibernética CrowdStrike para investigar, e seus especialistas rapidamente encontraram a fonte da atividade: um grupo de hackers havia acessado no final de abril os sistemas da equipe de pesquisa de oposição do comitê, do qual o grupo havia roubado dois arquivos contendo informação sobre Donald Trump, que acabaria se tornando o candidato republicano nomeado para presidente.

Os investigadores determinaram que os hackers faziam parte do APT 28, grupo conhecido entre especialistas em cibersegurança. O nome é a sigla de "advanced persistent threat" [ameaça avançada persistente], que geralmente se refere a hackers do governo. Firmas de segurança e autoridades policiais também usaram o nome Fancy Bear [Urso Elegante], em referência à crença generalizada de que o grupo é dirigido pela agência de inteligência militar da Rússia, GRU.

A investigação poderia ter acabado aí, mas a CrowdStrike descobriu outro infiltrador, mais escondido, nos computadores do comitê democrata: um grupo conhecido como APT 29, ou Cozy Bear, que é considerado mais hábil e foi ligado ao serviço de inteligência russo, FSB, principal sucessor da KGB.

O Cozy Bear [Urso Aconchegante], ao que parece, teve acesso completo aos sistemas do comitê durante quase um ano. (Investigações posteriores de duas outras firmas de cibersegurança confirmaram as conclusões da CrowdStrike.)

Ligar uma invasão a um determinado grupo de hackers e ligar um grupo a um órgão estatal sempre se baseia em evidências circunstanciais. Mas a evidência forense que os especialistas conseguiram obter ligando essas intrusões a agências russas era muito forte comparada com outros casos.

Por exemplo, o primeiro grupo, APT 28, com frequência usa a mesma tática: registrar um domínio cujo nome é semelhante ao de seu alvo e enganar os usuários para que revelem suas senhas quando logarem no site errado. Nesse caso, os hackers montaram "misdepatrment.com" --trocando duas letras-- para visar alvos do MIS Department, que administra redes para o Comitê Democrata.

Mais revelador foi que os hackers ligaram esse domínio a um endereço IP que tinham usado em invasões anteriores, dando aos investigadores uma maneira de procurar padrões. Eles também usaram as mesmas ferramentas de malware, que às vezes incluíam chaves de segurança ou criptografia únicas, uma espécie de impressão digital. Essas impressões digitais foram encontradas em outros ataques, como uma invasão em 2015 no Parlamento alemão, que a Rússia, especificamente o APT 28, provavelmente havia realizado, segundo autoridades da inteligência alemã.

Tanto o APT 28 como o APT 29 usam métodos "consistentes com capacidades em nível de Estado-nação", segundo um relatório da CrowdStrike, e eles visam militares estrangeiros e empreiteiras contratadas por militares em um padrão que "reflete de perto os interesses estratégicos do governo russo".

Outro relatório, feito pela firma de segurança FireEye em julho de 2015, indicou que os hackers aparentemente saem do ar nos feriados oficiais russos e reaparecem para operar em horários coerentes com o dia de trabalho russo.

Tais intrusões, embora perturbadoras, estão dentro dos limites esperados de espionagem internacional. O caso assumiu um rumo surpreendente em junho, depois que autoridades do Partido Democrata, talvez vendo uma oportunidade de pintar Trump como o candidato favorito de Moscou, revelou a aparente infiltração ao jornal "The Washington Post".

Em 24 horas, alguém usando o nome de Guccifer 2.0 havia aberto um blog no WorldPress e feito uma declaração abrangente: ele, e não a Rússia, tinha sido o responsável pela invasão no Comitê Democrata, e o havia feito sozinho.

Ele também disse que tinha roubado milhares de e-mails internos, a primeira menção em público de tal furto. Ele forneceu evidências, postando uma série de documentos roubados e vazando outros para canais de notícias, assim como para o WikiLeaks. Seu nome, disse ele, era uma homenagem a um famoso hacker romeno conhecido por Guccifer e que estava preso desde 2014.

Mas os documentos de Guccifer 2.0, embora autênticos, contradiziam suas alegações de que tinha agido só --e forneciam evidências de envolvimento do Estado russo. Alguns arquivos, por exemplo, incluíam metadados mostrando que tinham sido abertos por computadores que operavam na língua russa. Outro tinha sido modificado por um processador de texto registrado para Felix Edmundovich, transformado em alfabeto cirílico, uma clara referência a Felix E. Dzerzhinsky, fundador da polícia secreta soviética.

O grupo de análises de segurança ThreatConnect concluiu que Guccifer 2.0 "muito provavelmente é uma iniciativa de negação e engano" (D&D na sigla em inglês) destinada a projetar dúvidas sobre a responsabilidade russa pelo ataque. Mais tarde ela encontrou metadados nos e-mails de Guccifer 2.0 que sugerem que ele os havia enviado de redes russas, assim como alguns paralelos com redes usadas por APT 28, o grupo russo.

A teoria, amplamente compartilhada por analistas de cibersegurança, é que as agências de inteligência russas, antes denunciadas pelo relatório em junho no "Washington Post", construíram Guccifer 2.0 para desviar a atenção dessas acusações. O pensamento por trás desses métodos é detalhado na doutrina militar formal da Rússia, que pede engano e desinformação, muitas vezes por meio das chamadas operações de informação, para semear confusão e manter a negabilidade.

Na semana passada, os hackers divulgaram cerca de 20 mil e-mailspor um canal diferente: o WikiLeaks, que tem longa experiência em revelar documentos de informação incriminadora. Por isso essa divulgação oferece pouca informação forense nova. Mas especialistas em segurança dizem que poderemos ter mais oportunidades de caçar pistas: os hackers tiveram acesso a muito mais que apenas esses e-mails, e depois da manobra da semana passada podem ser tentados a vazar mais.