UOL Notícias Internacional
 

29/03/2009

Vasto sistema de espionagem invade computadores em 103 países

The New York Times
John Markoff
Toronto (Canadá)
Uma grande operação de espionagem eletrônica invadiu computadores e roubou documentos de centenas de escritórios privados e governamentais em todo o mundo, inclusive do Dalai Lama, concluíram pesquisadores canadenses.

Num relatório que deve ser divulgado neste fim de semana, os pesquisadores dizem que o sistema era controlado por computadores localizados quase que exclusivamente na China, mas que não podem concluir que o governo chinês estivesse envolvido.

Os pesquisadores, do Centro Munk de Estudos Internacionais da Universidade de Toronto, foram chamados pelo escritório do Dalai Lama, o líder tibetano exilado que é regularmente denunciado pela China, para examinar seus computadores em busca de sinais de softwares mal-intencionados, os chamados malware.

A investigação revelou uma operação mais ampla que, em menos de dois anos, infiltrou-se em pelo menos 1.295 computadores em 103 países, incluindo muitos pertencentes a embaixadas, ministérios de exterior e outros departamentos governamentais, assim como aos centros de exílio tibetano do Dalai Lama na Índia, Bruxelas, Londres e Nova York.

Os pesquisadores, que têm um histórico de detecção de espionagem em computadores, acreditam que além da espionagem em relação ao Dalai Lama, o sistema, que eles chamaram de GhostNet [ou Rede Fantasma], tinha como foco os governos de países do sul e sudeste asiático.

Analistas de inteligência dizem que muitos governos, incluindo a China, Rússia e Estados Unidos, e outros grupos usam programas de computador sofisticados para conseguir informações de forma velada.

A operação de espionagem recentemente divulgada é de longe a maior que já foi descoberta no que diz respeito ao número de países afetados.

Acredita-se também que esta é a primeira vez que pesquisadores foram capazes de denunciar o funcionamento de um sistema de computador usado para uma intrusão desta magnitude.

Ainda a pleno vapor, a operação continua a invadir e monitorar mais de uma dúzia de novos computadores por semana, disseram os pesquisadores no relatório "Rastreando a 'GhostNet': Investigando uma Rede de Espionagem Cibernética". Eles disseram que não encontraram provas de que escritórios do governo dos EUA tenham sido infiltrados, apesar de os espiões terem monitorado um computador da Otan por meio dia e terem infiltrado computadores da Embaixada da Índia em Washington.

O malware é excepcional tanto por sua varredura - no jargão de computação, não foi simplesmente um "phishing" em busca de informações randômicas de consumidores, mas um "whaling" em busca de alvos específicos e importantes - quanto por suas habilidades estilo Big Brother. Ele pode, por exemplo, acionar as funções de câmera e gravação automática em um computador infectado, fazendo com que os monitores vejam e ouçam o que acontece numa sala. Os investigadores não sabem se essa função foi empregada.

Os pesquisadores conseguiram monitorar os comandos realizados nos computadores infectados e ver os nomes dos documentos acessados pelos espiões, mas na maioria dos casos os conteúdos de arquivos roubados não foram determinados. Trabalhando com os tibetanos, entretanto, os pesquisadores descobriram que correspondências específicas haviam sido roubadas e que os intrusos haviam conseguido o controle sobre os servidores de e-mail da organização do Dalai Lama.

O jogo de espionagem eletrônica teve pelo menos algum impacto no mundo real, dizem. Por exemplo, segundo eles, depois que o escritório do Dalai Lama enviou um convite por e-mail para um diplomata estrangeiro, o governo chinês telefonou para esse diplomata desencorajando a visita. E uma mulher que trabalhava para um grupo que fazia contatos entre os exilados tibetanos e cidadãos chineses pela internet foi detida por oficiais de inteligência chineses quando estava a caminho do Tibete. Eles mostraram transcrições de suas conversas online e alertaram-na a interromper suas atividades políticas.

Os pesquisadores de Toronto disseram que notificaram as polícias internacionais sobre a operação de espionagem, que na visão deles expõe falhas básicas na estrutura legal do ciberespaço. O FBI recusou-se a comentar sobre a operação.

Apesar de os pesquisadores canadenses dizerem que a maior parte dos computadores envolvidos na espionagem está na China, eles cautelosamente recusaram-se a concluir que o governo chinês estivesse envolvido. A espionagem poderia ser, por exemplo, uma operação não estatal, com fins lucrativos, ou ainda comandada por cidadãos chineses conhecidos como "hackers patrióticos".

"Temos muito cuidado em relação a isso, conhecendo as nuances do que acontece nos domínios subterrâneos", disse Ronald J. Deibert, membro do grupo de pesquisa e professor associado de ciência política em Munk. "Isso bem poderia ser coisa da CIA ou dos russos. Estamos levantando a tampa de um domínio sombrio".

Um assessor do Consulado da China em Nova York descartou a ideia de que a China esteja envolvida. "Essas histórias são velhas e não fazem sentido", disse o assessor, Wenqi Gao. "O governo chinês é contra isso e proíbe estritamente qualquer crime cibernético".

Os pesquisadores de Toronto, que permitiram que um repórter do New York Times revisse os registros digitais dos espiões, divulgarão suas descobertas no Information Warfare Monitor, uma publicação online associada ao Centro Munk.

Ao mesmo tempo, dois pesquisadores de computação da Universidade de Cambridge na Inglaterra, que trabalharam na parte da investigação relacionada aos tibetanos, divulgarão um relatório independente. Eles responsabilizam a China, e alertaram que outros hackers poderiam adotar as táticas usadas na operação de malware.

"O que os fantasmas chineses fizeram em 2008, os criminosos russos farão em 2010 e até os malfeitores mais pobres de países menos desenvolvidos seguirão seus passos no tempo devido", escreveram os pesquisadores de Cambridge, Shishir Nagaraja e Ross Anderson, no relatório "O Dragão da Espionagem: Vigilância Social com Malware do Movimento Tibetano". Em todo caso, foram as suspeitas da interferência chinesa que levaram à descoberta da operação de espionagem. No verão passado, o escritório do Dalai Lama convidou especialistas à Índia para fazer uma auditoria nos computadores usados pela organização. Os especialistas, Greg Walton, editor da Information Warfare Monitor, e Nagaraja, especialista em segurança de redes, descobriram que os computadores de fato haviam sido infectados e que os invasores haviam roubado arquivos de computadores pessoais que serviam a vários grupos tibetanos de exilados.

De volta a Toronto, Walton compartilhou suas informações com colegas do laboratório de computação do Centro Munk.

Entre eles estava Nart Villeneuve, 34, graduado na área e um "hacker ético" autodidata com habilidades técnicas brilhantes. No ano passado, Villeneuve havia estabelecido a conexão entre a versão chinesa do serviço de comunicações Skype e uma operação do governo chinês que monitorava sistematicamente as sessões de mensagens instantâneas dos usuários sem que estes soubessem.

No começo desse mês, Villeneuve percebeu uma sequência estranha de 22 caracteres inserida nos arquivos criados pelo software mal-intencionado e buscou por ela no Google. Isso o levou a um grupo de computadores na Ilha de Hainan, na costa da China, e para um site que se mostraria extremamente importante.

Num curioso lapso de segurança, a página de internet que Villeneuve encontrou não era protegida por senha, enquanto a maior parte do resto do sistema usava criptografia.

Villeneuve e seus colegas descobriram como a operação funcionava programando-a para infectar o sistema de seu próprio computador no laboratório. Na noite de 12 de março, os espiões morderam a isca.
Villeneuve observou uma série breve de comandos surgir na tela de seu computador enquanto alguém - presumivelmente na China - pesquisava seus arquivos. Não tendo encontrado nada interessante, o intruso logo desapareceu.

Através de tentativa e erro, os pesquisadores aprenderam a usar o "painel" do sistema em chinês - um painel de controle acessado por um browser comum - através do qual era possível manipular os mais de 1.200 computadores que haviam sido infectados em todo o mundo.

A infecção acontece de duas formas. Num dos métodos, o usuário clica num documento anexo a uma mensagem de e-mail e isso faz com que o sistema instale secretamente um software no sistema operacional. Ou então, o usuário clica num link que chega por e-mail e é levado diretamente para um site "contaminado".

Os pesquisadores disseram que evitaram infringir qualquer lei durante as três semanas de monitoramento e experimentação extensiva com o painel de controle desprotegido do software do sistema. Eles forneceram, entre outras informações, uma lista de computadores comprometidos até a data de 22 de maio de 2007.

Eles descobriram que três dos quatro servidores de controle estavam em diferentes províncias na China - Hainan, Guangdong e Sichuan - enquanto o quarto foi descoberto numa companhia de hospedagem de sites no sul da Califórnia.

Além disso, disse Rafal A. Rohozinski, um dos investigadores, "a atribuição [da autoria] é difícil porque não uma estrutura legal internacional de comum acordo que permita conduzir as investigações até sua conclusão lógica, que é extremamente local".

Tradução: Eloise De Vylder

Siga UOL Notícias

Tempo

No Brasil
No exterior

Trânsito

Cotações

  • Dólar comercial

    14h49

    0,29
    3,155
    Outras moedas
  • Bovespa

    14h50

    0,15
    68.821,12
    Outras bolsas
  • Hospedagem: UOL Host