Para confundir hackers, equipe de Macron criou dezenas de e-mails e documentos falsos

Adam Nossiter, David E. Sanger e Nicole Perlroth

Em Paris (França)

  • Regis Duvignau/Reuters

Todos viram os hackers chegando.

A Agência de Segurança Nacional, em Washington, registrou os sinais. Assim como a equipe de tecnologia despojada de Emmanuel Macron. E ciente do que aconteceu na campanha presidencial americana, a equipe criou dezenas de contas falsas de e-mail, completas com documentos falsos, para confundir os inimigos.

Os russos, por sua vez, foram afoitos e um pouco negligentes, deixando um rastro de evidência insuficiente para provar que trabalhavam para o governo do presidente Vladimir Putin, mas sugerindo fortemente que fazem parte de sua campanha mais ampla de "guerra de informação".

A história contada pelas autoridades americanas, especialistas e pelos próprios assessores da campanha de Macron, sobre como acabou fracassando o ataque hacker que visava interferir na eleição mais importante da França em décadas, é um lembrete útil de que por mais eficazes que ciberataques possam ser na incapacitação de instalações nucleares iranianas, ou das redes de transmissão elétrica da Ucrânia, eles também podem ser derrotados.

Mas o resultado estava longe de certo na noite de sexta-feira, quando o que foi descrito como um "imenso" ataque hacker de repente colocou as chances eleitorais de Macron em risco. Mas para as autoridades americanas e francesas, isso não foi uma surpresa.

Testemunhando perante o Comitê de Serviços Armados do Senado, na terça-feira em Washington, o almirante Michael S. Rogers, diretor da Agência de Segurança Nacional (NSA, na sigla em inglês), disse que as agências de inteligência americanas viram o ataque se desdobrando, contando a seus pares franceses: "Vejam, estamos observando os russos. Estamos vendo eles penetrarem em parte de sua infraestrutura. Eis o que estamos vendo. O que podemos fazer para tentar ajudar?"

Mas o pessoal no quartel-general improvisado de Macron no 15º Arrondissement, na periferia de Paris, não precisava que a NSA lhes dissesse que estavam sendo alvo: em dezembro, após o ex-banqueiro de investimento e ministro das Finanças ter despontado como sendo o candidato mais anti-Rússia, pró-Otan (Organização do Tratado do Atlântico Norte, uma aliança militar ocidental) e pró-União Europeia na disputa presidencial, eles começaram a receber e-mails de "phishing" (golpe de redirecionamento a páginas falsas para roubo de dados).

Os e-mails de phishing eram de "alta qualidade", disse o diretor digital de Macron, Mounir Mahjoubi: Eles incluíam os nomes verdadeiros dos membros da equipe de campanha e, à primeira vista, pareciam ter sido enviados por eles. Um e-mail típico foi o último que a campanha recebeu, vários dias antes da eleição de domingo, que parecia ter sido enviado pelo próprio Mahjoubi.

"Era quase como uma piada, como se nos estivessem mostrando o dedo", disse Mahjoubi na entrevista na terça-feira. O e-mail pedia aos recebedores que baixassem vários arquivos "para se protegerem".

Mesmo antes disso, a campanha de Macron começou a estudar formas de tornar a vida mais difícil para os russos, demonstrando um nível de habilidade e engenho que faltou à campanha presidencial de Hillary Clinton e ao Comitê Naciona Democrata, que contavam com proteções mínimas de segurança e por meses ignoraram os alertas pelo FBI (Birô Federal de Investigação, a polícia federal americana) de que seus computadores foram violados.

"Nós partimos para a contraofensiva", disse Mahjoubi. "Não podíamos garantir 100% de proteção" contra os ataques, "então perguntamos: o que podemos fazer?"

Mahjoubi optou por uma estratégia clássica de "ciberofuscação", conhecida por bancos e empresas, com a criação de contas falsas de e-mail e as enchendo de documentos falsos da mesma forma que os caixas nos bancos mantêm notas falsas em caso de assalto.

"Criamos contas falsas, conteúdo falso, como armadilhas. Criamos isso em grande quantidade, para que tivessem a obrigação de verificar, determinar se era uma conta real", disse Mahjoubi. "Não acho que os impedimos. Apenas os retardamos", ele disse.

"Mesmo se conseguíssemos fazê-los perder um minuto, estaríamos satisfeitos", ele disse.

Mahjoubi se recusou a revelar a natureza dos documentos falsos que foram criados ou dizer se, na divulgação de documentos da sexta-feira resultante da campanha de hackeamento, havia documentos falsos criados pela campanha de Macron.

Mas ele notou que na mistura de documentos divulgados na sexta-feira, havia alguns autênticos, alguns documentos falsos criados pelos próprios hackers, alguns documentos roubados de várias empresas e alguns e-mails falsos criados pela campanha.

"Durante todos os ataques nós acrescentávamos documentos falsos. Isso os forçava a perder tempo", ele disse. "Devido à quantidade de documentos que adicionamos e documentos que poderiam interessá-los", ele acrescentou.

Com apenas 18 pessoas na equipe digital, muitas delas ocupadas na produção de materiais de campanha como vídeos, Mahjoubi contava com poucos recursos para rastrear hackers. "Não tínhamos tempo para tentar pegá-los", ele disse. Mas ele tem suas suspeitas sobre a identidade deles.

Simultaneamente aos ataques de phishing, a campanha de Macron era atacada pela mídia russa com uma abundância de notícias falsas.

Estranhamente, os russos fizeram um trabalho ruim de encobrimento de seus rastros. Isso facilitou para que empresas privadas de segurança, em alerta após os esforços para manipular a eleição americana, procurassem por evidências.

Em meados de março, pesquisadores da Trend Micro, uma gigante de cibersegurança com sede em Tóquio, observaram a mesma unidade de inteligência russa por trás de alguns dos hackeamentos ao Comitê Nacional Democrata preparar as ferramentas para hackeamento da campanha de Macron

. Eles estabeleceram domínios na internet imitando os do partido Em Marcha! de Macron e começaram a enviar e-mails com links maliciosos e páginas de login falsas, visando fisgar membros da campanha a divulgarem seu login e senha, ou clicarem em um link que daria aos russos entrada na rede da campanha.

Tratava-se de uma tática clássica russa, disseram pesquisadores de segurança, mas desta vez o mundo estava preparado.

"A única boa notícia é que essa atividade agora é comum, a população em geral está tão acostumada com a ideia de uma mão russa por trás disso que o tiro saiu pela culatra", disse John Hultquist, diretor de análise de ciberespionagem da FireEye, uma empresa de segurança do Vale do Silício.

Hultquist notou que o ataque foi caracterizado por pressa e um rastro de erros digitais. "Houve um tempo em que os hackers russos eram caracterizados por sua ausência de desleixo", disse Hultquist. "Quando cometiam erros, eles queimavam toda a operação e recomeçavam. Mas desde a invasão à Ucrânia e Crimeia, temos visto eles realizarem ataques descarados, em grande escala", talvez por "haver poucas consequências para suas ações".

Os hackers também cometeram o erro de divulgar informação que era, segundo os padrões de qualquer campanha, tediosa. Os nove gigabytes de e-mails e arquivos supostamente roubados da campanha de Macron foram apresentados como sendo material escandaloso, mas quase tudo era enfadonho, atividades de funcionários de campanha tentando conduzir as atividades cotidianas em meio ao turbilhão eleitoral.

Um dos e-mails vazados detalha as dificuldades de um funcionário da campanha com um carro quebrado. Outro documenta como um funcionário da campanha foi repreendido por não ter faturado uma xícara de café.

Foi aí que os hackers se tornaram desleixados. Os metadados ligados a um punhado de documentos (códigos que mostram a origem de um documento) mostram que alguns passaram por computadores russos e foram editados por usuários russos. Alguns documentos do Excel foram modificados usando programas exclusivos de versões russas do Microsoft Windows.

Outros documentos foram modificados por pessoas com nome de usuário russo, incluindo uma pessoa que os pesquisadores identificaram como sendo um funcionário de 32 anos da Eureka CJSC, com sede em Moscou, uma empresa de tecnologia russa que trabalha estreitamente com o Ministério da Defesa e com as agências de inteligência russas. A empresa conta com licença do Serviço Federal de Segurança (FSB) da Rússia para ajuda na proteção de segredos de Estado. A empresa não retornou os e-mails pedindo comentários.

Alguns documentos vazados parecem ter sido forjados ou adulterados. Um supostamente detalha a compra do estimulante mefedrona, às vezes vendido como "sais de banho", por um funcionário da campanha de Macron que supostamente enviou as drogas para o endereço da Assembleia Nacional da França. Mas Henk Van Ness, um membro da equipe de investigações da Bellingcat, uma organização de investigações britânica, e outros descobriram que os números da transação não constavam no livro-razão público de todas as transações com bitcoin.

"Está claro que foram afoitos", disse Hultquist. "Caso trate-se do APT28", ele disse, usando o nome de um grupo russo supostamente vinculado à GRU, a agência de inteligência militar, "eles foram pegos no flagra e o tiro saiu pela culatra".

Porém, ele disse, o fracasso dos hackeamentos contra Macron pode levar os hackers russos a melhorarem seus métodos.

"Pode ser que mudem totalmente seu manual", disse Hultquist.

Tradutor: George El Khouri Andolfato

Veja também

UOL Cursos Online

Todos os cursos