Durante anos, conforme reportagem de Joe Tidy, da BBC News, essas equipes cibernéticas de elite foram rastreadas de ataque em ataque, roubando segredos e causando interrupções supostamente a mando de seus governos.
As empresas de segurança cibernética chegaram, inclusive, a criar ilustrações de personagens de desenho animado para representá-las.
Por meio de pontos em um mapa-múndi, os profissionais de marketing destas empresas alertam regularmente os clientes sobre a origem destas “ameaças persistentes avançadas” (APTs, na sigla em inglês) — geralmente provenientes da Rússia, China, Coreia do Norte e Irã.
Mas partes do mapa permanecem visivelmente vazias.
Por que será que é tão raro ouvir falar sobre equipes de hackers e ataques cibernéticos baseados em países ocidentais?
Ataque a empresa russa de segurança cibernética
Um grande ataque cibernético na Rússia, revelado no início de junho, pode fornecer algumas pistas.
Do escritório com vista para o Canal de Moscou, um especialista em segurança cibernética observou como pings estranhos começaram a ser registrados na rede wi-fi da empresa.
Dezenas de celulares da equipe estavam enviando informações simultaneamente para partes estranhas da internet.
Mas esta não era uma empresa comum.
Era a maior empresa de segurança cibernética da Rússia, a Kaspersky, que estava investigando um possível ataque a seus próprios funcionários.
“Obviamente, nossas mentes se voltaram diretamente para o spyware (software espião), mas estávamos bastante céticos no início”, diz o pesquisador-chefe de segurança, Igor Kuznetsov.
“Todo mundo já ouviu falar sobre poderosas ferramentas cibernéticas que podem transformar telefones celulares em dispositivos de espionagem, mas eu pensei que isso era uma espécie de lenda urbana que acontece com outras pessoas, em outros lugares.”
Após uma análise minuciosa de “várias dezenas” de iPhones infectados, Kuznetsov percebeu que seu palpite estava certo — eles, de fato, haviam descoberto uma grande e sofisticada campanha de espionagem contra sua própria equipe.
O tipo de ataque que eles haviam descoberto é um pesadelo para os especialistas em segurança cibernética.
Os hackers haviam inventado uma maneira de infectar iPhones enviando uma iMessage que se apaga automaticamente uma vez que o software malicioso é injetado no dispositivo.
“Pronto, você está infectado — e nem vê”, explica Kuznetsov.
‘Operação de reconhecimento’
Todo o conteúdo do telefone das vítimas agora estava sendo enviado aos hackers em intervalos regulares. Mensagens, e-mails e fotos foram compartilhados —- inclusive acesso à câmera e microfone.
Seguindo uma regra de longa data da Kaspersky de não fazer acusações, Kuznetsov diz que não está interessado em saber de onde esse ataque de espionagem digital foi lançado.
“Bytes não têm nacionalidade — e sempre que um ataque cibernético é atribuído a um determinado país, isso é feito com um propósito”, afirma.
Mas o governo russo está menos preocupado com isso.
No mesmo dia em que a Kaspersky anunciou o que havia descoberto, os serviços de segurança russos divulgaram um comunicado urgente afirmando que haviam “descoberto uma operação de reconhecimento do serviço de inteligência americano realizada usando dispositivos móveis da Apple”.
O serviço russo de inteligência cibernética não mencionou a Kaspersky, mas afirmou que “vários milhares de aparelhos telefônicos” pertencentes a russos e diplomatas estrangeiros haviam sido infectados.
O comunicado ainda acusou a Apple de ajudar ativamente na campanha dos hackers. A Apple nega que esteja envolvida.
O suposto culpado — a Agência de Segurança Nacional dos Estados Unidos (NSA, na sigla em inglês) — disse à BBC News que não tinha comentários.
Kuznetsov insiste que a Kaspersky não havia articulado nada com os serviços de segurança russos e que o comunicado do governo os pegou de surpresa.
Algumas pessoas no mundo da segurança cibernética podem ficar surpresas com isso — o governo russo parecia estar fazendo um anúncio conjunto com a Kaspersky, para obter o máximo impacto, o tipo de tática cada vez mais usada pelos países ocidentais para expor campanhas de hackers e fazer acusações em voz alta.
Em maio, o governo dos EUA emitiu um anúncio conjunto com a Microsoft informando que eles haviam detectado hackers do governo chinês espreitando as redes de energia em territórios americanos.
Este anúncio foi previsivelmente seguido por um coro de assentimento dos aliados dos Estados Unidos no ciberespaço — Reino Unido, Austrália, Canadá e Nova Zelândia, conhecidos como Five Eyes (“Cinco Olhos”).
A resposta da China foi uma rápida negação, dizendo que a história fazia parte de uma “campanha de desinformação coletiva” dos países do Five Eyes.
O funcionário do Ministério das Relações Exteriores chinês, Mao Ning, acrescentou a resposta habitual da China: “O fato é que os Estados Unidos são o império dos hackers.”
‘Visando a China’
Mas agora, assim como a Rússia, a China parece estar adotando uma abordagem mais agressiva para denunciar os ataques cibernéticos ocidentais.
O jornal estatal China Daily alertou que os hackers apoiados por governos estrangeiros são agora a maior ameaça à segurança cibernética do país.
E essa advertência veio acompanhada por uma estatística da empresa chinesa 360 Security Technology — ela havia descoberto “51 organizações de hackers visando a China”.
A empresa não respondeu aos pedidos de comentários da BBC.
Em setembro do ano passado, a China também acusou os EUA de hackear uma universidade financiada pelo governo responsável por programas de pesquisa aeronáutica e espacial.
‘Jogo limpo’
“A China e a Rússia descobriram lentamente que o modelo ocidental de exposição cibernética é incrivelmente eficaz, e acredito que estamos vendo uma mudança”, diz Steve Stone, diretor do Rubrik Zero Labs e ex-profissional de inteligência cibernética.
“Também vou dizer que acho isso uma coisa boa. Não tenho nenhum problema com outros países revelando o que os países ocidentais estão fazendo. Acho que isso é jogar limpo e acho que é apropriado.”
Muitos rejeitam a acusação chinesa de que os EUA são o império dos hackers, como uma hipérbole — mas há alguma verdade nisso.
De acordo com o Instituto Internacional de Estudos Estratégicos (IISS, na sigla em inglês), os EUA são a única potência cibernética de nível um no mundo, com base na capacidade de ataque, defesa e influência.
O nível dois é composto por:
– China;
– Rússia;
– Reino Unido;
– Austrália;
– França;
– Israel;
– Canadá.
O National Cyber Power Index, compilado por pesquisadores do Belfer Center for Science and International Affairs, também considera os EUA o principal poder cibernético do mundo.
A principal pesquisadora do informe, Julia Voo, também notou uma mudança.
“A espionagem é rotineira para os governos e agora é frequente na forma de ataques cibernéticos — mas há uma batalha narrativa acontecendo, e os governos estão perguntando quem está se comportando de forma responsável e irresponsável no ciberespaço”, diz ela.
E compilar uma lista de grupos de hackers de “ameaças persistentes avançadas” (APTs) e fingir que não existem ocidentais não é uma representação fiel da realidade, ela acrescenta.
“Ler os mesmos informes sobre ataques de hackers de apenas um lado aumenta a ignorância geral”, diz Voo.
“A educação geral da população é importante, porque é basicamente aqui que muitas tensões entre os Estados vão ocorrer no futuro.”
Voo também elogia o governo do Reino Unido por publicar seu relatório inaugural de transparência sobre as operações da Força Cibernética Nacional.
“Não é superdetalhado, mas é mais do que em outros países”, avalia.
‘Viés de dados’
Mas a falta de transparência também pode vir das próprias empresas de segurança cibernética.
Stone chama isso de “viés de dados” — as empresas ocidentais de segurança cibernética não conseguem ver os ataques ocidentais porque não têm clientes em países rivais.
Mas também pode haver uma decisão consciente de investir menos esforço em algumas investigações.
“Não tenho dúvidas de que provavelmente algumas empresas podem medir esforços e ocultar o que podem saber sobre um ataque ocidental”, diz Stone.
Mas ele nunca fez parte de uma equipe que fez isso deliberadamente.
Os contratos lucrativos de governos como do Reino Unido ou dos EUA também são uma importante fonte de receita para muitas empresas de segurança cibernética.
Como disse um pesquisador de segurança cibernética do Oriente Médio: “O setor de inteligência de segurança cibernética é fortemente representado por provedores ocidentais e muito influenciado pelos interesses e necessidades de seus clientes”.
O especialista, que pediu para permanecer anônimo, é um dos mais de uma dúzia de voluntários que contribuem regularmente para o APT Google Sheet — uma planilha online de visualização gratuita que rastreia todos os casos conhecidos de atividades que representam ameaças, independentemente de suas origens.
Ele tem uma aba para APTs da “Otan” (relativa aos países membros da Organização do Tratado do Atlântico Norte), com apelidos como Longhorn, Snowglobe e Gossip Girl, mas o especialista admite que está bastante vazia em comparação com as abas de outras regiões e países.
‘Menos barulho’
Ele diz que outro motivo para a falta de informações sobre os ataques cibernéticos ocidentais pode ser porque eles costumam ser mais furtivos e causam menos danos colaterais.
“As nações ocidentais tendem a realizar suas operações cibernéticas de maneira mais precisa e estratégica, contrastando com os ataques mais agressivos e amplos associados a nações como Irã e Rússia”, diz o especialista.
“Como resultado, as operações cibernéticas ocidentais geralmente geram menos barulho.”
O outro aspecto da falta de informes pode ser a confiança.
É fácil descartar acusações de ataques feitas pelos russos ou chineses porque muitas vezes faltam provas.
Mas os governos ocidentais, quando fazem acusações, raramente fornecem qualquer evidência — se é que alguma vez fornecem.