Segurança - Arquivos vazados sugerem que CIA e NSA estão por trás de grupo hacker
Artigo esta cheio de erros gramaticais
Documentos
publicados nesta semana pelo WikiLeaks apontam que os dois órgãos de
segurança dos EUA teriam ligação com o grupo Equation.
Os documentos que seriam da CIA e foram vazados nesta semana
parecem confirmar que a NSA (Agência Nacional de Segurança dos EUA) e
uma das divisões da própria CIA foram responsáveis por ferramentas de
malware e operações atribuídas a um grupo que os pesquisadores de
segurança chamavam de Equation.
As atividades de ciberespionagem do Equation foram
documentadas em fevereiro de 2015 por pesquisadores da empresa de
segurança Kaspersky Lab. O grupo é considerado um dos mais avançados em
termos de ciberespionagem no mundo com base na sofisticação das suas
ferramentas e na duração das suas operações, algumas possivelmente
datando desde 1996.
Desde o início, as ferramentas e técnicas usadas pelo
grupo Equation trazem uma grande similaridade com as descritas em
documentos secretos vazados em 2013 pelo ex-funcionário da NSA, Edward
Snowden. Essa relação foi mais fortalecida depois pela similaridade
entre vários codinomes encontrados no malware do Equation e nos arquivos
da NSA.
Os novos documentos da CIA vazados pelo WikiLeaks incluem
também uma discussão de 2015 entre membros do Conselho de Aconselhamento
Técnico da agência após a análise da Kaspersky sobre o grupo Equation.
A conversa é focada principalmente no que o Equation fez
de errado que permitiu aos pesquisadores da Kaspersky estabelecer
relações entre várias ferramentas e as conectá-las ao grupo. O objetivo
era que as próprias equipes da CIA aprendessem com esses erros e os
evitassem nas suas próprias ferramentas e operações.
Os erros do Equation identificados durante a discussão
incluem o uso de implementações criptográficas customizadas em vez de
utilizar bibliotecas padrão como OpenSSL ou CryptoAPI (da Microsoft),
deixar cordas de identificação na base de dados do programa, o reuso de
exploits, entre outros.
“O uso de criptografia customizada é mais a NSA caindo nas
suas próprias políticas e padrões internos, que vieram em resposta a
problemas anteriores”, afirma um membro durante a conversa. “No passado,
houve alguns problemas de criptografia em que as pessoas usaram 0
(vetores de inicialização) e outras configurações erradas. Como
resultado, os especialistas em criptografia da NSA abençoaram uma
biblioteca como a implementação correta e foi dito para todos os outros a
utilizarem.”
“O Equation Group como falado no relatório não se
relaciona a um grupo específico, mas a uma coleção de ferramentas
(especialmente TAO, algumas IOC)”, afirma outro membro da discussão.
TAO é uma referência ao Office of Tailored Access
Operations, uma grande divisão da NSA que é especializada na criação de
ferramentas de hacking para infiltrar sistemas de computação
estrangeiros. Enquanto isso, IOC faz referência ao Information
Operations Center, uma divisão da CIA que, de acordo com uma
justificativa de orçamento para agências vazada em 2013, mudou seu foco
de contraterrorismo para ciberespionagem nos últimos anos.
A análise da CIA sobre o relatório da Kaspersky a cerca do
grupo Equation destaca como os hackers podem aprender a esconder melhor
seus ataques com base em pesquisas publicadas por empresas de
segurança. Isso levanta o questionamento sobre se empresas de segurança e
pesquisadores independentes devem ser tão diretos e abertos sobre os
métodos que usam para estabelecer conexões entre ferramentas de malware.
“É um fato que os criminosos aprendem a partir de análises
públicas, e isso é algo que todos os pesquisadores levam em conta
quando publicam qualquer material”, afirmou a Kaspersky Lab em um
comunicado enviado por e-mail. “É um risco calculado. É claro que nem
todas as companhias decidem revelar todas as suas descobertas. Algumas
empresas preferem manter os detalhes em relatórios privados, ou nem
mesmo criar um relatório.”
“Acreditamos que, seguindo em frente, será alcançado um
equilíbrio entre a quantidade de informações reveladas publicamente
(apenas o suficiente para destacar os riscos e criar consciência) e a
quantidade de informações mantida privada (para permitir a descoberta de
futuros ataques)”, afirmaram os pesquisadores da Kaspersky.
Segundo eles, essas novas informações se conectam com a
corrida por armas cibernéticas que vem acontecendo desde 2012 e não
mostra nenhum sinal de diminuir o passo.