A crise entre Rússia e Ucrânia está trazendo efeitos colaterais também para o seto de segurança cibernética. Os ataques hacktivistas que ocorreram durante a guerra em curso na Ucrânia estão estabelecendo um precedente perigoso para as normas cibernéticas – e segurança de infraestrutura, de acordo com especialistas do setor como Kim Zetter. Segundo ela, a nvasão russa põe em risco normas de segurança cibernética.
“É claro que a situação na Ucrânia não tem precedentes”, disse Zetter, falando durante a palestra do Black Hat. “E isso não significa criticar o país por fazer o que acha necessário para se defender. No entanto, a comunidade de segurança e os governos precisam estar cientes do caminho potencial que isso está nos levando.”
Invasão russa põe em risco normas de segurança cibernética
A ideia de “normas cibernéticas” não é um conceito que deve ser esquecido. Em 2015, as Nações Unidas encarregaram 20 nações, incluindo EUA, Reino Unido, China e Rússia, de desenvolver diretrizes sobre como a lei internacional se aplica ao ciberespaço, especialmente considerando a crescente probabilidade de ataques cibernéticos em conflitos futuros.
O resultado final desse processo foi um relatório que delineou o comportamento e os princípios normais no ciberespaço e colocou um ponto final nos perigos decorrentes de ataques cibernéticos contra infraestruturas críticas.
“Eles concordaram que os estados não deveriam danificar intencionalmente a infraestrutura crítica de outros estados ou prejudicar a operação da infraestrutura crítica que fornece serviços públicos”, recapitulou Zetter.
Eles também concordaram que os estados não devem permitir que seu território seja usado para ataques cibernéticos contra outros estados e devem tomar medidas para mitigar atividades maliciosas que emanam de seu território quando visam a infraestrutura crítica de outros estados.
Como todos nós testemunhamos, isso rapidamente saiu pela janela após a invasão ilegal da Ucrânia pela Rússia em fevereiro.
Ascensão do Exército de TI
Zetter, por sua vez, concentrou-se em hacktivistas e simpatizantes ucranianos, possivelmente porque a Rússia geralmente mostra muito pouca consideração por normas internacionais, cibernéticas ou outras.
Pouco depois de a Rússia invadir e começar a realizar ataques de limpeza de dados contra organizações e infraestrutura ucranianas, o vice-primeiro-ministro da Ucrânia, Mykhailo Fedorov, lançou um apelo às armas para hacktivistas voluntários realizarem operações cibernéticas ofensivas contra a Rússia e divulgou uma lista de 31 sites governamentais e comerciais para atacar. .
O chamado Exército de TI rapidamente se mobilizou e em poucos dias lançou ataques DDoS contra a bolsa de valores de Moscou, o Ministério das Relações Exteriores da Rússia e um banco estatal. Enquanto isso, a lista de alvos inicial de 31 organizações cresceu para mais de 600.
Outras gangues de crimes cibernéticos, incluindo o Anonymous, logo se juntaram a mais ataques DDoS e hack-and-leak, e a lista de organizações russas atingidas por hacktivistas disparou.
“Além disso, parece haver equipes internas conduzindo operações mais sofisticadas para o Exército de TI que consistem em defesa e inteligência ucraniana, ou têm vínculos diretos com eles e também podem receber tarefas deles”, disse Zetter, citando um relatório de junho do pesquisador de defesa cibernética Stefan Soesanto para o Centro de Estudos de Segurança da Suíça.
Em seu relatório, Soesanto vinculou essa equipe ligada ao governo ao ataque cibernético que deixou o RuTube offline por três dias.
Um terceiro elemento potencialmente problemático, de acordo com Zetter, são as empresas de segurança de propriedade ucraniana dentro e fora do país que fornecem ferramentas de apoio ao Exército de TI.
Isso, ela disse, inclui os desenvolvedores por trás do disBalancer, um produto de teste de penetração distribuído para ajudar a identificar vulnerabilidades de DDoS. Em março, o desenvolvedor lançou um novo aplicativo chamado Liberator, que é essencialmente a mesma ferramenta que pode ser usada para realizar ataques DDoS contra sites russos.
Naquela época, outra empresa estoniana lançou um programa de recompensas de bugs buscando vulnerabilidades em sistemas de infraestrutura crítica russos com o objetivo de passá-los para hacktivistas ucranianos.
“Apesar do fato de que essas duas empresas estão sediadas na Estônia, um membro da OTAN e da UE, sua atividade não parece ter suscitado nenhuma crítica de outros estados membros da OTAN e da UE”, disse Zetter.
“Obviamente, há circunstâncias únicas a serem consideradas”, acrescentou. A saber: a Rússia invadiu seu país vizinho em violação do direito internacional e cometeu supostos crimes de guerra contra os ucranianos. Além disso, esses ataques cibernéticos contra alvos russos estão sendo realizados durante uma guerra.
“O Exército de TI também parece estar mostrando alguma restrição em não destruir ou interromper os serviços de emergência russos”, disse Zetter.
‘Abrindo precedentes perigosos’
Mas, ela acrescentou, citando Soesanto: “Esta atividade corre o risco de estabelecer precedentes legais e éticos não intencionais que podem criar um retrocesso político significativo no futuro”.
“E se uma empresa de propriedade russa localizada na Alemanha organizasse um programa ofensivo de recompensas por bugs que visa a infraestrutura crítica ucraniana e compartilhasse as vulnerabilidades descobertas com a comunidade de inteligência russa? Berlim, Bruxelas e Washington considerariam esse comportamento aceitável pelo setor privado ?,” perguntou.
Além disso, o que acontece com o Exército de TI quando a guerra termina? Os hacktivistas simplesmente se desfazem e interrompem todas as atividades cibernéticas eticamente obscuras? Provavelmente não.
“Soesanto diz que continuar a ignorar a essência do Exército de TI causará estragos na estabilidade futura do ciberespaço e, com isso, no cenário de segurança nacional na Europa e além”, disse Zetter. Enquanto isso, “a infraestrutura civil está na agenda dos invasores e só se tornará um alvo maior daqui para frente”, observou ela.