Como hackers podem ter roubado 24.000 arquivos do Pentágono

Sabe… nós somos todos humanos, no fim das contas. E este, basicamente, é o truque no qual os hackers provavelmente se basearam quando, este ano, conseguiram roubar mais de 24.000 arquivos de uma empresa de segurança terceirizada.

O Pentágono não divulgou e não divulgará exatamente quais arquivos foram surrupiados, ou o quão secreto eles eram. Mas podemos partir do princípio que ao menos alguns deles eram “top secret” – secretos o bastante para motivar a admissão do ataque por parte do Secretário de Defesa William J. Lynn III durante um discurso sobre o futuro das ciber-políticas americanas este mês. Lynn disse que o ataque afetou alguns dos “sistemas mais críticos [dos EUA], incluindo sistemas eletrônicos de aviação, tecnologias de vigilância” e mais, antes de dar a entender que forças estrangeiras estiveram por trás dos ataques, e usando o fato para declarar o ciberespaço como o novo campo de batalha.

Mas o que aconteceu? O Fast Company conversou com Nick Percoco, especialista em segurança digital e SVP do Trustwave SpiderLabs, além de pessoa habituada a este tipo de ciberataque, para entender um pouco mais.

Como o ataque pode ter começado: armadilhas por email

O fato dos 24.000 arquivos roubados terem vindo de um funcionário da empresa de segurança é significativo, observa Percoco. É provavelmente mais fácil conseguir este tipo de dados de um funcionário do que lançando um ataque digital completo aos próprios servidores do Pentágono, porque empresas são cheias de pessoas – pessoas acostumadas a fazer negócios neste nosso mundo digitalmente conectado. E mesmo que um empregado de uma empresa como esta seja provavelmente mais ligado em segurança digital do que eu e você, não chega a ser impossível fazer com que alguém com acesso a arquivos secretos instale sem querer um malware no seu laptop de trabalho.

Para um hacker dedicado, só seria necessário um pouco de pesquisa. Se você quisesse roubar dados como estes, poderia começar isolando como alvo um empregado específico e enviando emails para ele – “já vimos isso acontecer com empregados de defesa”, diz Percoco. “Usando tecnologias como as do Google, LinkedIn e outras redes sociais”, os hackers podem escolher o melhor alvo entre os empregados. Digamos que eles peguem um empregado de alto escalão em particular e determinem que o email deve ser “joao.silva@empresadesegurancaX.com”. A partir daí, eles podem descobrir quem são seus colegas e superiores, até chegar ao nível de CEO.

Então só é necessário usar seus contatos na comunidade hacker para obter acesso a um “zero day exploit” – ou seja, uma nova brecha nas defesas de um computador ou sistema de software que ainda não tenha sido publicamente descoberta, e portanto esteja disponível para uso dos hackers.

É aí que o hack cresce. “Neste caso, eles estavam procurando por um zero day exploit no Adobe PDF Reader, digamos. Então eles puxam a caneta criativa e bolam um documento que pareça algo importante”, narra Percoco. Depois disso, o hacker configura algo como uma conta descartável do Gmail com um nome de um dos colegas do empregado, ou mesmo do CEO da empresa. Então eles “escrevem um email que diz ‘segue um documento importante, um novo anúncio no qual estamos trabalhando. Por favor, leia e esteja preparado para uma ligação às 10 da manhã de hoje’”. O truque é enviar este email cerca de 7:30 da manhã do horário local, porque “a melhor hora para enviar este tipo de coisa é logo antes da pessoa tomar o seu café”.

Tipicamente, a ainda sonolenta vítima confia no email do suposto colega, então abre o PDF anexo (ou outro documento falso), que geralmente faz com que o programa – o Adobe Reader, neste exemplo – trave. Mas, ao travar, o programa está na verdade instalando o que o hacker queria. O código malicioso entrou. O vírus foi injetado.

Como o ataque começou: site falso

Um tipo parecido de ataque é possível usando um site que pareça relacionado ao da empresa-alvo – ou um dos sites feios e mal mantidos que apenas parecem oficiais e pelos quais todos nós navegamos em algum momento, nos sentindo confusos.

Alguns desses são na verdade portas de armazenamento de códigos maliciosos direcionados, cuidadosamente cultivados com truques de SEO para aparecerem bem posicionados nos resultados do Google. Quando, digamos, alguém da equipe de marketing da empresa-alvo roda uma busca no Google para saber o que as pessoas estão falando sobre a sua empresa na internet, eles podem se deparar com um desses sites falsos e causarem a invasão da sua máquina.

O que aconteceu depois: o importante é o acesso

Uma vez que o software malicioso tenha sido instalado na máquina certa, “o céu é o limite”, especialmente no caso do exploit de email. Um vírus bem programado pode evitar a sua detecção e se esconder no computador enquanto faz todo tipo de coisa feia.

Muitas vezes, segundo a experiência de Percoco, “o único objetivo deste executável é procurar determinados arquivos no site da pessoa e compactá-los em um arquivo ZIP ou RAR, depois tentar extraí-los do sistema”. O código pode tentar várias rotas diferentes para enviar os arquivos, como FTP ou HTTP, ou outros protocolos. Isso é algo que ele já viu “em muitos ambientes” e, o que é preocupante, eles muitas vezes “muito bem sucedidos na extração destes arquivos”. O código quase sempre é escrito para rodar em máquinas com Windows, e praticamente não há exploits como estes mirando Macs – mas Percoco concorda que isso é ao menos em parte pelo fato de que os hackers sempre pressupõem que a empresa estará usando PCs, não Macs.

O sucesso seria baseado no fato de que ninguém viu ainda este tipo de ataque (por ser um zero day exploit), e ele seria desviaria facilmente de qualquer software antivírus instalado na máquina – já que a máquina ainda não conhece este vírus, logo, não sabe se proteger. A única maneira real de evitar este tipo de ataque é o “evitar clicar em documentos” por parte do alvo humano, algo que é bastante improvável no caso de um usuário de computador corporativo.

Um hacker mais esperto selecionaria um administrador de rede na empresa alvo, afinal, eles também são humanos. As máquinas deles provavelmente têm até mais arquivos interessantes com dados sobre a segurança da rede e sobre que tipo de código tem entrada e saída permitida nos firewalls da empresa, e aí por diante.

Ganhar acesso a esse tipo de dados (através do mesmo hack por email descrito acima) permitiria que um hacker persistente penetrasse a rede de uma empresa e instalasse um backdoor nela – vencendo completamente as medidas de segurança, já que neste caso “o agressor não precisa entrar a partir de fora; ele já tem rodando naquele sistema um código que essencialmente abre uma conexão direta com ele. Este é o tipo de coisa que os encarregados da segurança da rede nunca esperam. Assim você consegue acesso a senhas e credenciais para cavar ainda mais fundo, encontrando eventualmente os dados delicados que procura.

O resultado é uma violação das feias na segurança da empresa. “Temos visto este tipo [de violação] por vários anos, em todo tipo de empresa, incluindo aquelas ligadas ao governo”, diz Percoco.

Quem fez isso?

É fácil ver como um hacker poderia conseguir acesso a uma máquina, ou mesmo à rede de uma empresa, e a facilidade que ele teria em transferir arquivos roubados de lá para si mesmo. Mas quem é o hacker? O Secretário de Defesa tomou o cuidado de ligar o ocorrido a agressores “estrangeiros” – e considerando as notícias sobre hackers desse ano, imediatamente coloca-se a culpa na China. Motivos não faltam.

Percoco diz que a sua empresa faz centenas de investigações todos os anos sobre ataques como este, e que é “muito, muito difícil localizar conseguir que as informações do ataque apontem para uma pessoa ou motivação política específica”. A não ser que seja um ataque de hacktivistas, quando algum grupo como o Anonymous publica os dados online e admite a culpa – e mesmo assim “você não sabe onde essas pessoas estão de fato localizadas”.

Um hacker pode ir até uma cafeteria com o seu laptop, comprar um espresso, conectar-se à Wi-Fi gratuita. “Agora ele vai ao mundo e procura um computador com uma brecha de segurança”. Quando encontra, ele pode usar o computador hackeado para uma situação como a descrita acima, para enviar um email infectado. Qualquer um que rastrear o código depois do ataque ter sido detectado vai encontrar a fonte em algum computador corporativo, digamos, na China. E aí atinge-se uma barreira – porque ninguém vai “permitir que o governo americano chegue e faça uma investigação forense em uma empresa chinesa qualquer”.

Além disso, é raro que esse próprio endereço seja mesmo de onde vem o ataque – “eles estão sempre pulando entre vários sistemas”, diz Percoco, que podem estar em diferentes nações, portanto confundindo qualquer tentativa de rastreá-los. Isso significa que o verdadeiro agressor pode estar literalmente em qualquer lugar.

A Ciberguerra Fria?

Subitamente, temos um ângulo muito mais sinistro ao hack do Pentágono. Em vez de “hack à moda Chinesa”, temos “hackers ainda mais maliciosos dando a entender que estão atacando à moda Chinesa”.

[Imagem: Flickr da Biblioteca Pública de Boston]

O Fast Company ajuda os inovadores a desafiar as normas e criar o futuro dos negócios.