A Cisco e a Fortinet confirmaram a existência das falhas usadas por hackers em um suposto ataque feito ao Equation Group, que especula-se ser vinculado à NSA. E essas vulnerabilidades foram exploradas durante três anos – o que indica que a internet ficou insegura por talvez até mais tempo do que isso.

Grupo hacker diz ter invadido a NSA, agência de espionagem americana

O grupo de segurança da Cisco confirmou que, de fato, seus softwares tinham duas das falhas que teriam sido usadas pelo grupo hacker The Shadow Brokers para roubar documentos e arquivos relacionados a ferramentas de vigilância. “Uma falha poderia permitir ao hacker executar códigos arbitrários e obter controle total do sistema ou causar um recarregamento do sistema afetado,” disse a Cisco.

Em um post no blog da empresa, o engenheiro de segurança Omar Santos, da Cisco, disse que uma das falhas foi consertada em 2011 – ela é chamada de EPICBANANA. Para aplicar o golpe, os hackers precisam invocar comandos inválidos no dispositivo alvo – e, além disso, eles também precisam da senha do telnet ou SSH.

Já a outra falha, chamada de EXTRABACON, afeta todos os softwares lançados pela linha de segurança da Cisco Adaptative Security Applicance (ASA), e é um pouco mais complexa. O bug permite escrever códigos maliciosos em sistemas que usam o programa vulnerável – os hackers podem criar tráfego dados especiais conhecidos como Simple Network Management Protocol (SNMP) para enviar o malware para os dispositivos alvos do ataque – e não é preciso o uso de senha para isso.

Os arquivos vazados pelo The Shadow Broker foram roubados entre 2010 e 2013, o que indica que durante ao menos esses três anos a internet ficou bastante vulnerável a esse tipo de ataque.

No caso da Fortinet, a empresa disse que alguns produtos lançados antes de agosto de 2012 contém a vulnerabilidade citada pelos hackers, e ela permite assumir controle de um firewall – com isso, os criminosos podem escrever códigos maliciosos diretamente na máquina.

Outras duas empresas foram citadas pelos hackers como fabricantes de software que pode ser explorado maliciosamente: a Juniper Networks disse à Forbes que está analisando os vazamentos para conferir a veracidade das falhas. A outra é a TopSec, que ainda não se pronunciou sobre o caso.

Quem são os Shadow Brokers?

Inicialmente alguns apontaram para a Rússia como provável local de origem dos hackers, mas um artigo do Motherboard especula que o ataque pode ter sido interno. Ou seja, alguém de dentro da própria NSA esteve envolvido.

Um antigo funcionário da NSA, que pediu para permanecer anônimo, é quem levanta essa teoria. “Meus colegas e eu estamos quase certos de que não houve hack, nem há um grupo desses,” disse. “Este personagem ‘Shadow Broker’ é um cara, um funcionário interno.”

Segundo a fonte do Motherboard, é mais fácil para alguém de dentro da NSA obter esses dados do que alguém de fora. A organização dos diretórios dos arquivos vazados, assim como o fato de que algumas coisas só são acessíveis internamente dão força a essa ideia. “Temos 99,9% de certeza de que a Rússia não tem nada a ver com isso e mesmo que toda essa especulação seja mais sensacionalista para a mídia, a teoria de alguém interno não deveria ser descartada,” disse a fonte.

Matt Suiche, CEO da Comae, uma empresa de segurança de Dubai, também acredita mais no ataque interno de algum funcionário da NASA. Em um post, Suiche fala até um “erro” cometido pelo suposto invasor que deixou as ferramentas usadas para o ataque expostas em um servidor – e isso é um indício de que ele faria parte do grupo Tailored Access Operation (TAO), da NSA.

Pode ser que, de fato, um novo Edward Snowden tenha se infiltrado no sistema para derrubá-lo – mas, desta vez, preocupado em manter o próprio anonimato para não passar o resto dos dias fugindo dos EUA. Por enquanto não há nenhum indício de que tenha sido isso – muito menos de que outra coisa tenha acontecido – então vamos precisar esperar para saber se essa história vai ser devidamente esclarecida no futuro.

[Forbes, TechCrunch, Motherboard]

Imagem via AP Photo/Charles Dharapak