Se, no front físico, o mundo assiste a um conflito entre Rússia e Ucrânia, nas sanções econômicas estão envolvidos praticamente todos os países desenvolvidos, do Canadá à Suíça. E ainda há outro campo de batalha nessa guerra, o do ciberespaço. Um dia antes dos disparos das forças armadas russas, houve um ataque a sites do governo da Ucrânia, que pararam de funcionar. Agências de classificação de risco advertem que, diante da multiplicidade de atores envolvidos, cresceu a ameaça de ciberataques globais. Para dimensionar esse possível desdobramento, a coluna ouviu Carlos Cabral, pesquisador em cibersegurança da Tempest, empresa especializada no assunto que recebeu um grande aporte da Embraer em 2020.
Estamos diante de uma guerra híbrida, parte física e parte cibernética?
Essa mistura de esforços no teatro de operações torna a natureza do conflito híbrida. Há ataques cibernéticos, campanhas de desinformação e atividades diretas de inteligência militar, o que é chamado de active measures (medidas ativas, na tradução literal, refere-se a um conjunto de atividades como desinformação, propaganda, sabotagem, desestabilização, fraude, subversão e espionagem). É nesse contexto que o país que ataca nega ter sido o agente desse ato. Essa é uma característica essencial no combate híbrido e da natureza do ataque cibernético: é fácil de ser negado.
Já havia, antes da guerra , concentração de ataques cibernéticos partindo da Rússia ou isso é um preconceito, fruto da falta de informação?
Há uma base de verdade, porque hoje existe muita documentação sobre grupos que conduzem ciberataques baseados na Rússia, mas também há muita concentração de estudos nesses grupos, e menos nos que atuam nos Estados Unidos e em outros países. A natureza dos ataques é dispersa em diversos países, sob múltiplas formas. Como o foco dos estudos está na Rússia, pode parecer que um número maior venha de lá, mas não é possível assegurar isso por causa dessa concentração.
No dia 24, além dos ataques por DDS, foram usados vírus destrutivos focados em organizações governamentais ucranianas.
A guerra começou com ataque cibernético?
Houve um grande ataque a mais de 70 sites ucranianos. Há três tipos básicos de guerra cibernética: um visa mandar muitas requisições a um o site para exaurir a capacidade de responder, que chamamos de DDS (Distributed Denial of Service), outro é uma espécie de pichação que substitui o conteúdo por outras mensagens, que chamamos de defacement, e o terceiro é o uso de vírus destrutivos, que acaba com tudo o que há no sistema. No dia 24, além dos ataques por DDS, foram usados vírus destrutivos focados em organizações governamentais ucranianas.
Como isso pode se desdobrar?
No dia 25, o seguinte ao ataque físico, outros grupos entraram na guerra. São movimentos chamados de hacktivism, que usa ataques hackers nas suas pautas. Dois exemplos são o Anonymous e o Belarusian Ciber-Partisans, que se mobilizaram para ajudar a Ucrânia. Então, uma das consequências é a proliferação de ataques de grupos dos dois lados. Chamou muita atenção, durante a semana, uma conhecida gangue de ramsonware (sequestro de dados com pedido de resgate para liberá-los), chamada Conti, fez um pronunciamento dizendo que estava em "completo comprometimento com a Rússia". Isso causou impacto no cibercrime, que também tem pessoas partidárias da causa ucraniana entre seus apoiadores e vazaram trocas de mensagens. Foi um revés para os operadores, para quem controla essas gangues.
Também há grupos menores, que abraçaram a causa ou não, porque o hacktivismo também pode ser usado de forma mercenária, por alguma outra entidade que não pode aparecer.
Isso fica só no mundo do "crime como serviço" ou chega a governos?
As forças militares de inteligência estão lutando entre si nos espaços cibernéticos, e há outras entidades que apoiam a Ucrânia. Também há grupos menores, que abraçaram a causa ou não, porque o hacktivismo também pode ser usado de forma mercenária, por alguma outra entidade que não pode aparecer. Pode vestir a identidade do hactivismo para cumprir seus objetivos. Afinal, ninguém sabe quem esta por trás das máscaras, não só a do Anonymous.
Há risco de que esse aumento do uso de armas cibernéticas eleve o já preocupante nível de exposição das empresas a ciberataques?
Temos duas vertentes. A primeira é de que essa politização do cibercrime, no caso do Conti, possa pode gerar conflitos entre diversas gangues. Isso pode pode afetar empresas, sob a forma de vazamento de dados sobre empresas que pagaram resgate a eles. Isso é como jogar uma granada: não se sabe como vai se fragmentar. Uma guerra cibernética ainda pode interromper comunicações ou destruir bases de dados. Isso pode afetar empresas de diversas formas. Em dezembro, um problema na AWS, a Amazon Webservices, afetou várias empresas que usavam essa estrutura. E foi uma falha, não um ataque. Imagine um ataque de força hostil que mire uma infraestrutura compartilhada por múltiplas empresas, como a computação em nuvem. Em tese, pode afetar companhias no mundo inteiro.
A interconexão entre empresas trazida pela globalização, é positiva, mas exige muito cuidado quando há ataques generalizados por grupos de poder de fogo variado.
O fato de muitos países terem imposto sanções à Rússia cria mais alvos?
Sim, inclusive porque um eventual ataque pode mirar em empresa e acertar outra. Dada a interconexão, as empresas já estavam buscando proteção. Os ataques de ramsonware haviam provocado uma corrida imensa por cibersegurança, sobretudo nas maiores empresas, porque as menores têm menos capacidade de fazer investimentos nessa área. Assim, tornam-se as frutas mais baixas na árvore, mais acessíveis a atacantes. A interconexão entre empresas trazida pela globalização, é positiva, mas exige muito cuidado quando há ataques generalizados por grupos de poder de fogo variado. Falamos com nossos clientes sobre isso: é muito importante que as empresas não só peçam para fornecedores implementar cibersegurança, mas os fiscalizem e os cobrem, para proteger o elo mais frágil. Esse momento é o ápice do ápice da importância da nossa área.