Seleccione Edição
Login

Assim é um ataque, passo a passo

Um relatório de cibersegurança expõe as táticas de guerra digital usadas no conflito sírio

Assim é um ataque, passo a passo
Getty

Um combatente da oposição síria está conectado a seu computador. Uma libanesa chamada Iman aparece na tela. Uma breve conversa pelo chat do programa de mensagens instantâneas Skype, uma troca de fotos. Iman envia uma “foto pessoal” ao guerrilheiro. Ele abre a foto e pronto: o Dark Comet RAT (sigla em inglês para Cavalos de Troia de Acesso Remoto) escondido na imagem, um vírus capaz de roubar informações do computador, acaba de invadir uma máquina das forças que combatem o regime de Bashar al Assad.

Assim é travada a ciberguerra hoje em dia. O hacker se faz passar por uma jovem atraente e envia um vírus que extrai informação estratégica, planos de operações, identidades de outros combatentes. Isso ocorreu em dezembro de 2013, segundo a empresa de cibersegurança norte-americana FireEye – que apresentou esta semana um relatório no qual descreve uma operação de invasão de computador em pleno conflito sírio, o que ilustra a força da guerra digital na era moderna. Estes são alguns trechos dessa conversa entre o guerrilheiro e a suposta Iman:

MAIS INFORMAÇÕES

Iman: Você está abrindo o Skype no celular?

Guerrilheiro: No computador e no celular. Quantos anos você tem?

I: 27. E você?

G. 28.

I: 5 de maio de 1986.

G. Lolololololo [Risos]. Eu, 5 de maio de 1985.

I: Uma doce coincidência. (Envio do arquivo Nova-Foto-Iman.pif)

G. Você me deixa louco.

A pergunta sobre a forma de conexão permite que o hacker saiba que tipo de “cavalo de Troia” tem de enviar. A data de nascimento é uma informação à qual ele pode ter acesso fácil no Skype ou em um perfil do Facebook e lhe permite criar um vínculo em torno de uma suposta coincidência.

É tão fácil assim invadir um computador inimigo. E canais de comunicação como o Skype ou as redes sociais foram dois dos caminhos que esses hackers (supostamente agentes de inteligência) usaram para ter acesso a informações sobre as forças que combatem o regime de Assad.

Foi usada como isca uma página falsa de apoio às forças de oposição que continha uma seção para conhecer pessoas, na qual havia fotos de mulheres com véu

No período de maio a dezembro de 2013, as mensagens falsas de garotas como Iman permitiram atrair combatentes a seus perfis no Facebook, que continham links “envenenados”. Também foi usada como isca uma página falsa de apoio às forças de oposição, que continha notícias sobre o conflito sírio e uma seção para conhecer pessoas, na qual havia fotos de mulheres com véu. Ao clicar na opção de iniciar uma conversa em vídeo ao vivo se abria a porta para um novo cavalo de Troia.

Com esse tipo de artimanhas, o grupo de hackers obteve acesso a 7,7 gigabytes de dados: 64 bases de dados do Skype, 12.356 contatos, 31.107 conversas e 240.381 mensagens enviadas, principalmente, na segunda metade de 2013. Entre esses dados estavam documentos de operações militares, incluindo detalhes das posições ocupadas pelas forças opositoras. Nas conversas pelo Skype se falava de rotas de abastecimento, chegada de barcos com lança-mísseis, e dias e horas das entregas de armamento, por exemplo.

O grupo de ‘hackers’ obteve acesso a 64 bases de dados do Skype, 12.356 contatos, 31.107 conversas e 240.381 mensagens

Em um de seus rastreamentos em busca de códigos maliciosos, os analistas da FireEye, empresa que colabora com organismos como a CIA e a Interpol, depararam-se com os documentos roubados das forças de oposição sírias. Entre eles estava um diretório com informações escritas em árabe, incluindo planos bastante detalhados de um ataque à cidade Khirbet Ghazaleh, uma passagem estratégica para chegar à localidade de Daraa. Havia planilhas de Excel com as solicitações de munição de cada combatente e mapas do Google Earth com os planos de ataque. Estavam detalhados os modelos de tanques e fuzis, os morteiros que seriam usados, o nome e o sobrenome dos guerrilheiros – entre 700 e 800 – envolvidos na operação.

A empresa norte-americana diz que não tem condições de identificar para quem trabalhavam esses hackers, nem afirmar com certeza que o regime sírio tenha tido acesso à informação. “Seria muita ingenuidade pensar que o regime de Assad não tenha aproveitado essa informação, mas nós só podemos especular, não sabemos o que fizeram ou deixaram de fazer”, disse por telefone de Reading, na Grã-Bretanha, Jason Steer, chefe de estratégia de segurança da FireEye para Europa, Oriente Médio e África.

Entre os computadores invadidos por esses hackers está um cujas informações no Skype indicavam que estava instalado na Espanha e mantinha contato com as forças que combatem Assad. A FireEye cita isso em seu relatório, mas não pode confirmar com certeza absoluta que o computador estivesse mesmo em território espanhol.

O ataque a Khirbet Ghazaleh não chegou a ser realizado. Não se sabe se foi impedido a tempo pelas autoridades sírias ou se as próprias forças rebeldes o cancelaram ao saber que tinham sido roubadas informações sobre seu plano. Mas uma coisa, diz Steer, fica clara: “A ciberguerra é parte do campo de batalha”.