Rodrigo Craveiro
As agências de espionagem do Reino Unido, dos Estados Unidos e do Canadá acusaram hackers russos de tentarem roubar dados relacionados a vacinas contra o novo coronavírus. Segundo a denúncia feita pelo Centro Nacional de Segurança Cibernética britânico (NCSC), o grupo Cozy Bear — também conhecido como APT29 — “quase com toda certeza” opera a mando dos serviços de inteligência da Rússia. “Ao longo de 2020, o APT29 alvejou organizações de desenvolvimento e pesquisa no Reino Unido, nos EUA e no Canadá, muito provavelmente com a intenção de roubar informações e propriedade intelectual relacionadas ao desenvolvimento e aos testes de vacinas contra a covid-19”, afirma o comunicado do NCSC. “Essa avaliação é respaldada por parceiros do Estabelecimento de Segurança em Comunicação do Canadá (CSE); da Agência de Segurança e Infra-estrutura em Segurança Cibernética (Cisa) e da Agência de Segurança Nacional (NSA), ambas pertencentes aos EUA.”Em Londres, a Universidade de Oxford e o Imperial College London seriam os alvos do Cozy Bear.
“Nós rejeitamos essas acusações, bem como as novas alegações sem fundamento sobre uma interferência nas eleições de 2019”, declarou Dmitry Peskov, porta-voz do presidente russo, Vladimir Putin, em referência ao processo eleitoral que levou Boris Johnson ao posto de primeiro-ministro — as autoridades britânicas apontaram a suposta tentativa do APT29 de influir na votação. “Não temos informação de quem teria atacado empresas farmacêuticas do Reino Unido.” Hackers do APT29 também são suspeitos de invadir computadores do Comitê Nacional do Partido Democrata, durante a campanha presidencial norte-americana de 2016.
“É completamente inaceitável que os serviços de inteligência russos tenham como alvo aqueles que trabalham para combater a pandemia do novo coronavírus”, disse Dominic Raab, ministro das Relações Exteriores britânico. “O Reino Unido seguirá respondendo a esses ataques cibernéticos e trabalhará com seus aliados para que os culpados por tais atos respondam ante a Justiça.” Por sua vez, Paul Chichester, diretor de operações do NCSC, condenou os “ataques desprezíveis contra aqueles que fazem um trabalho vital para combater a pandemia”.
Para John Hultquist, diretor de análise de inteligência da Mandiant Threat Intelligence, empresa de segurança cibernética dos EUA, os russos buscam aprimorar o próprio programa de pesquisas, por meio do roubo de dados de outras nações. “Os hackers do grupo Cozy Bear são atores ligados ao Estado. Por serem persistentes, é difícil de combater um adversário assim. Mesmo que as nações tenham bons recursos ou ferramentas”, explicou ao Correio.
Emily Taylor, CEO da companhia Oxford Information Labs e pesquisadora do think tank Chatham House (em Londres), disse à reportagem que a ligação entre o APT29 e os serviços de inteligência da Rússia existe desde a interferência nas eleições dos EUA, em 2016. “O fato de os serviços de espionagem do Canadá e dos Estados Unidos terem declarado que concordam com a conclusão do NCSC adiciona peso à acusação. As três agências de segurança (EUA, Canadá e Reino Unido) não responsabilizam terceiros por crimes utilizando termos tão duros.”
Sofisticação – Professor de tecnologia da informação pela Universidade de Notre Dame (em Indiana, EUA), Mike Chapple admitiu ao Correio que a série de ataques atribuídos ao APT29 envolve dados impressionantes. “Em primeiro lugar, isso demonstra que o governo russo tem claro interesse em roubar propríedade intelectual de organizações envolvidas em pesquisas sobre o novo coronavírus. Em segundo lugar, a comunidade de inteligência internacional está unificada na avaliação desta ameaça. Em terceiro, os hackers usaram ampla gama de técnicas sofisticadas, incluindo o mesmo tipo de ataques de engenharia social usados para atacar os funcionários do Twitter, anteontem (quarta-feira). Também examinaram os sistemas nas organizações-alvo em busca de vulnerabilidades. Por fim, empregaram um software malicioso (malware) desenvolvido sob medida para explorar os sistemas vulneráveis.”
Em 13 de maio passado, o FBI — a polícia federal dos Estados Unidos — e a agência de segurança cibernética americana informaram que hackers, pesquisadores e estudantes próximos ao governo da China tentaram roubar dados sobre tratamentos e vacinas contra o novo coronavírus. Pequim reagiu, acusou Washington de calúnia e atribuiu aos EUA “as maiores operações de roubo da internet numa escala mundial”.
O suspeito dos ataques – Cozy Bear. Outros codinomes: APT29, Office Monkeys, CozyCar e CozyDuke.
Modus operandi – Ao contrário de outros atores de Estados monitorados pela empresa de segurança Crowdstrike, o grupo Cozy Bear trabalha em uma espécie de rede, enviando milhares de e-mails para um amplo conjunto de alvos. Flexível, costuma mudar os conjuntos de ferramentas com frequência. Também utiliza os componentes mais recentes do sistema operacional de destino para se esconder das ferramentas de segurança.
Programas utilizados – O Cozy Bear utiliza um malware personalizado, conhecido como “WellMess” e “WellMail” para atingir várias organizações em âmbito global. O WellMess é enviado à rede de computadores-alvos para agir como um portal e capturar documentos. Por sua vez, o WellMail se instala no computador e contrabandea comandos, a fim de remover dados das redes.
Tipos de ataques – » E-mails de phishing: desenhados para induzir o destinatário a entregar suas informações pessoais.
» Spear phishing (“Lançadores de phishing”): forma personalizada de ataque, projetada para enganar um indivíduo específico. Geralmente, o e-mail parece vir de um contato confiável e pode influir informações pessoais para tornar a mensagem mais confiável.
Os alvos do Cozy Bear – Organizações envolvidas no desenvolvimento da vacina contra a covid-19 no Canadá, nos Estados Unidos e no Reino Unido, muito provavelmente com a intenção de roubar informações e propriedade intelectual relacionadas ao desenvolvimento e à testagem de vacinas contra a covid-19.