Ouça este conteúdo
No começo deste mês, o governo dos Estados Unidos anunciou para o mundo a sua mais importante vitória na luta contra a ciberespionagem global. Por meio de um comunicado oficial, o governo americano declarou que havia derrubado o malware conhecido como Snake, classificado como uma das mais sofisticadas e complexas ferramentas usadas durante cerca de duas décadas pelo Serviço Federal de Segurança da Rússia (FSB), um dos sucessores da KGB, para monitorar países membros da Organização do Tratado do Atlântico Norte (OTAN), jornalistas e outros alvos.
No comunicado emitido no último dia 9, o FBI e a Agência de Segurança Cibernética dos EUA (CISA) informaram que o malware Snake fazia parte de uma ampla gama de ferramentas maliciosas do notório grupo de hackers conhecido como Turla. Contando com financiamento russo, o grupo iniciou o desenvolvimento do vírus em 2003 e o utilizava para atacar uma variedade de alvos alinhados à OTAN, a agências governamentais e a empresas de tecnologia dos Estados Unidos, revelou um alto funcionário do FBI.
A operação, conduzida sob o codinome Medusa, foi montada a partir do resultado de uma grande investigação do FBI, que já estava em andamento há anos. Ela contou com a participação e coordenação de outras agências de segurança dos EUA e de seus aliados internacionais, como o Reino Unido, o Canadá, a Austrália e a Nova Zelândia. As autoridades americanas vinham monitorando a atividade dos agentes do FSB responsáveis pelo uso do malware, os quais operavam em uma instalação dos serviços de segurança russos. Durante o processo de investigação, os especialistas americanos identificaram várias características técnicas únicas do Snake e exploraram erros cometidos pelos operadores, fornecendo uma base sólida para entender o funcionamento interno do malware.
“Nossa investigação revelou exemplos de operadores do FSB que pareciam não estar familiarizados com as capacidades mais avançadas do Snake”, disse um dos promotores do FBI aos tribunais federais dos EUA.
De acordo com autoridades americanas, uma das vulnerabilidades descobertas no vírus estava relacionada à biblioteca OpenSS, utilizada para a troca de chaves Diffie-Hellman. O conjunto de chaves gerado pelo Snake durante essa troca era muito curto para ser considerado seguro, com um comprimento principal de apenas 128 bits. Além disso, em algumas implantações apressadas do malware, os operadores negligenciaram a remoção do binário do Snake, deixando rastros que contribuíram para sua identificação. O modus operandi dos hackers consistia em infectar computadores em todo o mundo com o malware e, em seguida, extrair os dados desses dispositivos, incluindo aqueles localizados nos Estados Unidos.
As autoridades americanas conseguiram desativar o malware usando uma ferramenta especial do FBI chamada Perseus. A ferramenta enviou comandos ao Snake, sobregravando seus componentes vitais e interrompendo suas atividades. A infraestrutura do malware foi identificada em mais de 50 países, incluindo a própria Rússia.
Embora o Snake tenha sido utilizado em vários setores, seu direcionamento era sempre tático e intencional. O FSB russo empregou o vírus para coletar informações sensíveis de alvos de alta prioridade, como redes governamentais, centros de pesquisa e jornalistas. Um exemplo mencionado foi o acesso e a exfiltração de documentos confidenciais e comunicações diplomáticas de um país membro da OTAN, que não teve seu nome divulgado.
Nos Estados Unidos, o FSB atingiu setores como educação, pequenas empresas, organizações de mídia e setores de infraestrutura crítica, incluindo instalações governamentais, serviços financeiros, manufatura essencial e comunicações.
O desmantelamento bem-sucedido da rede de espionagem cibernética russa é considerado um golpe significativo contra as atividades de inteligência estrangeira e um passo importante na defesa dos interesses dos Estados Unidos e de seus aliados.
No comunicado, Merrick Garland, procurador-geral dos Estados Unidos, enfatizou que Washington e seus aliados continuarão a fortalecer suas defesas conjuntas contra as tentativas de Moscou de desestabilizar a segurança dos países ocidentais. Essa ação é vista como uma resposta enérgica às atividades de espionagem cibernética da Rússia, que têm sido motivo de preocupação há anos. “Continuaremos a fortalecer nossas defesas coletivas contra os esforços desestabilizadores do regime russo para minar a segurança dos Estados Unidos e de nossos aliados”, declarou Garland.
Vitória pode ser temporária
Mesmo representando uma vitória significativa para os países do Ocidente, um especialista brasileiro alertou que essa conquista pode ser apenas temporária e destacou a necessidade de medidas contínuas para garantir a segurança digital.
Em entrevista à Gazeta do Povo, Felipe Gonçalves Silva, consultor em segurança, enfatizou a natureza efêmera das vitórias no campo cibernético. De acordo com ele, “quando se trata de cibersegurança, todas as vitórias são efêmeras. Hoje você pode ter ganho a batalha, mas amanhã o seu atacante poderá superá-lo”. Para Silva, a campanha realizada pela operação Medusa com objetivo de derrubar o Snake certamente causou um impacto significativo ao sistema de espionagem russo, porém, é essencial continuar investindo em inteligência, ferramentas de proteção e treinamento visando a conscientização dos usuários, principalmente os politicamente expostos, para prevenir futuros ataques semelhantes.
Na visão de Silva, os próximos passos que os países do Ocidente devem tomar para evitar a proliferação de novos malwares de espionagem é justamente o caminho de investimento constante em inteligência. Ele alertou que, embora o Snake tenha sido derrotado, seus segredos já foram decifrados e é provável que versões genéricas do malware surjam na dark web para uso criminoso. Portanto, a cautela é fundamental.
O consultor em segurança também enfatizou a habilidade dos países da OTAN em combater ameaças cibernéticas de larga escala. “O Snake possui uma alta capacidade de infecção e é altamente capilarizado. Cerca de 50 países foram infectados. É um malware de persistência muito forte e modular, o qual ia se moldando conforme a necessidade ou objetivo da prospecção do seu atacante. Ele também era de dificílima percepção e não deixava rastros ou sintomas. Isso nos demonstra a altíssima capacidade dos países da OTAN em conseguir a neutralização e derrubada do Snake. Vejo que teremos cada vez mais ferramentas de infecção e proliferação de ameaças cibernéticas em massa com alta capacidade de sofisticação e engenharia de software de ambos os lados”, afirmou.
No contexto das operações futuras envolvendo segurança cibernética desenvolvidas pelos países do Ocidente, a derrubada do Snake pode desempenhar um papel crucial. Silva ressaltou que, inicialmente, a operação buscou frear a ação do FSB, financiador do vírus, mas no geral, esse tipo de operação também oferece a oportunidade de desenvolver outras ações, sistemas e mecanismos de proteção, detecção e ataque mais avançados.
Quando questionado sobre a importância dessa derrubada no cenário de guerra cibernética travada entre o Ocidente e a Rússia, Felipe pontuou que esse talvez seja um marco histórico. “O Snake pode ser considerado como um símbolo da capacidade tecnológica cibernética russa. A perda desse malware altamente maduro e amplamente difundido é, sem dúvidas uma vitória significativa para os países da OTAN”, disse.
No entanto, Silva ressaltou a necessidade de aguardar os possíveis desdobramentos dessa operação, bem como os contra-ataques que podem surgir no futuro.
No que diz respeito às ameaças cibernéticas futuras, ele alertou que o Snake é apenas um exemplo de malware sofisticado. Ele mencionou o software Perseus, usado pelos Estados Unidos na operação de derrubada do Snake, como um exemplo de sistema que pode evoluir e substituir o malware russo. Além disso, ele apontou para o uso de ambientes do metaverso, como jogos online, como uma tendência atual em ataques cibernéticos contra governos.
Histórico de ataques e invasões bem sucedidas
Durante seus anos de atividade, o grupo Turla, que os EUA afirmam serem financiados pelo FSB russo, realizou diversos ataques bem sucedidos a países europeus utilizando o Snake. Em 2016, os hackers invadiram a Academia Federal de Administração Pública da cidade de Brühl, na Alemanha. Logo depois, eles conseguiram obter com sucesso um acesso à Rede de Informações da Administração Federal Alemã, utilizada pelos órgãos legislativos e governamentais do país, até conseguir alcançar seu objetivo final, que era invadir o Departamento 2 do Ministério das Relações Exteriores, justamente a seção responsável pela política externa alemã na União Européia e pelas relações da Alemanha com outros países da Europa, América do Norte e Ásia Central, incluindo a Rússia.
Antes disso, o grupo também forneceu seus serviços para capturar dados e documentos ucranianos durante a ocupação da Crimeia, em 2014. No ataque, dezenas de redes de computadores ucranianos foram afetados e desestabilizados. Além do ataque à Ucrânia, os hackers também atingiram sistemas ligados ao governo da Lituânia, tirando sites do ar e capturando algumas informações consideradas sensíveis. Além desses ataques, John Hultquist, chefe da Mandiant Intelligence Analysis, de propriedade do Google, afirmou ao The Bharat Express News que o FSB chegou a usar o Snake para ajudar hackers iranianos a roubar informações de uma organização ocidental sem nome divulgado.