Um grupo afiliado ao governo russo criou versões falsas de cinco sites, inclusive do Senado americano, com o objetivo aparente de invadir computadores de pessoas que acessaram estas páginas, segundo informou a Microsoft nesta segunda-feira (20). A empresa descobriu e desativou os sites falsos.
O esforço do notório grupo de hackers APT28, que tem sido publicamente ligado a uma agência de inteligência russa e que interferiu ativamente na eleição presidencial dos EUA em 2016, ressalta o papel agressivo que os russos estão desempenhando antes das eleições parlamentares nos Estados Unidos. Autoridades americanas alertaram repetidamente que a votação de novembro é um dos principais focos dos esforços de interferência. A Microsoft alega que os sites foram criados nos últimos meses, mas não deu mais detalhes.
Entre os alvos do ataque hacker estavam o conservador Instituto Hudson, think tank ativo em investigações de corrupção na Rússia, e o Instituto Republicano Internacional (IRI), grupo sem fins lucrativos que promove a democracia no mundo. Outros três sites falsos foram criados para parecer como se fossem filiados ao Senado e um site não-político falsificava produtos da Microsoft.
"Esta aparente tentativa de phishing contra o Instituto Republicano Internacional e outras instituições é consistente com a campanha de intromissão do Kremlin contra organizações que apoiam a democracia e os direitos humanos", diz Daniel Twining, presidente da IRI, culpando o presidente russo Vladimir Putin. "Isso foi claramente projetado para semear confusão, conflito e medo entre aqueles que criticam o regime autoritário de Putin".
A Microsoft afirma que não encontrou evidências de que os sites falsos foram usados em ataques, mas estas páginas podem conter malware que é automaticamente carregado nos computadores de visitantes desavisados. Os hackers costumam enviar e-mails para enganar as pessoas a visitar sites que parecem ser autênticos, mas permitem que os invasores ganhem o controle de computadores que fazem login, permitindo o roubo de e-mails, documentos, listas de contatos e outras informações.
Depois de descobrir os sites falsos, a Microsoft obteve uma ordem judicial para transferir os nomes de domínio para seus próprios servidores, uma tática legal que a divisão de segurança da empresa usou dezenas de vezes desde 2016 para desativar 84 sites criados pelo grupo de hackers. O APT28, uma unidade da agência de inteligência militar russa GRU, é especializado em guerra de informação e operações de hacking e desinformação. "APT" refere-se à "ameaça persistente avançada" nos círculos de segurança cibernética.
A ordem judicial, executada na semana passada, permitiu efetivamente que a Microsoft fechasse os sites e os pesquisasse mais detalhadamente. A companhia usa a tática legal para ir atrás de botnets, redes maliciosas de contas automatizadas, desde pelo menos 2010.
O presidente da Microsoft, Brad Smith, afirmou que a empresa acompanha o grupo apoiado pelo governo russo há dois anos, mas decidiu falar publicamente sobre os esforços da empresa pela primeira vez devido a um crescente sentimento de urgência e a um aumento da atividade russa antes das eleições de novembro.
Leia também: Comitê de Inteligência do Senado dos EUA diz que Rússia ajudou Trump em eleição
"Você não pode realmente unir as pessoas em uma sociedade democrática, a menos que compartilhemos informações sobre o que está acontecendo", disse Smith ao Washington Post. "Quando há fatos que são claros como o dia, para aqueles de nós que operam dentro das empresas, cada vez mais sentimos que é um imperativo compartilharmos isso mais amplamente com o público".
A empresa anteriormente havia anunciado que dois candidatos políticos haviam sido submetidos a ataques cibernéticos.
Ataques anteriores
Instalar softwares maliciosos em sites falsos é um método popular para invadir computadores e se assemelha à tática usada no ataque a John Podesta, presidente de campanha de Hillary Clinton, que recebeu um e-mail falso de alerta de segurança, ligado a um site falso criado por russos. Seus e-mails foram roubados e divulgados publicamente nas últimas semanas da eleição presidencial e causaram constrangimento por suas avaliações bruscas de vários assuntos. Pesquisadores de segurança cibernética culparam o APT28 pelo ataque.
O procurador-especial Robert Mueller, em julho, indiciou 12 oficiais de inteligência russos, acusando-os de hackear o Comitê Nacional Democrata, também em 2016.
A Microsoft não culpou explicitamente a agência de inteligência russa pelo ataque anunciado na segunda-feira, mas citou o governo da Rússia e nomeou o APT28 e seus pseudônimos, “Strontium” e “Fancy Bear”.
O Instituto Hudson afirma que, como muitas instituições de Washington, foi alvo de ataques cibernéticos anteriores. David Tell, diretor de relações públicas do grupo, diz que a iniciativa de cleptocracia do Instituto Hudson, que frequentemente reporta sobre a corrupção na Rússia, pode ter motivado o ataque. Tell também observa que o diretor de Inteligência Nacional do instituto, Daniel Coats, chamou a Rússia de “ator estrangeiro mais agressivo" na tentativa de dividir os americanos, o que poderia ter chamado a atenção da APT28. "Esse tipo de coisa acontece. Já aconteceu com a gente antes", conta. "Não me surpreende que maus atores em estados não democráticos mexessem com a gente".
Papel das empresas
A iniciativa da Microsoft é o mais recente esforço do Vale do Silício para enfrentar as ameaças russas para as próximas eleições de forma mais agressiva do que a indústria de tecnologia fez em 2016, quando muitos se deram conta da seriedade e sofisticação dos esforços de desinformação só depois das eleições. Empresas e funcionários do governo americano prometeram trabalhar juntos mais de perto este ano. O Facebook divulgou recentemente que a empresa baniu 32 contas falsas e páginas que estavam ligadas à Agência de Pesquisa na Internet, uma operação de desinformação russa ativa antes e depois da eleição de 2016.
Os sites falsos descobertos pela Microsoft, registrados nas principais empresas de hospedagem na web, eram my-iri.org, hudsonorg-my-sharepoint.com, senate.group, adfs- senate.services, adfs-senate.email e office365-onedrive. com, de acordo com a Microsoft. Sua descoberta ressalta o papel central que as empresas de tecnologia americanas, que frequentemente têm sido criticadas por hospedar desinformação russa em suas plataformas, podem ter na investigação.
Leia mais: Facebook derruba rede de ‘engajamento falso’ mantida por brasileiros
Eric Rosenbach, ex-chefe de gabinete do Pentágono e hoje codiretor do Centro Belfer para Ciência e Assuntos Internacionais da Universidade de Harvard, parabeniza a Microsoft por anunciar rapidamente suas descobertas. Ele diz que as empresas às vezes podem agir de maneira que as agências governamentais não podem por causa de restrições legais e éticas.
"O setor de tecnologia precisa desempenhar um papel na proteção das eleições e na proteção das campanhas. O setor de tecnologia terá visibilidade sobre algumas dessas coisas que a [Agência de Segurança Nacional] nunca poderia e nunca deveria".
A Microsoft também anunciou nesta segunda-feira que está lançando uma iniciativa para fornecer proteções de cibersegurança gratuitas aos candidatos e escritórios de campanha nos níveis federal, estadual e local que usam o software Office 365, bem como think tanks e organizações políticas que a empresa acredita estarem sob ataque.
"Por muitas décadas, pessoas em sociedades democráticas viram essas ferramentas como fundamentalmente mais propensas a trazer informações para pessoas que vivem em países autoritários, e nós realmente não nos preocupamos com esses tipos de tecnologias que causam riscos a uma sociedade democrática", afirma Brad Smith, presidente da Microsoft. "O que estamos vendo agora, com sistemas de e-mail, eleições e rede social são [as tecnologias] criando um risco assimétrico para as sociedades democráticas".