Home > Tendências

Tensões geopolíticas acendem alerta para possíveis guerras cibernéticas

Ataque cirúrgico com drone que resultou na recente morte do general Iraniano Qasem Soleimani alerta grande público para a nova dinâmica dos conflitos

Por Leonardo Scudere*

16/01/2020 às 14h00

Foto: Shutterstock

Desde 2007 quando numa operação de inteligência ofensiva envolvendo equipes dos Estados Unidos e Israel resultou na criação e infiltração do malware “Stuxnet” na Usina de enriquecimento de urânio Natanz no Irã, causando a primeira e mais visível ação de comprometimento de ativos do mundo físico (desarticulação do funcionamento das centrífugas que seriamente prejudicou o programa nuclear Iraniano) tendo origem no ambiente digital, múltiplos incidentes semelhantes ocorreram, ficando porém restritos a comunidade de segurança.

Desde Newton, sabemos que uma ação irá certamente provocar uma reação. As consequências do Stuxnet fizeram o governo do Irã criar nas áreas militares e de inteligência (a exemplo dos países dos G-7) divisões de cibernética ofensiva. Estas equipes estão organizadas em objetivos e alvos específicos e tem suas identificações por códigos (como APT33 e outros que listo ao final).

Em particular, as tensões políticas entre Estados Unidos e Irã não são de hoje. Em 2018, hackers iranianos expuseram dados de companhias americanas e estima-se que suas equipes teriam conquistado infiltrações significativas em redes de infraestruturas críticas bem como de grandes empresas.

A escalada das tensões entre os dois países, entretanto, ganhou um capítulo sem precedentes no dia 3 de janeiro, dia da morte do general iraniano Qasem Soleimani. Soleimani morreu decorrente de um ataque aéreo dos Estados Unidos ao aeroporto de Bagdá, no Iraque.

A grande pergunta que fica é como o Irã ainda pode responder ao ataque. Vale lembrar que no dia 7 de janeiro, o país disparou uma série de mísseis em duas bases aéreas no Iraque onde tropas dos EUA estavam posicionadas. O ataque ocorria horas após o velório de Soleimani.

As discussões ao redor das tensões geopolíticas têm sido frenéticas. Múltiplas análises sobre possíveis cenários, incluindo previsões de possíveis ataques cibernéticos. Neste caso, as discussões também se estendem a questões legislativas e do direito internacional. De que forma poderia se configurar um conflito cibernético envolvendo dois países e seus potenciais aliados participantes neste contexto de disputas geopolíticas? Uma possível batalha cibernética surge no ambiente político internacional sem porém quaisquer regras claras de engajamento.

Os legisladores e as autoridades militares dizem que não há uma definição acordada do que constitui guerra cibernética, deixando-os operar caso a caso sobre a melhor forma de responder a incidentes individuais. "Nós realmente nunca seguimos o caminho para definir o que constitui um ato de guerra quando se trata de ataques cibernéticos", disse o senador do Partido Republicano Ron Johnson, do Estado de Wisconsin, e presidente do Comitê de Segurança Interna do Senado.

O senador Gary Peters, do Estado de Michigan, o principal democrata do comitê, disse a repórteres que esta é uma questão que "precisa de mais atenção" e que não vai desaparecer tão cedo. "É provável que vejamos isso não apenas no Irã, mas no futuro você verá o ciberespaço como um dos principais domínios da guerra daqui para frente", disse Peters. "Portanto, é importante tentar entender como o definiríamos".

Analisando operações de espionagem, considero serem prováveis ações menos massivas (caracterizando um conflito aberto), porém contra alvos específicos envolvendo altas patentes de áreas militares em posições de comando. Alternativamente, visando não caracterizar uma resposta direta contra empresas com forte relacionamento com o governo em projetos e/ou operações especiais. Vale ressaltar que, em caso de ataques cibernéticos, o tempo médio que as empresas nos EUA levam para identificar invasores nos seus sistemas é de 206 dias (no Brasil acima de 250 dias).

Podemos retomar o histórico recente de ataques dos grupos hackers Iranianos contra alvos nos países próximos não-aliados através de malwares destrutivos conhecidos como “wiper”. Estes são programados para eliminar o máximo possível de computadores numa rede infectada. Os "wipers" teriam sido usados contra a companhia de petróleo da Arábia Saudita Aramco, que teve destruídos 30.000 computadores num único dia. Enquanto os “wipers” simplesmente eliminam computadores, novas variantes de ransonwares visando extorsão de recursos atingiram nesta última semana resgates próximos a U$ 10 milhões por empresa, deixando remotos os U$ 5 mil por máquina de alguns meses atrás quando surgiu o WannaCry.

Considerando que existem registros de tentativas de invasões mais recentes contra redes do Departamento de Energia e seus Laboratórios em uma possível fase preparatória para lançar ataques contra sistemas de automação industrial (ICS: Industrial Control Systems) visando distorcer seu funcionamento ou mesmo sua destruição (reportado recentemente em novembro de 2019), torna-se necessário, definitivamente, integrar estes dois ambientes numa única central de monitoramento e controle das empresas.

Os movimentos laterais nas redes (após sua penetração e pelo amplo tempo sem defesas) proporciona aos invasores conhecimento específico na navegação interna e falhas entre estas redes para chegar ao objetivo principal de corromper tais sistemas (em geral menos atualizados com as mais modernas defesas cibernéticas) que tem a missão de gerenciar ambientes de infraestruturas críticas (energia, transportes, logística, indústrias, óleo e gás entre muitas outras). Qualquer pequena alteração nestes ambientes, pela sua própria natureza, irá causar fortes impactos econômicos podendo chegar, em estágios mais avançados, ao próprio sistema financeiro.

Recomendo fortemente aos clientes que tenham tais sistemas iniciarem rapidamente o que tecnicamente chamamos de “threat hunting” (caçada as ameaças) de forma proativa e ampla visando detectar situações de anomalias de comportamentos e os mais diversos e possíveis softwares maliciosos ativos já instalados. No passado as organizações investiram milhões em recursos para verificar se suas redes poderiam ser penetradas, mantendo ainda a ideia da contenção perimetral (externo/interno).

Este conceito deve ser expandido para o interior das organizações através de algoritmos de inteligência artificial, devido a complexidade dos ambientes visando detectar estes pequenos movimentos ou anomalias (técnica do small-slow) e a partir da sua descoberta, definir o melhor e mais efetivo método da sua eliminação e/ou segregação destrutiva.

O crescimento das tensões e contínuos incidentes específicos demonstrará força, poder destrutivo e distúrbios midiáticos, num equilíbrio ou equivalência de forças no domínio cibernético, que jamais poderia ser conquistados no mundo físico.

Numa economia digital onde mais de 75% dos ativos tornaram-se intangíveis, o vencedor será aquele país, empresa ou organização que terá a capacidade dinâmica de se manter operacional, quaisquer sejam as súbitas alterações geopolíticas e econômicas.

Esta é uma lista completa e confirmada de grupos hackers iranianos detalhada pelo MITRE ATT&CK. Verifique se sua empresa está preparada para defender-se contra estas técnicas:

*Leonardo Scudere é diretor executivo e fundador da Cyberbric Solutions. Possui ampla experiência em segurança cibernética e gestão de riscos, tendo atuado como executivo líder em grandes empresas como Oracle, IBM Latin América (ISS-IBM) e Computer Associates (CA)

Tags
Junte-se a nós e receba nossas melhores histórias de tecnologia. Newsletter Newsletter por e-mail