​A armadilha que frustrou os hackers que perseguiam ativistas do Irã

No final de 2015, hackers possivelmente associados ao governo iraniano modificaram a infraestrutura de seus ciberataques. A mudança ligava o malware do grupo, utilizado para atacar dissidentes iranianos, a diferentes servidores controlados pelos hackers.

Collin Anderson e Claudio Guarnieri, dois pesquisadores independentes que monitoram hackers iranianos há três anos, viram nessa mudança uma oportunidade imperdível; em pouco tempo, os dois haviam adicionado uma série de URLs falsos aos servidores do grupo.

Nos seis meses seguintes, toda vez que um ativista iraniano era hackeado, o malware mandava seus dados para os hackers — e também para os dois pesquisadores.

"Eles não perceberam que estávamos monitorando seus ataques há meses", diz Guarnieri, um tecnólogo da Anistia Internacional e membro do Citizen Lab.

Durante esse período, todavia, os dois pesquisadores interceptaram mais do que informações sobre as vítimas. Ao testar novos tipos de malware, os hackers mandaram seus próprios dados para seus servidores, enviando-os, consequentemente, para os servidores de Anderson e Guarnieri.

Dessa forma, os dois puderam acompanhar esses hackers de perto, coletando informações como os nomes de seus computadores, seus IPs e os identificadores de seus equipamentos. "Todo tipo de informação", resumem os dois, rindo timidamente, durante nossa entrevista em Las Vegas, nos EUA.

Na semana passada, Guarnieri e Anderson, um pesquisador independente especializado em segurança digital, divulgaram um relatório de 50 páginas no qual eles descrevem os três anos de pesquisa em que interceptaram mais de 300 ciberataques a ativistas.

O estudo mostra que, apesar da mídia retratar os hackers iranianos como uma ameaça a governos estrangeiros, empresas e infraestruturas críticas, eles estão mais preocupados em espionar cidadãos iranianos dentro e fora do território nacional.

"Eles estão acumulando muitas informações", diz Guarnieri. Ele acrescenta que, embora elas não sejam sofisticadas, as técnicas adotadas pelos hackers são eficazes. Para completar, esses hackers estão "evoluindo muito rápido", o que é "um sinal de que a situação vai ficar cada vez pior".

Para comprovar essa afirmação, os dois me mostraram uma das primeiras tentativas de phishing endereçada a um ativista iraniano. O email levantaria suspeitas em qualquer pessoa com um pouco de experiência em detecção de malwares: a mensagem, supostamente enviada por um "Programa de Segurança da CIA!", convida o destinatário a instalar um arquivo ".exe" a fim de enviar dicas anônimas para a agência de espionagem.

Hoje, três anos depois, os emails não são atribuídos à CIA, mas sim a agências de imigração, numa tentativa de se aproveitar do fato de que vários iranianos expatriados possuem vistos temporários e tem processos de imigração pendentes. Esses emails também parecem mais profissionais e, portanto, mais críveis.

No estudo, que faz parte de um projeto de pesquisa que será publicado no final do ano pela Carnegie Endowment for International Peace, uma think tank de Washington, Anderson e Guarnieri detalham as atividades de quatro grupos hackers iranianos, apelidados como Infy, Cleaver (ou Ghambar), Rocket Kitten e Sima.

O estudo não é apenas uma análise sem precedentes dos ataques desses hackers contra a sociedade civil, tampouco um olhar aprofundado sobre temas tratados em pesquisas anteriores. Mais do que isso, prova que não é preciso fazer parte de uma empresa de antivírus com acesso a milhares de computadores para detectar um malware.

Mas como Anderson e Guarnieri fizeram isso? A resposta é simples: se aproximando das comunidades atacadas pelos hackers.

"Nós não interceptamos grandes conjuntos de dados e nem temos acesso ao big data ", diz Guarnieri. "Mas temos acesso a um recurso que nenhuma empresa de segurança tem: uma grande rede de contatos".

Para estabelecer essa rede, os dois trabalharam diretamente com dissidentes, entrando em contato com várias comunidades. Anderson, por exemplo, tornou-se uma referência no estudo da internet iraniana.

O pesquisador, que mora em Washington, repetiu as opiniões de Guarnieri, dizendo que "nossa relação com as comunidades nos permitiu criar nossas próprias versões desses sistemas de monitoramento".

Ao longo dos anos, os dois se dedicaram a aconselhar iranianos que recebem emails suspeitos; no entanto, inspirar confiança nem sempre é fácil. Certa vez, conta Anderson, um amigo o colocou em contato com alguém que havia recebido um email potencialmente perigoso. Inicialmente, essa pessoa não acreditou nele.

"Eu disse:'sei que você não me conhece, mas seus dados estão comprometidos'", conta Anderson. "Às vezes as pessoas não acreditam em mim, então em alguns casos sou obrigado a dizer 'tudo bem, então olha aqui alguns arquivos retirados do seu computador'".

Este ano, após três anos de intercepção clandestina, os dois decidiram vir à público; essa decisão foi tomada após a empresa de segurança Palo Alto expor o grupo monitorado pela dupla desde o início de maio.

Na época, a firma de segurança redirecionou o tráfego do botnet dos hackers para seus servidores, interrompendo suas operações durante um feriado iraniano. Na volta ao trabalho os hackers entraram em pânico, contam Anderson e Guarnieri, que observaram enquanto eles checavam seus servidores, incertos do que havia acontecido.

Naquele momento, os dois concordaram que era hora de disponibilizar todas essas informações ao público. Ao expor suas táticas, dizem os dois, eles não só incentivam as possíveis vítimas a serem mais cuidadosas, mas também prejudicam as futuras operações do grupo.

"Se não agirmos, nunca vamos detê-los", diz Guarnieri. "Trazer essas informações à tona não vai pará-los, mas assim criamos uma tensão econômica entre o dinheiro investido na criação e manutenção desses ataques e o medo de exposição."

No entanto, apesar da interceptação de cerca de 300 ataques, os dois admitem que isso é provavelmente "apenas a ponta do iceberg". Eles também convocaram a participação da indústria de segurança, cujo arquivo de malwares poderia ajudá-los a investigar mais casos.

"As comunidades com que lidamos são completamente indefesas. Eles não são clientes de nenhuma empresa e não recebem apoio técnico de ninguém", diz Guarnieri. "É muito difícil fazer isso sem apoio."

Tradução: Ananda Pieratti