A China Ordenou Mesmo Que Hackers Atrapalhassem o Protesto em Hong Kong?

Em meados de junho, meses antes dos manifestantes pró-democracia lotassem as vias públicas de Hong Kong com seus guarda-chuvas, ativistas sentaram em frente aos seus computadores disseminando sua mensagem pela internet com a esperança de atrair mais observadores passivos a tomarem parte da ação. De saco cheio de um governo chinês metendo o nariz onde não era chamado, os manifestantes se preparavam para um verão de mudanças.

Trabalhando em conjunto com a equipe do Occupy Central, o PopVote, um site criado pela Universidade de Hong Kong e pela Universidade Politécnica de Hong Kong, preparava seus sistemas para hospedar um referendo não-oficial sobre como os cidadão escolheriam votar diretamente para o cargo de diretor executivo de Hong Kong – o líder do governo na região, que atualmente é eleito pelo Comitê de Eleição composto por 1200 membros a partir de uma série de candidatos definidos pelo Politburo chinês.

Pequim havia prometido a Hong Kong que seus habitantes poderiam escolher seu próximo líder em 2017. Mas desta vez, novamente, o governo chinês escolheria os candidatos. Para muitos na cidade-estado, a China não fez o bastante. Eles queriam uma democracia verdadeira e o PopVote os ajudaria a expressar isso. Mas a China queria manter seu domínio, algo que mantém desde 1997 quando a Grã-Bretanha lhe entregou a cidade. Certamente o governo não queria que o Occupy inspirasse outros pelo continente.

Os esforços de conscientização do PopVote começaram tranquilos. Os voluntários se cadastravam e participavam de votações simuladas no site na semana anterior à votação de fato, marcada para ocorrer dos dias 20 a 22 de junho. Mas aí chegaram os bots. Milhões deles.

A maioria suspeita que o governo chinês lançou uma série de ataques distribuídos de negação de serviço (DDoS, na sigla em inglês) que derrubaram o PopVote, sem precedentes em termos de escala e sofisticação. A China nunca admitiria a culpa, porém. Sua resposta padrão para qualquer acusação de envolvimento do governo em campanhas hackers sempre foi negar tudo. Nem o Ministério de Relações Exteriores nem a embaixada chinesa em Londres responderam pedidos de pronunciamento.

Jazz Ma é o gerente de TI da Universidade de Hong Kong, que hospeda o site popvote.hk. (A votação também pode ser feita pessoalmente em locais determinados pelo movimento Occupy Central.) Falei com ele sobre a série de ataques em organizações das quais ele faz parte, e ele foi cuidadoso de não citar explicitamente o governo chinês.

"Relatei todos esses casos para a polícia de Hong Kong em junho e julho. Espero que eles possam responder a mim e a você quem foram os responsáveis por estes ataques", afirmou. Mas levando em conta o alvo e a dimensão destes ataques, a evidência aponta para um certo autor.

Muitos apontaram para a China após uma saraivada de ataques aos ativistas de Hong Kong nos últimos meses. O jornal pró-democracia Apple Daily, e o fórum HkGolden, onde eram planejadas as manifestações, sofreram ataques significativos ao longo do mês de outubro. A empresa de segurança FireEye ligou um sofisticado grupo de ameaça chinês que chamam de Operação Furacão Envenenado – que já foi tido como responsável pela espionagem cibernética em provedores de infraestrutura de internet e mídia, serviços financeiros e organizações governamentais asiáticas – àqueles que atacaram o Apple Daily e o HkGolden.

Enquanto os alvos aparentes destas atividades diferem, cada uma delas apoia objetivos políticos bastante claros, de acordo com os pesquisadores da FireEye Ned Moran, Mike Oppenheim e Mike Scott em uma publicação no blog da empresa. "O governo chinês é a entidade mais provavelmente interessada em atingir estes objetivos."

CloudFlare, a empresa fornecedora de proteção contra DDoS e rede de distribuição de conteúdo que é responsável pelas defesas do PopVote, está no meio de tudo. Ela fornece serviços em grande parte para sites de protesto de estudantes, bem como o site do governo de Hong Kong, que sofreu vários baques por conta do coletivo hacker Anonymous. "Não achamos que estes valentões, seja o pessoal do Anonymous ou o governo chinês… Deveriam ser capazes de derrubar qualquer coisa em específico", disse Matthew Prince, CEO da CloudFlare.

Ele não viu sinal nenhum de cessar-fogo nisto que chamou de "cyber cerco de Hong Kong". "Ataques enormes direcionados aos manifestantes estão acontecendo agora", disse.

Para os ataques de julho no PopVote, os responsáveis inundaram o site com pedidos de DNS, que, na maioria dos casos, são feitos de forma legítimas pelos computadores de usuários ao pedir para contatar uma máquina que hospeda um site. Mas quando um monte de computadores infectados, conhecidos como bots, começam a disparar pedidos em massa, pode-se inutilizar a rede de forma que as pessoas deixem de ter acesso a um site em específico. Os filtros não tem como diferenciar os pedidos maliciosos dos legítimos, então sistemas de defesa convencionais não oferecem a proteção adequada.

Poderia ter sido catastrófico. Mesmo que a equipe do PopVote tenha se preparado para os ataques, tendo sofrido com problemas durante outro referendo em 2012, o site sentia toda a nova pressão. Se o site não aguentasse, os ativistas, que estavam prestes a tomarem as ruas, perderiam sua chance de mandar uma mensagem aos líderes da administração de Hong Kong e ao governo chinês.

Nossos camaradas da Vice News fizeram uma cobertura dos protestos da Occupy Central no mês passado.

A reação improvisada foi empregar mais um servidor DNS. Eles optaram pelo serviço Route 53 da Amazon, que deveria ter sido capaz de aguentar os grandes picos no tráfego através da arquitetura distribuída e baseada na nuvem da Amazon. Esta mesma estrutura recebeu 100 bilhões de pedidos de DNS relacionados ao PopVote em um único dia, de acordo com Jazz. O site ficou no ar, mas se continuasse pagando pelo serviço, o projeto teria ido à falência, já que a Amazon cobra o serviço de acordo com a demanda, afirmou Jazz.

Enquanto isso, outra empresa local tentava lidar com o fluxo gigantesco de tráfego, mas não conseguia aguentar os ataques, que haviam chego a marca de 10Gbps, que é um tamanho um quanto respeitável capaz de causar sérios problemas. De fato, reagir aos ataques DDoS exigiu tanto da empresa que ela decidiu parar de apoiar o PopVote a partir do dia 16 de junho. O futuro do site seguia sob ameaça.

Chegava a hora de pedir reforços de dois gigantes da indústria­­: CloudFlare e Google. Ambas as empresas americanas haviam disponibilizados serviços gratuitos para proteção daqueles que tinham seu direito à liberdade de expressão violado por meios cibernéticos.

O Google anunciara o Projeto Shield em outubro de 2013. Fornecendo proteção específica para ataques DDoS, o serviço está disponível apenas para aqueles que se cadastram e são selecionados para receber um convite, e o PopVote foi um dos sites tidos como dignos de receberem proteção do Google. Mas tendo chego para salvar o dia ao combinar seus serviços com os da CloudFlare, o Google desistiu de oferecer proteção a DDoS 24 horas antes do início do referendo, de acordo com Jazz e Matthew Prince, da CloudFlare.

O Google não se pronuncia oficialmente sobre nada relacionado ao Projeto Shield, apesar de diversos pedidos do Motherboard, porém Prince crê que o Google decidiu pular fora não por conta de questões políticas, e sim por razões técnicas – a empresa não queria que seus outros serviços ficassem mais lentos por conta de uma quantidade gigantesca de dados inundando sua rede, sem mais nem menos. Se é este o caso, o Google provavelmente percebeu que a reação do governo chinês a um site ativista pró-democracia seria em Hong Kong seria enorme.

Os mecanismos de defesa de DDoS tem que encontrar uma maneira de espalhar o tráfego entre servidores para minimizar os danos, um método de limpeza também conhecido como scrubbing. No caso do PopVote, Prince supõe que os chefões do Google não acharam que seria possível fazer isso sem afetar os outros serviços da empresa, do Gmail ao YouTube.

A retirada do Google significou que o PopVote dependia da CloudFlare para se livrar dos ataques. "Fomos abandonados e estávamos bastante assustados", disse Prince. E na sexta-feira, 22 de junho, uma semana após as primeiras ocorrências, os agressores lançaram seu ataque mais brutal.

Ao menos cinco redes de bots diferentes foram usadas para gerar um tráfego de proporções épicas no PopVote de diversas maneiras. O método mais bem-sucedido consistia nos bots enviarem séries de absurdos 250 milhões de pedidos de DNS por segundo ao site. Anteriormente, os ataques desse tipo chegavam ao máximo de 90 milhões de pedidos por segundo. Quando os provedores de DNS, incluindo aí desde provedores de internet até o Google e o OpenDNS perceberam este tráfego, começaram a bloquear pedidos ao PopVote. "Ninguém nunca tinha visto nada assim antes", afirmou Prince.

A Guerra havia começado. Se nenhuma medida fosse tomada logo, o acesso ao PopVote seria cortado, deixando os ativistas sem uma grande ferramenta para chamar a atenção par a sua casa. A Occupy Central perderia o muito necessário ímpeto que eventualmente levou aos protestos nas ruas.

Mais uma vez, era hora de chamar reforços. Apesar de o Project Shield não ter repelido diretamente os ataques DDoS, o Google foi convocado para ajudar o PopVote a configurar os servidores DNS públicos para garantir que as pessoas que tentavam acessar o site conseguiriam fazê-lo. "Os engenheiros do Google ajudaram bastante", disse Jazz.

O parceiro de longa data da CloudFlare, o OpenDNS – um dos maiores provedores de DNS do mundo ao lado do Google – fez o mesmo. "Adicionamos entradas estáticas para o domínio popvote.hk em nossos separadores globais para que os clientes usando o OpenDNS podem acessar o site sem ter que ir a outro servidor DNS para descobrir qual era o mapeamento de nome para IP", disse Andrew Hay, responsável pelo setor de pesquisa do OpenDNS.

Apesar destes esforços, os ataques tiveram um impacto duradouro: muitos provedores globais de internet, incluindo aí Virgin e Sky no Reino Unido, ainda estão bloqueando solicitações para o endereço popvote.hk, apesar da diminuição no número de ataques. Isto se deve a uma espécie de "ressaca" dos ataques em junho, ou um indicativo de que as tentativas contínuas de invasão ao site deixou estes provedores preocupados. Os clientes destes serviços tem que mudar seu DNS para usarem separadores diferentes caso queiram acessar o site em questão.

Mas graças ao esforço colaborativo, a votação seguiu adiante, com poucos problemas de interrupção que levaram à extensão da data de encerramento para atender aqueles que não puderam acessar o PopVote como resultado do gigantesco ataque DDoS. Aproximadamente 800.000 pessoas participaram do referendo, on e offline. Das três propostas abertas à votação, a maioria – 42% – votou para que o público, um comitê e partidos políticos pudessem escolher candidatos como parte de uma eleição democrática.

A proporção dos ataques DDoS deixou Prince e sua empresa preocupados com o futuro, porém. Os agressores produziram aquilo que provavelmente foi o maior e mais sofisticado ataque DDoS registrado na história, com um aglomerado de 500Gbps de dados chegando à rede da CloudFlare quando as redes de bots estavam em seus picos de atividade, de acordo com Prince.

Com este poder em mãos, qualquer pessoa mal-intencionada, seja ela o governo chinês ou um hacker tomando em parte um balbúrdia criminosa organizada, poderia ameaçar a estabilidade de qualquer site na rede. Tendo em vista as habilidades e recursos exigidos, e a natureza dos alvos, o atentado ao PopVote muito possivelmente foi uma demonstração de poder cibernético por parte do governo chinês.

E os ataques seguem em Hong Kong. Jazz disse que o PopVote e as universidades que o hospedam foram atacadas de diversas formas. Em determinada situação, a Universidade de Hong Kong notou uma série de logins suspeitos em suas contas de intranet, o que indicaria uma invasão em seus sistemas.

Os adversários do PopVote também tentaram congestionar as linhas telefônicas, com ligações para a sua central e faxes enviados quase que a cada segundo, durante dois dias, afirmou Jazz. Um email falso foi enviado para o provedor do PopVote pedindo por relatórios de uso. Os opositores tentaram de todas as formas parar o trabalho do coletivo.

Os ativistas também foram alvos de diversos tipos de malware também. Claudio Guarnieri, um pesquisador independente de segurança e integrante do Citizen Lab, uma instituição voltada para ataques à ativistas, tem monitorado os eventos de Hong Kong. Em uma conferência em Berlim, em outubro, ele falou das formas que a máquina de censura chinesa estava fazendo discretamente durante os protestos para alterar as buscas no Baidu – o equivalente ao Google do país – para que artigos e imagens relacionadas aos eventos fossem removidas.

Ele também falou em detalhes sobre um malware Android já conhecido que se passava por aplicativo da Occupy Central, que buscava reunir informações que identificassem usuários, além de uma vulnerabilidade no site do Partido Democrático de Hong Kong.

Scott e Moran do FireEye afirmaram já terem visto situação parecida no site do HkGolden em 5 de setembro e no da Associação Pela Democracia e Qualidade de Vida de Hong Kong em 26 de junho, ambos com mesmo código malicioso que redirecionava os usuários a sites controlados por hackers.

O eventual vírus tentava instalar um trojan de acesso remoto conhecido como 'Pisces' no computador do usuário. Trata-se de um malware desconhecido até então, porém básico, que permitia aos hackers obterem dados a partir da máquina infectada. Estes trojans de acesso remoto são usados geralmente por espiões digitais, ao invés de ladrões tentando faturar.

Mesmo com as tentativas frequentes de espioná-los e censurar suas atividades na rede, os ativistas com os quais Guarnieri conversou não querem sua ajuda. "Não estou acompanhando nada de perto depois que os ativistas me disseram que não querem ajuda. Eles sofrem defaces, invasões e ataques DDoS, mas estão felizes assim", disse.

Enquanto o governo se prepara para uma guerra com os manifestantes nas ruas, e diante de ataques online implacáveis, estes ativistas resistem, pacificamente.

Tradução: Thiago "Índio" Silva