Nas primeiras horas de 14 de junho, o Washington Post revelou que "hackers do governo russo" haviam invadido a rede do Comitê Nacional Democrata (CND), nos Estados Unidos. Espiões estrangeiros, segundo o jornal, teriam acessado o banco de dados do CND repleto de pesquisas sobre o candidato republicano, Donald Trump, semanas antes da Convenção Republicana. Hillary Clinton comentou que o ataque era "preocupante".
Publicidade
Tudo começou de forma sinistra. Quase dois meses antes, em abril, os democratas perceberam que havia algo de errado em suas redes, e então, no começo de maio, o CND acionou a CrowdStrike, empresa de segurança especializada em defesa de ameaças de rede de alto nível. Após a instalação de suas ferramentas nas máquinas do CND e mais duas horas de trabalho, a CrowdStrike se deparou com "dois sofisticados adversários" na rede do Comitê. Os dois grupos eram bem conhecidos na indústria de segurança: "APT 28" e "APT 29". APT é uma sigla em inglês para Ameaça Persistente Avançada – jargão atribuído geralmente a espiões.A CrowdStrike ligou os dois grupos aos "serviços de inteligência poderosos e extremamente treinados do governo russo". A APT 29, que se suspeitava ser a FSB, estava na rede do CND desde o verão de 2015. Já a APT 28, identificada como a agência militar russa GRU, havia invadido os democratas apenas em abril de 2016. A CrowdStrike não encontrou evidência nenhuma de colaboração entre as duas agências dentro da rede do CND. "Ou mesmo que tinham ciência uma da outra", escreveu a empresa, em nota.A treta era grande. Os democratas suspeitavam que não só uma, mas duas equipes de espiões de Putin estavam tentando ajudar Trump e prejudicar Clinton. A campanha de Trump, no final das contas, estava se aproximando dos russos. Os democratas resolveram vir a público.
Extrair digitalmente e então publicar documentos manipulados como se fosse hacktivismo é romper com um limite e criar um precedente perigosíssimo
Publicidade
O CND sabia que a afirmação teria suporte em evidências sólidas. Uma matéria do Post não daria detalhes o suficiente, então a CrowdStrike preparou um relatório técnico a ser publicado mais tarde naquela manhã. A empresa delineou algumas das técnicas "incríveis" utilizadas em ambas as intrusões: os softwares russos eram discretos, detectavam antivírus locais, eram personalizáveis por meio de arquivos de configuração criptografado e usavam uma elaborada infraestrutura de comando e controle. No fim, afirmavam terem descoberto não uma, mas duas operações de inteligência.No dia seguinte, a notícia explodiu.Em 15 de junho, um blog no Wordpress surgiu sem mais nem menos. Logo depois, um perfil no Twitter, @GUCCIFER_2. O primeiro post no blog e o primeiro tuíte vinham com um texto desajeitado: "Servidores do CND hackeados por hacker solitário". A mensagem era clara: o CND não havia sido hackeado pela inteligência russa. A persona misteriosa online alegava ter dado "milhares de arquivos e correspondências" ao WikiLeaks, ao passo em que zombava da empresa investigando o caso: "Acho que os clientes da CrowdStrike deviam repensar a competência da empresa", dizia a postagem, seguido de um "Foda-se a CrowdStrike!!!!!!!!!".Além do disparate, a conta de Guccifer 2.0 passou a publicar documentos roubados do CND no blog do Wordpress, por meio de sites de compartilhamento de arquivos, e distribuiu "alguns documentos de milhares" para pelo menos dois veículos norte-americanos, The Smoking Gun e Gawker. A grande mídia logo entrou no bonde sobre as pesquisas de oposição da campanha de Clinton sobre Trump e publicou centenas de artigos que revelavam argumentos já ensaiados contra o suposto candidato republicano: que "Trump não tem base"; que ele é um "péssimo homem de negócios" e que ele deveria ser tratado como "líder misógino". Listas de doadores foram vazadas junto de informações de contato e das suculentas quantias transferidas.
Publicidade
Guccifer 2.0 afirmou ter cedido ao WikiLeaks número indeterminado de documentos contendo "programas de eleição, estratégias, planos contra republicanos, relatórios financeiros etc". Dois dias depois, o site publicou um arquivo criptografado gigantesco de 88 gigabytes como "garantia". Suspeita-se que este arquivo, que Julian Assange poderia destravar ao tuítar uma espécie de senha, seja o lote de informações do CND. Em 13 de julho, quase um mês após o hack ter vindo a público, os hackers vazaram uma série de arquivos exclusivamente para o The Hill, veículo de Washington dedicado a notícias políticas e do congresso, disponibilizando os arquivos originais posteriormente.Nove dias depois, em 22 de julho, logo após Trump ser indicado oficialmente e antes do início da Convenção Nacional Democrata, o WikiLeaks publicou mais de 19.000 emails do CND com mais de 8.000 anexos – "mandei-lhes emails, postei alguns arquivos no meu blog", confirmou Guccifer por DM, quando questionado se havia compartilhado todos os arquivos com Julian Assange. Dois dias depois, em 24 de julho, Debbie Wasserman Schultz, diretora do Comitê Nacional Democrata, anunciaria sua renúncia – o vazamento sem precedentes havia ajudado a expulsar a líder de um dos partidos políticos norte-americanos, ameaçando também afetar a convenção de indicação de Hillary.Esta tática e seu sucesso digno de nota mudam tudo: extrair documentos de organizações políticas é um trabalho legítimo para agências de inteligência. Os Estados Unidos e países da Europa também o fazem. Mas extrair digitalmente e então publicar documentos (possivelmente manipulados) como se fossem hacktivismo desregrado é romper com um limite e cria um precedente perigosíssimo: um país autoritário tenta diretamente, ainda que de forma velada, sabotar uma eleição norte-americana.
Publicidade
***Mas então: quão sólidas são as provas? O que isso tudo significa?As evidências forenses ligando a invasão do CND a operações russas são fortíssimas. Em 20 de junho, duas empresas rivais de segurança, Mandiant (integrante da FireEye) e Fidelis, confirmaram as descobertas iniciais da CrowdStrike de que a inteligência russa de fato hackeou a campanha de Clinton. As provas que ligam as invasões na rede a grupos conhecidos é determinante: ferramentas, métodos, infraestrutura, até mesmo chaves de criptografia únicas utilizadas e reutilizadas. Por exemplo: ao final de março os invasores registraram um domínio com um erro de digitação – misdepatrment[.]com – para se assemelhar à empresa contratada pelo CND para cuidar de suas redes, MIS Department. Então eles ligaram este domínio a um conhecido endereço de IP conhecido de APT 28 chamado X-Tunnel,.Uma das mais fortes evidências ligando a GRU a invasão do CND é o equivalente eletrônico de duas digitais idênticas encontradas em prédios que foram roubados: um endereço de comando e controle reutilizado- 176.31.112[.]10 – que foi codificado em um malware encontrado tanto no parlamento alemão quanto nos servidores do CND. A inteligência militar russa foi identificada como responsável pela invasão de Bundestag pela agência de segurança alemã. A infraestrutura por trás do MIS Department de mentirinha também foi ligada a invasão em Berlim por pelo menos um outro elemento, um certificado SSL compartilhado.
Publicidade
As provas que ligam a conta Guccifer 2.0 aos mesmos operadores russos não é tão forte, ainda que um artifício – uma operação clandestina da GRU, no jargão técnico – seja altamente provável. Operadores de inteligência e profissionais do setor de segurança há tempos sabiam que este tipo de operação estava ficando mais comum. Outro exemplo notável foi a sabotagem da estação da TV5 Monde da França em 10/09 de 2015, cuja autoria foi reivindicada primeiramente pelo misterioso "CyberCaliphate", grupo supostamente ligado Estado Islâmico. Então, em junho, as autoridades francesas suspeitaram que se tratava do mesmo grupo APT 28 por trás da invasão a TVA5 Monde se preparando desde janeiro daquele ano. Mas o caso da CND é o mais detalhado e significativo até o momento. Seus detalhes técnicos são tão impressionantes quanto seu contexto estratégico.Os metadados nos documentos vazados talvez sejam ainda mais reveladores: um dos documentos foi modificado usando configurações em russo por um usuário chamado "Феликс Эдмундович", codinome que se refere ao fundador da Polícia Secreta Soviética, a Cheka, imortalizado em uma estátua de ferro de 15 toneladas na frente da sede da KGB durante a era soviética. Os intrusos cometeram também outros erros: um documento vazado incluía mensagens de erro de hyperlink em cirílico, resultado de se editar o arquivo em um computador configurado em russo. Após este erro vir à tona, os hackers removeram as informações em cirílico dos metadados no próximo lote de arquivos e usaram nomes de usuários inventados de outras regiões do mundo, assim confirmando seus tropeços na primeira vez.
Publicidade
Há ainda a questão da língua. "Odeio ser ligado à Rússia", nos declarou Guccifer 2.0. A pessoa a digitar então afirmou, em chat com nosso repórter Lorenzo Franceschi-Bicchierai, que Guccifer 2.0 era, na verdade, romeno, como Guccifer original, um famoso hacker. Mas quando lhe foi pedido que explicasse a invasão em romeno, ele foi incapaz de responder normalmente e sem erros. O inglês de Guccifer 2.0 também era fraco de início, mas melhorou bastante nas postagens seguintes, ainda que somente ao tratar de temas políticos, não em termos técnicos – sinal de que havia uma equipe por trás de tudo.Outras características também levantam suspeitas. Uma delas o timing, como apontado pela empresa de segurança ThreatConnect em uma excelente análise: diversos timestamps indicam que a operação de vazamento de dados de Guccifer foi impelida pela publicidade inicial do CND, com os preparativos tendo início cerca de 24 horas após o relatório da CrowdStrike. Tanto a APT 28 quanto Guccifer usavam infraestrutura francesa para se comunicar. A ThreatConnect indicou ainda que tanto as declarações do tal hacker sobre o uso de brechas de dia zero bem como a linha do tempo da invasão do CND possivelmente são falsas. Outra descoberta circunstancial esquisita: contas falsas em redes sociais foram criadas para ampliar o alcance de Guccifer, de acordo com a startup de inteligência Ripjar.E talvez o mais curioso de tudo: a conta de Guccifer 2.0, desde o início, não só dizia ter invadido a rede do CND, mas também afirmava que outros dois atores russos não estavam ali simultaneamente. É comum encontrar vários intrusos em potenciais alvos com poucas defesas. Independente disso, Guccifer 2.0 afirmava, sem provas, que a invasão foi de um "hacker solitário" – termo que parece ter sido criado para tirar a culpa das costas da Rússia. Sua disponibilidade para com jornalistas também surpreendeu.
Publicidade
O uso combativo, ainda que errôneo, de Guccifer está alinhado com a cultura organizacional agressiva e temerária da GRU e uma mentalidade de tempos de guerra que prevalece em meio à inteligência russa, que se vê como um instrumento de ação direta em apoio a uma frágil Mãe Rússia sob cerco ocidental, especialmente dos EUA.***Com todas suas características manipulativas, a operação encaixa bem no escopo mais amplo da doutrina em constante evolução dos russos, conhecida como Guerrilha de Nova Geração ou "Doutrina Gerasimov", batizada assim em referência a Valery Gerasimov, atual Chefe de Pessoal das Forças Armadas. Esta nova mentalidade expande drasticamente aquilo que seria considerado um alvo militar, bem como o que seria uma tática militar. Trapaças e desinformação fazem parte desta nova abordagem, bem como "camuflagem e ocultação", como dito pelo analista israelense Dima Adamsky em um importante estudo da arte da estratégia russa publicado em novembro do ano passado."O embate informacional", observa Adamsky, está no centro da Guerrilha de Nova Geração. Ele se refere aos "componentes tecnológicos e psicológicos criados para manipular a imagem da realidade que o adversário tem, bem como desinformá-lo e eventualmente interferir com o processo de tomada de decisão de indivíduos, organizações, governos e sociedades".A operação Guccifer 2.0 parece muito bem ter sido planejada e executada como parte de um "embate informacional" mais amplo, com implicações relevantes.
Publicidade
Primeiro: a operação não acabou. Os espiões russos tiveram acesso a uma série de arquivos de dentro do Comitê Nacional Democrata. A APT 29 – o grupo que se suspeitava estar sob controle da FSB – teve acesso prolongado aos emails, chats, mensagens, anexos e afins do CND. Grupos russos também miraram a organização da campanha de Clinton em geral pelo menos desde outubro de 2015. Guccifer 2.0, em email ao The Smoking Gun, até mesmo afirmou ter "alguns documentos secretos do PC de Hillary durante sua carreira como Secretária de Estado". Não está claro se tal afirmação é precisa – e de fato não está nada claro se os documentos vieram mesmo da invasão ao CND. Cerca de três semanas depois, em 5 de julho, James Comey do FBI avaliou que seria "possível que tivessem obtido acesso à conta de email pessoal da Secretária Clinton". Os invasores do CND possivelmente manterão ou retomarão este nível de acesso. Além do quê, a conta Guccifer 2.0 foi estabelecida como canal de distribuição de documentos vazados. Mais atividades são esperadas.
Segundo: documentos vazados em uma operação de influência não são totalmente confiáveis. Operações como estas são feitas para enganar. Os metadados mostram que os operadores russos aparentemente editaram alguns documentos e, em alguns casos, até mesmo criaram novos documentos após os intrusos serem expulsos da rede do CND em 11 de junho. Um arquivo intitulado donors.xls, por exemplo, foi criado dias após a notícia ter saído, em 15 de junho, possivelmente ao copiar e colar uma lista preexistente em um novo documento.A falta de ação americana arrisca estabelecer a regra de que as campanhas eleitorais futuras podem ser sabotadas em qualquer lugar
Publicidade
Por mais que o conteúdo dos documentos vazados até o momento não pareça ter sido alterado, a manipulação se encaixaria no padrão estabelecido de comportamento operacional, tais como o de uma fazenda de trolls ou a inserção de falsas notícias na mídia. A manipulação sutil (ou nem tanto) de conteúdo pode ser do interesse do adversário no futuro. Documentos vazados por meiode uma operação de inteligência devem ser manipulados com muito cuidado, e os jornalistas não devem tratá-los como fontes confiáveis.Terceiro: a operação do CND dificilmente será exceção. A influência política bem como o golpe em si funcionaram, ao menos em parte. A possibilidade do CND usar pesquisas de oposição contra Trump como efeito surpresa se foi, e alguns veículos satirizaram Clinton – nada mal para uma operação de baixo risco ou custo para seus perpetradores.Outra interpretação: não é preciso conduzir o golpe com perfeição; basta lançar a dúvida no ar. Os altos padrões jornalísticos, paradoxalmente, trabalham em favor da GRU, com matérias incluindo negativas por parte do Kremlin, gerando incerteza, bem como analistas pondo em cheque evidências forenses das mais contundentes. Se outras agências de inteligência também encaram esta operação como sucesso, mesmo que moderado, então mais estratégias de influência como estas podem ocorrer em eleições futuras, especialmente na Europa.As democracias, finalmente, estão em dupla desvantagem. Eleições em geral e suas organizações ad-hoc oferecem um alvo tentador: redes improvisadas com pouca segurança, conteúdo altamente inflamável, tudo combinado com uma relutância por parte das autoridades e empresas privadas de se meterem naquilo que poderia se tornar uma tremenda baderna política.Os criminosos, porém, também verão que tais operações online serão ainda mais arriscadas. A segurança operacional era bem diferente em operações de sabotagem e espionagem tradicional. A equipe por trás de Guccifer 2.0 provavelmente subestimou o notável escrutínio forense que sua trollada política geraria – com muita análise se dando no Twitter, quase em tempo real, por exemplo, pelo experiente analista que posta como Pwn All The Things.Deixar de reagir politicamente à invasão do CND cria um precedente perigoso. Uma agência estrangeira, valendo-se do WikiLeaks e de uma postura agressiva na mídia, leva a crer, ironicamente, que Trump está certo: o sistema está mesmo viciado.A falta de ação norte-americana arrisca estabelecer a regra de que todas as campanhas eleitorais futuras, em qualquer lugar, podem sim ser sabotadas – sabotagens que podem afetar o resultado de uma eleição e manchar a legitimidade do vencedor. A falta de ação também coloca em cheque os efeitos de impedimento criados pela reação da Casa Branca no caso do infame Ataque à Sony envolvendo a Coreia do Norte, bem como as acusações do Departamento de Justiça feitas a operadores chineses e iranianos. Notavelmente, os únicos países que se sentiram confiantes o bastante para acusar os russos foram Alemanha, junto da Suíça, bem como a França, de forma mais restrita.É hora dos EUA (e do Reino Unido) pesarem a mão: ao publicar mais provas, ao insinuar consequências políticas para os envolvidos, ao tratar o WikiLeaks como alvo legítimo de contra-inteligência e ao fornecer segurança aprimorada não só física, mas digitalmente, para candidatos e campanhas no futuro.Thomas Rid trabalha no King's College de Londres, além de ser o autor de Rise of the Machines (W.W. Norton/Scribe, 2016). Siga-o no Twitter @RidT.Tradução: Thiago "Índio" Silva