Como hackers invadiram o Gmail do diretor de campanha de Hillary Clinton

No dia 19 de março deste ano, o diretor da campanha de Hillary Clinton, John Podesta, recebeu um e-mail alarmante que parecia ter vindo do Google. A mensagem, porém, não era do gigante da internet. Tratava-se de uma tentativa de invadir sua conta pessoal.

O remetente era um grupo de hackers que, de acordo com pesquisadores do setor de segurança e o governo dos EUA, estariam ligados ao governo russo. Na época, Podesta não sabia de nada disso, claro. Acabou clicando no link malicioso e deu ao grupo acesso irrestrito a suas contas.

Meses depois, em 9 de outubro, o WikiLeaks passou a publicar milhares dos e-mails vazados de Podesta. Quase que imediatamente todos acusaram os russos de estarem por trás de uma grande campanha para influenciar as eleições norte-americanas. Entretanto, não haviam provas de que o mesmo grupo que atacou o Comitê Nacional Democrata era o responsável pela invasão ao e-mail de Podesta. Isto é, até agora.

Os dados que ligam um grupo de hackers russos – conhecido como Fancy Bear, APT28 ou Sofacy – à invasão de Podesta é mais uma parte da crescente pilha de evidências que apontam para o Kremlin. Tudo isso mostra também uma clara conexão entre vazamentos aparentemente independentes uns dos outros que pipocaram em um site chamado DC Leaks, a exemplo dos e-mails de Colin Powell e os de Podesta, publicados no WikiLeaks.

Todas as invasões foram feitas empregando a mesma ferramenta: URLs curtas maliciosas ocultas em mensagens falsas do Gmail. Estes endereços, de acordo com uma empresa de segurança que as rastreou ao longo de um ano, foram criadas com uma conta do Bit.ly ligada a um domínio sob controle do grupo de espionagem Fancy Bear.

O RASTRO QUE LEVA AO FANCY BEAR

O e-mail de phishing recebido por Podesta em 19 de março continha um endereço criado com o popular encurtador Bit.ly, que leva a uma URL maior, semelhante a um link do Google aos olhos de um leigo.

Dentro daquela URL maior há uma série de 30 caracteres que parece sem sentido, mas que, na verdade, é o endereço codificado do Gmail de John Podesta. De acordo com as estatísticas do próprio Bit.ly, o link, que nunca foi publicado, foi acessado duas vezes em março. O mesmo link deu aos hackers acesso à conta de Podesta, de acordo com informações repassadas ao Motherboard por fonte próxima às investigações.

Tal link é um de quase 9.000 outros que o Fancy Bear utilizou contra cerca de 4.000 indivíduos de outubro de 2015 a maio de 2016. Cada um dos endereços continha o e-mail e nome do alvo em questão. Os hackers os criavam com duas contas do Bit.ly em seu controle, mas esqueceram de configurá-las como privadas, de acordo com a SecureWorks, empresa de segurança que tem monitorado o Fancy Bear ao longo do último ano.

A SecureWorks estava de olho em domínios de comando e controle que sabiam ser de propriedade do grupo. Um destes levou a um endereço encurtado do Bit.ly, que, por sua vez, levou até a conta e às milhares de URLs do Bit.ly posteriormente ligadas a uma série de ataques, incluindo o feito à campanha de Clinton. Com visão privilegiada, os pesquisadores viram o grupo empregar 213 links curtos em 108 endereços de e-mail do domínio hillaryclinton.com, fato explicado em um relatório publicado pela empresa no começo deste semestre e noticiado pelo BuzzFeed na semana passada.

O uso do Bit.ly permitiu que "terceiros observassem sua campanha completa, incluindo seus alvos – algo que certamente você gostaria de manter em segredo", comentou Tom Finney, pesquisador da SecureWorks.

Foi um dos erros mais graves cometidos pelo Fancy Bear, como dito por Thomas Rid, professor do King's College, na Inglaterra, que estudou o caso em detalhes, em um artigo publicado na quinta-feira na revista Esquire. O tropeço deu aos pesquisadores uma visibilidade sem precedentes das atividades do Fancy Bear. Permitiu juntar diferentes partes de uma enorme operação.

Foi dessa forma que pesquisadores puderam encontrar o link de phishing usado contra Colin Powell. O ocorrido também possibilitou a confirmação de outros relatos de invasões, tais como o de William Rinehart, que trabalha na campanha presidencial de Clinton. Como relatado pelo site The Smoking Gun em agosto, Rinehart recebeu um alerta de atividade maliciosa do Google em 22 de março. Já a SecureWorks encontrou uma URL com o endereço do Gmail de Rinehart com a mesma data.

E-mails e URLs encurtadas maliciosas semelhantes também foram empregadas recentemente contra jornalistas independentes do Bellingcat, site que investigou o incidente do avião da Malaysian Airlines MH17 abatido em território ucraniano em 2014, com evidências de que rebeldes apoiados pela Rússia estariam por trás do ataque.

Outros jornalistas na Europa também foram alvos recentes de e-mails de phishing com o objetivo de acessarem suas contas do Gmail.

Estes e-mails maliciosos, tais como os usados contra Podesta, Powell, Rinehart e muitos outros se assemelhavam a alertas do Google, com o mesmo tipo de caracteres codificados ocultando os nomes das vítimas.

Não está claro ainda porque os hackers usaram estas séries codificadas que, no final das contas, revelam seus alvos a todos. Kyle Ehmke, pesquisador de inteligência de ameaça da empresa de segurança ThreatConnect, argumentou que "as séries empregadas podem auxiliar na organização das operações ou na difusão destas contra diversos alvos ao longo de várias URLs para facilitar sua continuidade caso uma destas seja descoberta".

O uso de serviços de encurtamento de links populares tais como o Bit.ly ou Tinyurl talvez tenham explicação ainda mais simples: de acordo com Rid, os hackers queriam se certificar de que suas tentativas de phishing passassem pelos filtros de spam de suas vítimas.

MAS E A ARMA FUMEGANTE?

Nenhuma destas informações constitui prova cabal de que a Rússia é mesmo a responsável por trás de uma operação hacker inédita que atingiu o Comitê Nacional Democrata e vários outros alvos que associados às eleições norte-americanas.

Há quase duas semanas, o governo dos EUA deu um raro passo ao apontar o dedo para os russos, acusando-os de orquestrarem a recente série de ataques e vazamentos. A comunidade de inteligência se negou a explicar como chegou a essa conclusão e seria justo presumir que eles têm acesso a dados que ninguém mais tem.

Estes dados recém-descobertos criam uma imagem ainda mais clara para o público. Mostram uma ligação crível entre os diversos meios de vazamento escolhidos pelos hackers, apontando, mais uma vez, para o Fancy Bear, grupo hacker famosíssimo que, pelo que se crê, está ligado ao governo russo. Por mais que ainda tenha gente negando por aí, incluindo o candidato à presidência e ex-astro de reality show Donald Trump, o debate sobre quem está por trás das invasões, para muitos, já foi encerrado.

"Estamos chegando a um ponto em que há apenas dois motivos para as pessoas dizerem que não há provas", declarou Rid. "O primeiro é o fato de não entenderem as provas – não possuem o conhecimento técnico para isso. O segundo é que não querem entender as provas."

Atualizado: Após a publicação deste texto, o Bitly nos enviou uma declaração oficial informando que a companhia já faz tudo a seu alcance para evitar que pessoas mal intencionadas usem o serviço, uma vez que a empresa "não pode policiar de forma proativa dados dos usuários sem quebrar o compromisso com a privacidade."

"Os links e contas relacionadas a este caso foram bloqueados assim que fomos informados. Este não é um ataque ao Bitly, mas sim, infelizmente, um ataque a usuários da internet feito por meio de engenharia social. Ele serve de lembrete que mesmo os usuários mais espertos podem estar vulneráveis a abrir e-mails não solicitados", informou a nota.

Tradução: Thiago "Índio" Silva