Se há alguns anos o roubo de informações governamentais por outros países dependia apenas do talento de seus espiões no manuseio de uma câmera, hoje os tempos são outros, com ciber-espiões capazes de conduzir operações de alto nível de inteligência sem nem sair de suas mesas no departamento de TI de suas agências de segurança.
No início de junho, o jornal americano Washington Post divulgou que hackers do governo russo tinham invadido a rede de computadores do Comitê Nacional do Partido Democrata. Segundo especialistas, os espiões comprometeram computadores e conseguiram acesso a todo o tráfego de e-mails e chat.
Acredita-se que dois grupos russos concorrentes estejam envolvidos. Nenhuma informação sobre doações foi obtida. Os hackers estavam engajados em uma ação de espionagem, ganhando acesso à pesquisa do partido sobre o candidato da oposição Donald Trump.
Um dos grupos russos envolvidos na invasão, identificado como Cozy Bear, é o mesmo grupo responsável por ataques à Casa Branca em agosto de 2015, enquanto o outro, chamado de Fancy Bear, é conhecido por explorar vulnerabilidades de zero-day.
Segundo especialistas de segurança, ambos os grupos já usaram ataques de phishing no passado e ambos podem estar conectados a agências de inteligência russas.
Técnicas usadas são velhas conhecidas
Uma vez dentro da rede, os hackers usaram Remote Access Trojans (RATs) e técnicas que permitiram a eles executar comandos e transferir arquivos remotamente. Os grupos também usaram técnicas de Comando e Controle (C2).
Qualquer um que esteja a par dos incidentes mais recentes sabe que as técnicas e ferramentas usadas pelos ciber-espiões não são novidade. Já sabemos que os hackers conseguem contornar defesas de perímetro usando phishing, injeções de SQL e vulnerabilidades de zero-day. Uma vez dentro da rede, eles usam técnicas sofisticadas para se manterem indetectáveis.
Por isso, em vez de tentar construir um “muro maior”, as empresas deviam apostar em uma abordagem mais prática: identificar os hackers enquanto eles estão dentro da rede e impedir que eles tenham acesso e roubem dados sensíveis.
No ataque ao partido Democrata, o time de TI eventualmente notou anomalias. No entanto, nesse ponto, já era tarde demais para prevenir o acesso aos e-mails internos e o roubo de dados.
Uma solução melhor seria automatizar a detecção de anomalias. Assim, quando os arquivos fossem acessados em momentos anômalos ou por usuários que dificilmente acessam essas informações, um alarme seria disparado.
Esses incidentes nos ensinam que a proteção dos dados sensíveis é importante demais para depender apenas do alerta de uma pessoa observando trilhas de auditoria. Tecnologias como User Behavior Analytics (UBA) permitem automatizar esse processo, identificando padrões praticamente em tempo real, com algoritmos capazes de comparar padrões de acesso e registros históricos para identificar ações criminosas.
O UBA dá à TI o poder de espionar hackers e ciber-espiões. Uma solução bem melhor e mais barata que treinar e equipar seu próprio agente de campo.
* Carlos Rodrigues é gerente da Varonis na América Latina