O ataque do NotPetya no final de junho foi um malware? Ransomware? Um disk wiper? A ofensiva devastou sistemas de rede em toda a Ucrânia e depois se espalhou para outros países, infectando e fechando escritórios de advocacia, supermercados, caixas eletrônicos e hospitais.
Dias após o ataque, pesquisadores de segurança ainda buscam descobrir o que é exatamente NotPetya. No entanto, independentemente da análise técnica final, a grande questão continua: o NotPetya foi um ato de ciberguerra?
Ransomware? Wiper? O que?
Neste ponto, é claro que o NotPetya é um malware. Mas de qual modalidade (ransomware ou wiper)? É aí que as coisas começam a se complicar.
O NotPetya não é exatamente um limpador de disco, mas certamente não é ransomware. Ok, isso realmente não ajuda a esclarecer as coisas, certo? O problema é que o ataque não exclui dados com uma intenção clara da mesma forma que um wiper, como o Shamoon e KillDisk. Também não criptografa arquivos visando exigir um resgate, o modus operandi de um ransomware normal.
Com efeito, NotPetya bloqueia arquivos e joga a chave fora, para que as vítimas nunca mais recuperem seus sistemas. Desta forma, as informações criptografadas são basicamente inutilizadas, como ocorre num ataque wiper. Portanto, pode-se dizer que um sequestro de dados sem nenhuma chance de recuperar e decodificar os arquivos é equivalente a uma infecção por wiper.
Até agora, a maioria dos pesquisadores de segurança defendem a tese de que “é um wiper”, como Matt Suiche, fundador da Comae Technologies, publicando sua análise “Petya.2017 Is a Wiper Not a Ransomware”; e a Kaspersky Labs, que apresenta conclusões semelhantes no documento “ExPetr/Petya/NotPetya Is a Wiper, Not Ransomware”.
Ainda assim, acho que NotPetya é provavelmente melhor descrito como um ataque híbrido. Ou, talvez, um ransom-wiper-ware?
Ciberataque dirigido contra a Ucrânia
Com base de que não sabemos como classificar o ataque, mergulhemos em águas ainda mais obscuras. O NotPetya foi um ataque cibernético direcionado à Ucrânia?
Nos últimos meses, vimos o CrashOverride derrubar a rede elétrica ucraniana seguido de quatro ataques sucessivos de malware disfarçados para parecer ocorrências de ransomware. Estes incluíram XData, PSCrypt, NotPetya e um tipo até agora sem nome, descoberto pelo pesquisador de segurança MalwareHunter, que foi projetado para parecer WannaCry, mas é algo completamente novo.
Este quarto ataque também parece ter usado um método de entrega semelhante aos XData e NotPetya: os servidores de atualização de M.E.Doc, um pacote de software de contabilidade amplamente utilizado na Ucrânia. Apesar do fabricante ter negado veementemente, a Microsoft e a Talos, entre outros, apontaram a empresa como a fonte da distribuição desse malware.
De longe, NotPetya é o ataque mais destrutivo, com o vetor de entrega aparentemente direcionado para infectar vítimas empresariais e corporativas na Ucrânia. O problema com malware como esse é que, uma vez que é lançado, pode se espalhar para outros sistemas, redes e países por conta própria. Então, foi alvo ou não? A resposta é um “provavelmente” inconcluso neste ponto.
Sem uma atribuição positiva, o crescente consenso é que responsável pelo ataque seria de um agente estatal ou designado pelo mesmo. Os principais pesquisadores de segurança sugeriram isso, incluindo o Centro Cooperativo de Excelência da Ciberdefesa da OTAN, que emitiu uma declaração em 30 de junho, confirmando:
“O NotPetya provavelmente foi lançado por um agente estatal ou não estatal com suporte ou aprovação de um estado. Outras opções são improváveis. A operação não era muito complexa, mas ainda é intrincada e cara o suficiente para ter sido preparada e executada por hackers não afiliados por causa da prática. Os cibercriminosos não estão por trás disso também, já que o método de coleta do resgate foi tão mal projetado que, provavelmente, nem mesmo cobriria o custo da operação”.
Isso nos leva de volta à pergunta inicial: Se o ataque provavelmente partiu de um agente de Estado (ou designado pelo mesmo) e provavelmente foi direcionado para a Ucrânia, e provavelmente deveria causar dano econômico generalizado e indiscriminado, seria o NotPetya um ato de ciberguerra?
A razão pela qual é tão importante determinar a natureza desse ataque é o princípio de defesa coletiva da OTAN, que demanda mutua proteção e comprometimento entre os seus membros. Conforme definido no artigo 5 do tratado, esse princípio resume-se a: um ataque contra um aliado é considerado como um ataque contra todos. Portanto, um sim sólido com ampla evidência teria consequências políticas e militares terríveis.
Ato de guerra?
Embora muitos indicadores digam que NotPetya era um disk wiper disfarçado de ransomware, bem como um ataque destinado a causar destruição generalizada na Ucrânia proveniente de um Estado ou designado pelo mesmo, sem uma definição técnica e atribuição claras e apenas evidências circunstanciais, podemos afirmar que foi uma ação de guerra?
A OTAN afirma que “provavelmente não”.
“Se a operação pudesse ser vinculada a um conflito armado internacional em curso seria aplicável a lei do conflito armado, pelo menos na medida em que a lesão ou danos físicos fosse causada pela ocorrência e, em relação à possível participação direta nessa hostilidade por hackers civis. Porém, até agora, não há relatos de nada disso.
Falta um elemento coercivo claro em relação a qualquer governo nesse caso, e por isso a intervenção proibitiva não entra em jogo. À medida em que sistemas governamentais importantes foram alvejados pela ofensiva, então, caso a operação seja atribuída a um estado, poderia conter como uma violação da soberania.” – Tomáš Minárik, pesquisador da Centro Cooperativo de Excelência da Ciberdefesa da OTAN.
Verdade seja dita: a OTAN não fará um pronunciamento claro sobre quem exatamente está atrás disso tão breve. A quantidade atual de provas circunstanciais provavelmente não seria suficiente para deixar uma criança de oito anos de castigo por uma semana, muito menos ser suficientemente conclusivo para acusar um estado-nação específico de um crime internacional. Para chegar perto de declarar essa ocorrência como um ato de ciberguerra, há muitos detalhes que precisam ser investigados e comprovados e, até agora, estamos longe de conseguir isso.
Se não é um ato de guerra, o que é o NotPetya?
A OTAN se arriscaria a dizer que “[o NotPetya] poderia ser um ato internacionalmente ilícito, o que poderia dar aos vários estados visados várias opções para responder com contramedidas”.
Se isso for verdade e a comunidade internacional conclui que a NotPetya é um “ato internacionalmente ilícito” de acordo com as leis internacionais, poderia dar origem a uma resposta conjunta da União Europeia sob a forma de sanções. O Conselho Europeu emitiu um comunicado de imprensa para este efeito, observando ainda:
“A resposta diplomática da UE a atividades cibernéticas maliciosas dará pleno uso das medidas previstas na Política Externa e de Segurança Comum, incluindo, se necessário, ações restritivas. Uma resposta conjunta da UE a atividades cibernéticas maliciosas seria proporcional ao escopo, escala, duração, intensidade, complexidade, sofisticação e impacto da atividade cibernética.
A UE reafirma o seu empenho na resolução de disputas internacionais no ciberespaço por meios pacíficos. Neste contexto, todos os esforços diplomáticos do bloco devem, como objetivo prioritário, promover a segurança e a estabilidade no ciberespaço por meio de uma maior cooperação internacional, bem como reduzir o risco de percepção errônea, escalada e conflito que possam surgir de incidentes de TIC.
No caso de não ser um ato de guerra cibernética e nem ” internacionalmente ilícito”, do que podemos chamar agora? Lauri Lindström, pesquisador da Centro Cooperativo de Excelência da Ciberdefesa da OTAN, diria, ao máximo, que era uma “declaração de poder” e que o fato seria apenas uma “demonstração da capacidade disruptiva adquirida e prontidão para usá-la”.
Declaração de poder? O que isso significa? A parte tecnológica foi fácil, mas qualquer coisa acima da Layer 7 também está além do meu pagamento e compreensão. O que eu acho que isso significa é que ninguém realmente sabe o que fazer quando se trata de “ciber-qualquer-coisa” e, até que eles façam, pisarão em ovos ao tentar descobrir.
Infelizmente, enquanto tudo isso ocorre, os consumidores, cidadãos, empresas e governos continuarão em perigo, e devem considerar investir em uma postura de segurança baseada em visibilidade para poder detectar e responder rapidamente a todos os itens acima: Ataques cibernéticos, atos internacionalmente ilícitos e declarações de poder!
* Kevin Magee é especialista global de segurança da Gigamon
