Um hacker – ou coletivo de hackers? – sob a alcunha “The Shadow Brokers” afirma ter hackeado um grupo ligado a agência de inteligência americana, a NSA, e vazou um montão das ferramentas utilizadas por ela. Depois, num desenrolar bizarro, os invasores também pedem por 1 milhão de bitcoins (cerca de 568 milhões de dólares) em leilão para liberarem mais arquivos.
“Atenção patrocinadores governamentais de guerrilha digital e quem mais lucra com isso!!!”, escreveram os invasores em manifesto postado no Pastebin, GitHub, e também em um Tumblr. “Quanto vocês pagariam pelas armas cibernéticas de seus inimigos? […] Encontramos armas feitas pelos criadores de stuxnet, duqu, flame.”
Videos by VICE
Os hackers se referiram às vítimas como Equation Group, codinome de um grupo governamental de hackers que muitos acreditam ser a NSA.
“Encontramos armas cibernéticas feitas pelos criadores de stuxnet, duqu, flame.”
A empresa do setor de segurança Kaspersky Lab desmascarou o Equation Group em 2015 e a considerou como “o mais avançado grupo hacker já encontrado”. Ainda que a Kaspersky não tenha afirmado que se tratava de algo atrelado à NSA, seus pesquisadores divulgaram evidências extensas que apontavam para a agência espiã norte-americana, a exemplo de uma grande lista de codinomes usados pelo Equation Group também presentes em documentos secretos da agência divulgados por Edward Snowden.
De acordo com a Kaspersky Lab, o Equation Group tinha como alvos as mesmas vítimas que os responsáveis pelo Stuxnet. Por causa disso, muitos acreditam ter sido uma empreitada conjunta dos EUA e Israel para atingir o programa nuclear iraniano usando as mesmas brechas de dia zero.
Os Shadow Brokers afirmam ter hackeado o Equation Group e roubado alguns de seus softwares. Eles divulgaram os arquivos no sábado e, a seguir, tuitaram um link para seu manifesto a diversas empresas de comunicação.
Os arquivos divulgado contém scripts de instalação, configurações de servidores de controle e comando e brechas de roteadores e firewalls específicos. Os nomes de algumas das ferramentas utilizadas batem com os utilizados em documentos vazados por Snowden, como “BANANAGLEE” ou “EPICBANANA”.
“Se é uma fraude, os responsáveis se esforçaram muito nela”, disse o especialista em segurança The Grugq ao Motherboard. “Os arquivos parecem verdadeiros e são exatamente as brechas que se esperaria de um grupo que tem como alvo infraestruturas de comunicação.”
Claudio Guarnieri, pesquisador independente da área de segurança que já investigou outras operações de invasão feitas por agências de inteligência ocidentais, disse-me que os arquivos podem ter vindo de um servidor da NSA usado em operações e que fora hackeado. Ele também alertou que se trata de uma análise preliminar e que é necessária uma análise mais detalhada.
O arquivo mais recente data de junho de 2013, apesar de que os hackers podem muito bem tê-las alterado. Dmitri Alperovitch, co-fundador da empresa de segurança CrowdStrike, chegou a teorizar que “quem vazou os arquivos provavelmente estava com essa informação em mão há anos, só esperando a hora de divulgar”.
Matt Tait, outro pesquisador da área de segurança e ex-agente da inteligência britânica, tuitou que os dados podem ter vindo de uma “antiga contra-operação”.
“Os arquivos parecem verdadeiros e são exatamente as brechas que se esperaria de um grupo que tem como alvo infraestruturas de comunicação”
Um dos pesquisadores da Kaspersky Lab não quis comentar a situação, já outro comentou no Twitter que não há “nada” nos arquivos que os liguem ao Equation Group. Alguns dos nomes ali, porém, vem do ANT Catalog, um conjunto de ferramentas hackers da NSA publicado pelo Der Spiegel no final de 2013. Vale notar que, por mais que os arquivos vazados pelos Shadow Brokers não tenham relação direta com o Equation Group, eles podem ter vindo de uma operação diferente da analisada pela Kaspersky Lab.
Os Shadow Brokers afirmam terem conseguido os arquivos ao seguir o “rastro” do Equation Groupe. (O grupo não respondeu às nossas tentativas de contato, bem como a NSA.).
Até a publicação desta matéria, a carteira Bitcoin dos hackers ainda não havia recebido nenhum depósito.
Não se sabe a motivação por trás deste bizarro vazamento, mas caso se prove verdadeiro, pode ser uma das invasões mais chocantes de todos os tempos.
Tradução: Thiago “Índio” Silva