Guerra na Ucrânia

Há uma ciberguerra em curso na Ucrânia. E pode estender-se ao resto do mundo

25 fevereiro 2022 19:19

A presidência dos EUA está a analisar potenciais incursões contra a Rússia na Internet. Em Portugal, o Centro Nacional de Cibersegurança reforçou monitorização de serviços essenciais. Lei Internacional exige que soberania seja respeitada também na Internet

25 fevereiro 2022 19:19

A aviação e os tanques russos começaram a avançar na direção de Kiev na madrugada de quinta-feira, mas na Internet, a invasão da Ucrânia iniciou-se muito antes. Durante janeiro e fevereiro multiplicaram-se os ciberataques contra entidades públicas. E na quarta-feira, quando todas as atenções ainda se centravam na região de Donbas, surgiu uma vaga de ataques de congestionamento de redes. E o pior ainda estava para vir, como revelou a empresa de cibersegurança ESET. A meio da tarde de quarta-feira, entrou em cena uma nova ferramenta digital que elimina dados de computadores e outros dispositivos, combinando uma versão adulterada de uma aplicação de gestão de dados e um certificado digital emitido no Chipre. Terá sido o início de uma ciberguerra de grande escala?

Em Washington, seguramente que este ciberataque de nova geração não passou despercebido: Joe Biden, Presidente dos EUA, lançou na quinta-feira à tarde o alerta junto das empresas americanas para um possível recrudescimento de cibertataques contra serviços essenciais para a população, e admitiu mesmo retaliar face a esses casos. Mas essa foi apenas a declaração oficial. Pouco depois seguiu-se a versão oficiosa: a presidência dos EUA mantém a decisão de não avançar com exército convencional para a Ucrânia, mas está a analisar potenciais ciberataques contra a Rússia, refere a CNBC. No naipe de ciberataques pensados pelos assessores estratégicos de Biden figuram o bloqueio das redes que providenciam a Internet, bloqueios da redes elétricas e eventualmente o congestionamento de sistemas de gestão de tráfego ferroviário da Rússia.

Nenhuma destas opções terá sido acionada ainda, mas todas elas terão como propósito dificultar o avanço das forças invasoras em solo ucraniano, referiram fontes bem colocadas na Casa Branca, sob anonimato, à CNBC.

“É claro que está em curso uma ciberguerra”, refere José Tribolet, fundador do Instituto de Engenharia de Sistemas e Computadores, Tecnologia e Ciência (INESC) e pioneiro da informática em Portugal. “É impensável haver um movimento desta magnitude no terreno no espaço físico (da Ucrânia) sem ser acompanhado de um movimento similar no espaço virtual”, acrescenta.

Na BitSight, empresa que se dedica à monitorização da Internet, há previsões que apontam para a proliferação de ciberataques contra serviços e infraestruturas em vários pontos do mundo. “Quem tiver recursos baseados na Ucrânia, ou desenvolva negócios com entidades que tenham esses recursos baseados na Ucrânia, deverá preparar um plano de contingência e redundância quanto antes, uma vez que há o risco de vir a sofrer disrupções à medida que o conflito vier a escalar”, refere o mais recente relatório da empresa, apelando à adoção de proteções de serviços e dispositivos críticos – mesmo para entidades que podem estar a milhares de quilómetros de distância do conflito.

Coincidência ou apenas consequência direta do novo cenário geopolítico, o Centro Nacional de Cibersegurança anunciou a intenção de reforçar “os mecanismos de monitorização e alerta em relação a atividades maliciosas, com o objetivo de prestar informação acionável aos cidadãos e às empresas, e em especial aos operadores de serviços essenciais, operadores de infraestruturas críticas e organismos da administração pública”.

A ciberinvasão

Entre quem costuma acompanhar ciberconflitos, o modo de atuação verificado na Ucrânia já há muito que é conhecido. Há semelhanças com a vaga de ciberataques que bloquearam a Estónia em 2007; e é em tudo idêntico ao sucedido em 2008, na Geórgia, quando a invasão do exército russo foi precedida de uma vaga de ciberataques que desarticulou a resistência militar e também os serviços essenciais prestados à população. No circuito da Defesa, este modo de atuação é descrito com recurso aos conceitos de “comando apoiado” e “comando apoiante”.

Consoante a tática escolhida ou o objetivo a alcançar, as diferentes forças bélicas podem assumir estas duas funções de comando, mas nas invasões da Geórgia e da Ucrânia, o ciber-exército russo terá atuado como “comando apoiante” das forças armadas convencionais que, por sua vez, assumiram o “comando apoiado”, explica fonte castrense bem posicionada em matérias de ciberguerra. “O ciberespaço garante uma capacidade de atuação em vários domínios. Pode afetar aquilo que fazemos no próprio ciberespaço, mas também pode afetar várias atividades que dependem do ciberespaço. E pode ter igualmente um grande impacto (com os ciberataques). Trata-se de um conjunto de armas que geram a disrupção de grande escala, em vez de uma destruição de grande escala”, explica a mesma fonte bem colocada na área da Ciberdefesa, sob anonimato.

Em 2017, os separatistas pró-Rússia já haviam tomado o poder de parte da província de Donbas, no leste da Ucrânia. O conflito mantinha-se em aberto passados três anos sobre a eclosão, quando na Internet surgem os primeiros alertas para o aparecimento de códigos maliciosos que sequestravam computadores com ferramentas digitais (ransomware), e exigiam em troca o pagamento de resgates. A emergente família de ransomware foi prontamente batizada de NotPetya e começou por incidir na Ucrânia – para depois se alastrar ao resto do mundo à boleia da Internet.

O CyberPeace Institute tem esse ciberataque devidamente classificado – mas também destaca a o dia 13 de janeiro de 2022 como início das primeiras infeções em máquinas ucranianas com o código malicioso WhisperGate, que é comparado pelas marcas de cibersegurança a uma hipotética variante do NotPetya. Foi também em janeiro que se iniciaram os primeiros ataques de congestionamento de redes (DDoS), desfiguração de páginas que o governo ucraniano mantém na Internet, e o envio de mensagens de telemóvel com vista a confundir a população.

A ESET refere ainda mais um dado que ajuda a confirmar que, bem antes de o “comando apoiado” do exército russo levar tanques e aviação para a Ucrânia, o “comando apoiante” já tinha começado a atuar na Internet. O HermeticWiper, a mais recente variante de ciberataque que começou a apagar dados de máquinas infetadas na Ucrânia na tarde de quarta-feira, tinha uma assinatura temporal relativa a 28 de dezembro. O que confirma uma de duas hipóteses: ou o HermeticWiper foi criado para ser usado em qualquer ocasião que viesse a ser considerada como adequada, ou foi mesmo desenvolvido previamente com o objetivo de apoiar a invasão na Ucrânia.

Em qualquer das duas hipóteses há uma lógica de antecipação; e em qualquer das duas hipóteses há uma probabilidade real de esta ferramenta, ou outras que venham a ser desenvolvidas, poder vir a ser usada para ataques fora da Ucrânia. Até porque o HermeticWiper recorre a uma adulteração da aplicação conhecida por EaseUS Partition Master, que ajuda a gerir repositórios de dados em discos rígidos e usa um certificado da empresa Hermetic Digital, que tem sede no Chipre, para conseguir ludibriar os sistemas de cibersegurança na hora de tentar aceder a uma rede através de um navegador (o browser) ou de um qualquer serviço de autenticação.

Os ataques herméticos

Pela descrição, o HermeticWiper tem quase tudo para passar indetetado pelos profissionais de cibersegurança mais incautos… e por isso pode revelar-se atrativo como ferramenta que pode ser facilmente replicada por outros estados ou por grupos organizados do cibercrime comum – tal como o NotPetya foi. A proximidade entre ciberexércitos comandados pelo estados e o mundo do cibercrime ou do ciberativismo pode ser, de resto, confirmada com o anúncio do grupo de hackers que dá pelo nome de Anonymous ter anunciado a intenção de lançar ciberataques contra a Rússia.

A proliferação de ferramentas e métodos de ataque é apenas um fator de risco acrescido para os serviços baseados na Internet ou é apenas o primeiro passo para uma ciberguerra mundial? “A Rússia poderá não ter interesse em lançar ciberataques a todos os alvos possíveis (no mundo), porque precisa de direcionar recursos para os alvos pretendidos na Ucrânia. Além disso, arriscava-se a desencadear uma reação dos países atacados – entre eles, os membros da NATO”, descreve Nelson Escravana, administrador e diretor para a área de cibersegurança do INESC INOV. “Mas se por algum motivo, a NATO vier participar nesta guerra, então é de esperar uma operação de grande escala no ciberespaço. Trata-se de mais um arsenal que pode ser adicionado aos que já existem no Exército, na Marinha ou na Aviação”, acrescenta.

Na ciberdefesa, há a convicção de que a Internet é o último recurso a destruir. Quase todos os estados estão dependentes da Internet – até para manter a ciberespionagem operacional e lançar ataques centrados na disrupção de serviços específicos, quando chegar o momento indicado. Em contrapartida, procurar uma ciberguerra como a realização da guerra convencional por novos meios também tem riscos comparáveis aos de um vespeiro, que rapidamente faz proliferar retaliações difíceis de controlar, mesmo pelas potências mais sofisticadas.

“Não acredito num ciberconflito mundial. Toda a gente teria a perder”, refere o especialista em ciberdefesa que falou com o Expresso, sob anonimato.

Desde o início do milénio que as maiores potências têm vindo a protagonizar uma corrida às ciberarmas – mas a ciberguerra continua a ser encarada como uma hipótese que, geralmente, é ativada sob discrição. O facto de os ataques serem lançados remotamente facilita o anonimato e a dissimulação, mas há mais um fator que ajuda a compreender a razão por que estes ciberexércitos que já contam com milhares de hackers não têm direito à visibilidade atribuída às paradas militares: até à data, a larga maioria dos ciberataques patrocinados por estados limitou-se a fazer espionagem. A descrição dos feitos alcançados ou a reivindicação de autorias está, simplesmente, fora de causa.

No cenário de ciberguerra, já não se trata apenas de extrair informação. Bloqueio de comunicações e plataformas digitais, eliminação de repositórios de dados de negócios e cidadãos, ou até a destruição de equipamentos através da execução de comandos danosos figuram na lista de objetivos possíveis. E nada garante que os estragos não se equiparam aos de uma invasão convencional. Sofia Vasconcelos de Casimiro, advogada especializada em tecnologias e participante na implementação da Cyber Academia and Innovation Hub do Ministério da Defesa Nacional, recorda que a legislação internacional, que serve de referência para as Nações Unidas, já contempla a aplicação do conceito “ataque armado” às incursões que os estados fazem na Internet.

“Se um ciberataque a um hospital tiver como consequência a morte de várias pessoas, pode considerar-se que houve um ataque armado”, exemplifica a advogada. “Mas ainda não há consenso sobre se um ciberataque que elimina os dados de um banco pode ou não ser considerado um ataque armado”, acrescenta.

Apesar de muitos estados terem hoje braços digitais que são conhecidos precisamente por não respeitarem fronteiras, as soberanias também se aplicam ao ciberespaço, recorda Sofia Casimiro. E nem sequer a agilidade tecnológica serve de desculpa para descartar autorias ou culpas. Pela lei internacional, deve haver uma partilha de responsabilidades, no caso de um estado recorrer a computadores infetados que se encontram noutro estado para lançar ciberataques a um terceiro estado. “O primeiro estado poderia ser responsabilizado pela autoria do ataque, mas o estado que aloja aos servidores infetados tem o dever de cessar os ataques”, conclui Sofia Vasconcelos Casimiro.

Os dados estão lançados. Desta vez na Internet.