Cybersec e eleições presidenciais: Drovorub vs FBI e NSA. Artigo de Paolo Benanti

Revista ihu on-line

Diálogo interconvicções. A multiplicidade no pano da vida

Edição: 546

Leia mais

Cultura Pop. Na dobra do óbvio, a emergência de um mundo complexo

Edição: 545

Leia mais

Revolução 4.0. Novas fronteiras para a vida e a educação

Edição: 544

Leia mais

Mais Lidos

Newsletter IHU

Fique atualizado das Notícias do Dia, inscreva-se na newsletter do IHU


25 Agosto 2020

"Estamos diante de um novo desafio para a subsistência da ordem democrática e para as relações internacionais. Ver como o ciberespaço seja local de agressão entre as diferentes filosofias políticas nos leva à fronteira deste novo milênio em que a liberdade e a democracia parecem ter que ser defendidas com bits e códigos – até mesmo pelas grandes empresas que prosperaram nos Estados Unidos graças a essa democracia e pela democratização da informática – antes mesmo que com ideias e coragem", escreve Paolo Benanti, teólogo e frei franciscano da Terceira Ordem Regular, professor da Pontifícia Universidade Gregoriana, em Roma, e acadêmico da Pontifícia Academia para a Vida, em artigo publicado em seu blog, 24-08-2020. A tradução é de Luisa Rabolini.

Eis o artigo.

Na semana passada, foi divulgado um relatório pelo FBI e NSA sobre um novo malware para o Linux desenvolvido pelos militares russos. Por que essa notícia se espalhou? E por que as eleições presidenciais nos EUA tem algo a ver com isso? Vejamos os detalhes.

O relatório apresenta em seu executive summary:

A Main Intelligence Directorate (GRU) na seção 85th Main Special Service Center (GTsSS) do Estado-Maior russo, especificamente na unidade militar 26165, está distribuindo malware anteriormente não divulgado para sistemas Linux, chamado Drovorub, como parte de suas operações de espionagem cibernética.

A atividade cibernética maliciosa da GTsSS foi anteriormente constatada pelo setor privado através dos nomes Fancy Bear, APT28, Strontium e uma variedade de outros identificadores.

Essa publicação fornece informações básicas sobre o Drovorub, a atribuição de seu uso para a GTsSS, informações técnicas detalhadas sobre o malware Drovorub, orientação sobre como detectar o Drovorub em sistemas infectados e recomendações para minimização de danos.

As informações contidas neste Cybersecurity Advisory são divulgadas publicamente para ajudar os proprietários do National Security System e o público a coibir as capacidades do GRU, uma organização que continua a ameaçar os Estados Unidos e seus aliados como parte de seu comportamento ilícito, incluindo a interferência nas eleições presidenciais de 2016, conforme descrito no relatório de 2017: Intelligence Community Assessment, Assessing Russian Activities and Intentions in Recent US Elections (Office of the Director of National Intelligence, 2017).

O Drovorub é um conjunto de ferramentas malware para Linux que consiste em um implante acoplado a um rootkit do módulo do kernel, uma ferramenta de transferência de arquivos, o port forwarding e um server Command and Control (C2).

Quando implantado em uma máquina vítima, a sistema Drovorub (cliente) fornece a capacidade de comunicação direta com a infraestrutura C2 controlada pelo ator; capacidade de baixar e enviar arquivos; execução de comandos arbitrários como "root"; e port forwarding do tráfego de rede para outros hosts na rede.

Uma série de técnicas de detecção complementares identificam com eficácia a atividade de malware Drovorub. No entanto, o módulo do kernel do Drovorub apresenta um desafio para a detecção em grande escala no host porque oculta os artefatos do Drovorub de ferramentas comumente usadas para resposta em tempo real em escala.

Enquanto a inspeção dos pacotes saindo da rede pode ser usada para detectar Drovorub nela, os métodos baseados no host incluem o probe, os produtos de segurança, a resposta em tempo real, a análise da memória e análise dos suportes (imagem do disco).

Um guia específico para a execução do Volatility, o probe para comportamento de ocultação dos arquivos, as regras de Snort e as regras Yara estão todas incluídas na seção Detecção deste relatório.

Para evitar que um sistema seja suscetível à ocultação e à persistência do Drovorub, os administradores do sistema deveriam atualizar-se para o Kernel Linux 3.7 ou posterior para aproveitar ao máximo a aplicação da assinatura do kernel. Além disso, os proprietários do sistema são aconselhados a configurar os sistemas para baixar apenas módulos com uma assinatura digital válida, tornando mais difícil para um ator introduzir um módulo do kernel malicioso no sistema.

Por que é interessante ler o relatório?

As informações e opiniões contidas no documento são declaradas fornecidas "no estado atual" e sem nenhuma garantia. No entanto, as agências fazem referência explícita a específicos produtos comerciais, embora ressaltando que isso não implica necessariamente em sua aprovação, recomendação ou favorecimento por parte do governo dos Estados Unidos. O sonho do software aberto ou as soluções que ele permite são, porém, frágeis quando visados por potências altamente competentes e agressivas. O relatório mostra-nos como alguns serviços essenciais da democracia, entre esses também todo o mecanismo de campanha eleitoral, devem ser protegidos pelos próprios funcionários do governo: as iniciativas cidadãs e dos partidos são fundamentalmente atos livres que podem, no entanto, ser objeto de sharp power.

“Uma nova forma de poder: cortante, silencioso e perigoso”. O conceito de sharp power entrou na teoria das relações internacionais, ocupando um espaço entre as categorias mais conhecidas de soft e hard power. Mas o que se entende exatamente com esse termo? Um interessante livro de Paolo Messa se insere nesse debate, que partiu do mundo acadêmico, mas chegou ao político.

Paolo Messa é o fundador da revista Formiche, dirige o Centro Studi Americani e é Nonresident Senior Fellow do Atrantic Council em Washington DC. Os estudos e análises publicados ao longo dos anos em Formiche têm sido elementos essenciais para a elaboração do ensaio, que, partindo de uma análise dos traços distintivos do sharp power, chega a tratar o fenômeno com base nos exemplos concretos da política internacional e das relações entre os Estados dos últimos anos.

O conceito de sharp power é bastante novo. Foi expresso pela primeira vez em 2017 pelo National endowment for democracy (Ned), uma fundação sem fins lucrativos dos Estados Unidos que, em seu longo relatório “Sharp Power. Rising Authoritarian Infuence” denunciava a ação de países como a Rússia e a China voltada a promover uma obra silenciosa, mas eficaz, de propaganda no exterior para aumentar sua influência. De acordo com o relatório, os regimes iliberais tentariam interferir na vida dos países democráticos explorando a seu favor as novas ferramentas oferecidas pela globalização: manipulação de notícias, pressão sobre os atores políticos e econômicos, ataques cibernéticos.

Em suma – para usar as palavras do autor – estamos diante de uma "revolução na ciência das relações internacionais". Uma revolução informática que leva o conflito político para uma dimensão digital, que atua no terreno da opinião pública, da política e da economia. E, acima de tudo, como ressalta o autor, não diz respeito apenas à China e à Rússia, mas a todas as grandes potências, inclusive aquelas emergentes (o livro dá o exemplo do Irã) e aquelas democráticas, assumindo assim um caráter global.

Voltando ao nosso relatório, também é interessante notar que a NSA e o FBI utilizam uma variedade de fontes, métodos e parcerias para adquirir informações sobre as ameaças cibernéticas estrangeiras. O guia sobre o Drovorub contém as informações que a NSA e o FBI concluíram que podem ser divulgadas publicamente, em linha com a proteção das fontes e dos métodos e com o interesse público. Em outras palavras, podemos tomar o guia como um exemplo de OSINT cyber (a Open Source INTelligence, sigla OSINT – é a atividade de coleta de informações por meio de consulta a fontes de público acesso).

Por fim, o seguinte aviso de responsabilidade parece-nos interessante:

Este comunicado foi desenvolvido como um esforço conjunto entre a NSA e o FBI em defesa das respectivas missões de cada agência. A divulgação dessa consultoria promove as missões de segurança cibernética da NSA, incluindo suas responsabilidades de identificar e difundir as ameaças aos sistemas de segurança interna, sistemas de informática do Departamento de Defesa e a Base Industrial de Defesa, e para desenvolver e fornecer especificações e formas de defesa para a segurança informática. Essas informações podem ser amplamente compartilhadas para atingir todos os sujeitos interessados.

Que o relatório tenha sido publicado para ajudar democratas e republicanos a realizar suas campanhas eleitorais com maior segurança também é demonstrado pelas fontes citadas no final do relatório:

– Office of the Director of National Intelligence. (2017, January 6). Intelligence Community Assessment: Assessing Russian Activities and Intentions in Recent US Elections. Obtido de dni.gov. Disponível aqui. Washington Post. (2018, July 13).

– Timeline: How Russian agents allegedly hacked the DNC and Clinton's campaign. Disponível aqui.

Deve-se notar que o relatório é baseado também sobre o trabalho que a Microsoft está realizando para a segurança cibernética e para o uso seguro de software aberto nos últimos anos, conforme mostram outras fontes usadas no relatório:

– Microsoft. (2019). The Enemy Within Modern Supply Chain Attacks. Disponível aqui.

– Microsoft Security Response Center. (2019). "Corporate IoT - a path to intrusion". Microsoft Blog. Disponível aqui.

De fato, estamos diante de um novo desafio para a subsistência da ordem democrática e para as relações internacionais. Ver como o ciberespaço seja local de agressão entre as diferentes filosofias políticas nos leva à fronteira deste novo milênio em que a liberdade e a democracia parecem ter que ser defendidas com bits e códigos – até mesmo pelas grandes empresas que prosperaram nos Estados Unidos graças a essa democracia e pela democratização da informática – antes mesmo que com ideias e coragem.

 

Leia mais

Comunicar erro

close

FECHAR

Comunicar erro.

Comunique à redação erros de português, de informação ou técnicos encontrados nesta página:

Cybersec e eleições presidenciais: Drovorub vs FBI e NSA. Artigo de Paolo Benanti - Instituto Humanitas Unisinos - IHU

##CHILD
picture
ASAV
Fechar

Deixe seu Comentário

profile picture
ASAV