Os hackers políticos de Putin

No final de 2016 foi notícias em todos os jornais os problemas relacionados com as eleições americanas e a acusação de que o governo russo fez invasões nas redes de computadores do governo americano.

Tudo começou em maio quando o Comitê Nacional do Partido Democrâtico solicitou uma auditoria em sua rede de computadores e a empresa que fez essa auditoria concluiu que a rede havia sido invadida e que haviam dois grupos de hackers monitorando a rede, um deles inclusive estava dentro da rede espionando há mais de 1 ano.

Depois disso as agências de inteligência dos EUA entraram em ação e fizeram suas próprias investigações e concluiram que a invasão foi feita pela Rússia.

A empresa de segurança, mais especializada no plugin de segurança do WordPress, o WordFence, fez uma ótima análise do suposto relatório que provaria que a invasão teve como origem grupos russos de hackers que trabalham para o governo de Putin, felizmente a WordFence foi imparcial em sua análise e depois que eu também verifiquei o tal relatório é impossível concluir que o ataque foi lançado pela Rússia, assim como muitos ataques virtuais, camuflar sua origem é sua tarefa muito simples para alguém com conhecimentos medianos em segurança da informação.

Mas a questão principal é que, se você fosse uma nação é quisesse atacar outro país, você muito provavelmente iria querer esconder sua origem e principalmente seus passos e a melhor forma de fazer isso é tornar o ataque comum, usando ferramentas que são acessíveis a qualquer pessoa que queira lançar esse tipo de ataque, dificilmente você iria usar ferramentas criadas por você ou por sua equipe de segurança, tal como a TAO (suposto grupo de hackers da NSA) ou a Finfisher, como exemplo disso, temos a Mirai Botnet, quando seu criador liberou o código fonte em um fórum de hackers, ele provavelmente sentiu o cheiro do FBI perto de sua janela e rapidamente liberou sua arma secreta para que centenas de outros hackers fizessem uso dela também, dificultando assim a capacidade das polícias do mundo de rastreamento.

Porém, a Rússia é acusada de outros ataques do tipo, em 2007 um grande ataque foi feito tendo como alvo a Estônia, esse ataque foi massivo e deixou praticamente todos os serviços fora do ar, o suposto atacante foi a Rússia, porém, isso até hoje não foi provado.

No relatório do FBI e da Agência de Segurança Doméstica, são mostrando apenas partes de códigos que são de uma shell de acesso feita em PHP,  similar a famosa C99 ou R57 (a shell que mais gostei de usar foi a B374), imaginei que iriam mostrar complexos backdoors, mas de forma resumida, apresentaram apenas essa shell e uma lista de diversos IPs pelo mundo, Brasil inclusive.

Segue abaixo alguns links que serviram de referência:

Matéria da WordFence sobre o caso: Aqui.

Relatório oficial do FBI sobre o caso: Aqui.