Suspeitas indicam que códigos vazados por hackers são da NSA

Suspeitas indicam que os cyberweapons (programas e sistemas de ataques digitais) vazados na internet por um grupo hacker na última quinta-feira, 12, são da Agência de Segurança Nacional dos Estados Unidos (NSA). O grupo, autodenominado Shadow Brokers, teria se desconectado após ser detectado, mas antes publicou na internet um arsenal de códigos que parecem destinados a espionar sistemas Windows e Unix. Os hackers “desovaram” os cyberweapons após uma tentativa de vender estes e outras ferramentas de hacking para obter bitcoins (moedas virtuais).

O Shadow Brokers já havia sido notícia em agosto do ano passado por ter vazado códigos secretos da NSA. Na época eles publicaram na internet dois conjuntos de arquivos — um que dava acesso livre aos sistemas operacionais e outro que permanecia criptografado — e garantiam revelar as informações se conseguissem 1 milhão de bitcoins através de um leilão online, avaliados na época em US$ 584 milhões. Mas depois de vários meses, o leilão só conseguiu arrecadar 10 bitcoins.

As novas ferramentas contêm várias façanhas anteriormente desconhecidas e valiosas, de acordo especialistas em segurança. Boa parte do código teria sido criada para “espionar” através dos firewalls de computadores de potências estrangeiras como a Rússia, China e Irã. Esse acesso permitiria à NSA plantar malwares nos sistemas desses países e monitorar —  ou mesmo atacar —  suas redes.

“Este último vazamento inclui 61 arquivos, muitos dos quais nunca vistos por empresas de segurança”, disse Jake Williams, fundador da provedora de segurança InfoSec Rendition. Especialista em examinar ferramentas de ataque, ele disse que vai levar tempo para verificar a real capacidade [de espionagem] delas. A impressão inicial de Williams é que elas utilizam técnicas de evasão do sistema de detecção de intrusão.

Uma das ferramentas, por exemplo, foi desenvolvida para editar os logs de eventos do Windows. Potencialmente, um hacker pode usar a ferramenta para apagar, seletivamente, notificações e alertas de logs de evento, impedindo que a vítima perceba a intrusão, explica Williams. “Se você simplesmente remover um registro ou dois, nem uma empresa que está seguindo as melhores práticas de segurança, presumivelmente, iria notar a mudança”, diz ele. A Microsoft disse que está investigando o lote de ferramentas de hacking que foram lançadas.

Na quinta-feira, os hackers disseram que vazaram gratuitamente ferramentas de hacking do Windows porque o antivírus da Kaspersky Lab já podia detectá-las. Williams acredita, no entanto, que os membros do Shadow Brokers provavelmente são hackers a serviço do governo russo. “Este vazamento foi uma mensagem para os EUA”, disse.

Nas últimas semanas, agências de inteligência dos EUA têm afirmado que o Kremlin influenciou na eleição de Donald Trump para a Presidência dos EUA.