IDGnow/PCS
Os documentos que seriam da CIA e foram vazados nesta semana parecem confirmar que a NSA (Agência Nacional de Segurança dos EUA) e uma das divisões da própria CIA foram responsáveis por ferramentas de malware e operações atribuídas a um grupo que os pesquisadores de segurança chamavam de Equation.
As atividades de ciberespionagem do Equation foram documentadas em fevereiro de 2015 por pesquisadores da empresa de segurança Kaspersky Lab. O grupo é considerado um dos mais avançados em termos de ciberespionagem no mundo com base na sofisticação das suas ferramentas e na duração das suas operações, algumas possivelmente datando desde 1996.
Desde o início, as ferramentas e técnicas usadas pelo grupo Equation trazem uma grande similaridade com as descritas em documentos secretos vazados em 2013 pelo ex-funcionário da NSA, Edward Snowden. Essa relação foi mais fortalecida depois pela similaridade entre vários codinomes encontrados no malware do Equation e nos arquivos da NSA.
Os novos documentos da CIA vazados pelo WikiLeaks incluem também uma discussão de 2015 entre membros do Conselho de Aconselhamento Técnico da agência após a análise da Kaspersky sobre o grupo Equation.
A conversa é focada principalmente no que o Equation fez de errado que permitiu aos pesquisadores da Kaspersky estabelecer relações entre várias ferramentas e as conectá-las ao grupo. O objetivo era que as próprias equipes da CIA aprendessem com esses erros e os evitassem nas suas próprias ferramentas e operações.
Os erros do Equation identificados durante a discussão incluem o uso de implementações criptográficas customizadas em vez de utilizar bibliotecas padrão como OpenSSL ou CryptoAPI (da Microsoft), deixar cordas de identificação na base de dados do programa, o reuso de exploits, entre outros.
“O uso de criptografia customizada é mais a NSA caindo nas suas próprias políticas e padrões internos, que vieram em resposta a problemas anteriores”, afirma um membro durante a conversa. “No passado, houve alguns problemas de criptografia em que as pessoas usaram 0 (vetores de inicialização) e outras configurações erradas. Como resultado, os especialistas em criptografia da NSA abençoaram uma biblioteca como a implementação correta e foi dito para todos os outros a utilizarem.”
“O Equation Group como falado no relatório não se relaciona a um grupo específico, mas a uma coleção de ferramentas (especialmente TAO, algumas IOC)”, afirma outro membro da discussão.
TAO é uma referência ao Office of Tailored Access Operations, uma grande divisão da NSA que é especializada na criação de ferramentas de hacking para infiltrar sistemas de computação estrangeiros. Enquanto isso, IOC faz referência ao Information Operations Center, uma divisão da CIA que, de acordo com uma justificativa de orçamento para agências vazada em 2013, mudou seu foco de contraterrorismo para ciberespionagem nos últimos anos.
A análise da CIA sobre o relatório da Kaspersky a cerca do grupo Equation destaca como os hackers podem aprender a esconder melhor seus ataques com base em pesquisas publicadas por empresas de segurança. Isso levanta o questionamento sobre se empresas de segurança e pesquisadores independentes devem ser tão diretos e abertos sobre os métodos que usam para estabelecer conexões entre ferramentas de malware.
“É um fato que os criminosos aprendem a partir de análises públicas, e isso é algo que todos os pesquisadores levam em conta quando publicam qualquer material”, afirmou a Kaspersky Lab em um comunicado enviado por e-mail. “É um risco calculado. É claro que nem todas as companhias decidem revelar todas as suas descobertas. Algumas empresas preferem manter os detalhes em relatórios privados, ou nem mesmo criar um relatório.”
“Acreditamos que, seguindo em frente, será alcançado um equilíbrio entre a quantidade de informações reveladas publicamente (apenas o suficiente para destacar os riscos e criar consciência) e a quantidade de informações mantida privada (para permitir a descoberta de futuros ataques)”, afirmaram os pesquisadores da Kaspersky.
Segundo eles, essas novas informações se conectam com a corrida por armas cibernéticas que vem acontecendo desde 2012 e não mostra nenhum sinal de diminuir o passo.