O FBI confirmou hoje (10 de maio) que um grupo de hackers russo chamado DarkSide estava por trás de um ciberataque recente que fechou o maior oleoduto dos Estados Unidos.
DarkSide não é uma unidade dos serviços de inteligência da Rússia e não há evidências de que seja financiado ou administrado pelo Kremlin. Em vez disso, DarkSide é uma organização criminosa privada com fins lucrativos que opera sob a negligência benigna das autoridades russas. O DarkSide reserva suas travessuras aos rivais geopolíticos da Rússia – empresas com sede nos Estados Unidos e na Europa Ocidental – e as autoridades russas não interferem em seu trabalho.
Em muitos aspectos, DarkSide se assemelha aos corsários que aterrorizaram os mares durante a era de ouro da pirataria nos séculos 17 e 18. Naquela época, um capitão poderia obter uma carta de marca registrada de um governo colonial oficialmente autorizando-o a saquear e saquear navios mercantes pertencentes a nações rivais, desde que deixasse os navios de seu próprio país em paz. Ao contrário dos piratas, que eram “inimigos de toda a humanidade” e podiam ser capturados e mortos onde quer que fossem, os corsários podiam usar com segurança um dos portos das grandes potências como base de operações.
Os hackers recebem tratamento semelhante. DarkSide é um dos muitos grupos de ransomware com fins lucrativos que proliferaram e floresceram na Rússia. Essas gangues cibernéticas roubam dados da empresa e os mantêm reféns em troca de resgates que variam de $ 200.000 a $ 20 milhões. Muitos desses grupos, incluindo DarkSide, introduzem linhas de código em seu software de hacking que verifique se o computador da vítima usa russo como idioma padrão; em caso afirmativo, o software interrompe o ataque automaticamente. Recursos como esse ajudam os hackers a evitar a ira de seus governos anfitriões e garantem que eles não sejam bem-vindos em seu porto seguro.
“Os atores russos tendem a não visar seu próprio país, principalmente porque não querem que a polícia vá atrás deles”, disse Jon Clay, vice-presidente de inteligência de ameaças da empresa de segurança cibernética Trend Micro. “Vemos isso em todo o mundo: dependendo de qual país vem um grupo de atores, eles tendem a evitar almejar os seus próprios.”
A Rússia tem a maior concentração de sindicatos de pirataria com fins lucrativos, mas Clay diz que uma dinâmica semelhante está em jogo em países como China, Coreia do Norte e Brasil. Os hackers locais tendem a visar alvos estrangeiros, porque serão tratados com mais tolerância pelas autoridades legais se o fizerem. As autoridades russas estão, de fato, constitucionalmente proibidas de extraditar seus cidadãos para outro país, o que significa que os hackers têm pouco a temer de governos estrangeiros.
Ataque Colonial Pipeline gera uma grande reação
No entanto, o último ataque DarkSide pode testar os limites do desejo da Rússia de proteger seus hackers. Os hackers visaram a Colonial Pipeline, uma empresa americana que transporta mais de 100 milhões de galões de gás e outros combustíveis por dia. Em 7 de maio, a empresa foi forçada a encerrar todas as suas operações e, embora tenha restaurado algumas linhas auxiliares, levará pelo menos uma semana para restaurar o fluxo de combustível aos níveis normais.
A escala do ataque e seu impacto na infraestrutura de energia crítica da América imediatamente atraiu a atenção das agências de inteligência dos Estados Unidos. A Casa Branca prometeu ação rápida. Tudo isso é ruim para os negócios do DarkSide e pode se tornar irritante para as autoridades russas, que fecharam os olhos para as atividades do grupo.
“No passado [groups like DarkSide] eles conseguiram realizar suas atividades sem que o governo se concentrasse especialmente neles e nenhuma sanção foi imposta aos países que os hospedam “, disse Brett Callow, analista de ameaças da empresa de segurança cibernética Emsisoft. “Isso pode estar prestes a mudar. Este ataque é de tal magnitude que realmente não pode ficar sem resposta. “
O ataque parece ser um erro de cálculo sério por parte dos cibercriminosos. Uma explicação para o ataque imprudente é que os sindicatos da pirataria, como os corsários de outrora, são canhões soltos. O DarkSide é particularmente difícil de controlar porque, além de realizar seus próprios ataques, ele vende seu software de hacking como um serviço para outros grupos criminosos que desejam extorquir dinheiro de empresas.
Em uma declaração em 10 de maio, DarkSide parecia indicar que o ataque Colonial Pipeline foi o resultado de uma afiliada se tornando desonesta. “Nosso objetivo é ganhar dinheiro e não criar problemas para a sociedade”, escreveu o grupo. “A partir de hoje apresentamos [sic] moderação e verificar cada empresa que nossos parceiros desejam [attack] para evitar consequências sociais no futuro ”.
Outros, no entanto, começaram a se perguntar se o DarkSide está trabalhando secretamente sob o comando do governo russo. O grupo atacou a infraestrutura de petróleo e gás da América quatro vezes nos últimos seis meses, de acordo com dados da empresa de investigação cibercriminosa DarkTracer, levando alguns a se perguntar se o Kremlin pressionou o DarkSide para realizar os ataques para testar vulnerabilidades no sistema de energia dos EUA ou para constranger seu rival geopolítico.
“Sabemos que há aprovação tácita aqui para que essas pessoas possam operar com relativa impunidade”, disse Bryson Bort, pesquisador sênior que estuda segurança cibernética e ameaças emergentes no think tank The R Street Institute. “A verdadeira questão que todos nós nos perguntamos é: existe algo mais do que uma aceitação tácita do governo russo?”
