A série Cyberqueer. Grupos de hackers, por vezes ligados a estados, estão hoje no centro da espionagem cibernética e do roubo de dados. Estes “grupos APT” (ameaças persistentes avançadas) têm como alvo empresas e organizações com ataques direcionados e discretos durante longos períodos de tempo e estão sob maior escrutínio à medida que enfrentam ameaças cibernéticas cada vez mais sofisticadas.
É um mundo de números, codinomes e apelidos estranhos. Cosy Bear, Double Dragon ou Hidden Cobra… Você pode não ter ouvido falar desses grupos de hackers, mas eles são os maiores do mundo.
Vejamos o exemplo do Cosy Bear, também conhecido como “APT29”, Nobelium ou Midnight Blizzard. Este é um grupo de hackers ligados aos serviços de inteligência russos, especificamente ao FSB. O grupo tem como alvo governos, partidos políticos, empresas e grupos de reflexão. A Cosy Bear esteve notavelmente envolvida na invasão do Comitê Nacional Democrata em conexão com a interferência russa nas eleições presidenciais dos EUA em 2016 e em um ataque contra os servidores de notícias da gigante da tecnologia Microsoft.
Uma simples pesquisa na Internet por Double Dragon, codinome “APT41”, traz à tona o aviso desejado pelo FBI sobre cinco hackers chineses, com seus nomes e apelidos exibidos em letras maiúsculas. No entanto, este grupo não é uma simples coligação de hackers: na verdade, é afiliado não oficialmente ao Ministério da Defesa do governo chinês.
Estes não são os únicos grupos cibernéticos maliciosos com laços estreitos com os estados. Neste mosaico global, dezenas de atores surgiram e são hoje identificados por agências de inteligência e grandes empresas de segurança cibernética: o Grupo Lazarus (ou Hidden Cobra) ligado à Coreia do Norte, o APT41 (Bário, Wicked Panda) ligado à China e o Mustang Panda (TA416) Kitten (APT35) ligado ao Irão. Este mapeamento ilustra a escala de um ecossistema agora construído à escala global, onde dezenas de grupos que operam nos quatro cantos do globo participam numa “guerra cibernética” generalizada mas perpétua.
Uma equipe APT (ou Ameaça Persistente Avançada) refere-se a um grupo de invasores cibernéticos especializados em Ameaças Persistentes Avançadas, ou seja, ataques de computador direcionados, discretos e persistentes que se infiltram em um sistema e permanecem sem serem detectados por longos períodos de tempo.
Geralmente são grupos ligados direta ou indiretamente a Estados que realizam operações sofisticadas contra alvos estratégicos (instituições governamentais, empresas, infraestruturas críticas). Seu principal objetivo é a espionagem cibernética de longo prazo e o roubo de dados confidenciais.
Para isso, dispõem de recursos significativos e de ferramentas sofisticadas, que lhes permitem sobretudo explorar as chamadas vulnerabilidades de “dia zero”, que ainda não foram detectadas.
“Estamos construindo rapidamente vínculos com os estados porque são necessários muitos recursos, tempo e habilidades para desenvolver ferramentas capazes de penetrar e explorar essas falhas de dia zero ou realizar ‘engenharia social’.
As “APT” podem assumir muitas formas: unidades secretas integradas em estruturas estatais, como serviços de inteligência ou forças regulares, como a Unidade 61398 do Exército de Libertação do Povo Chinês, ou grupos que são oficialmente independentes, mas fortemente ligados ao Estado, como o Fancy Bear, que está ligado ao GRU russo.
No lado ocidental também existem grupos APT, embora muitas vezes mais inteligentes. Os serviços de inteligência (NSA nos EUA, GCHQ no Reino Unido, DGSE em França ou BND na Alemanha) são por vezes citados em tais atividades. Por exemplo, nos Estados Unidos, o “grupo de equações” é considerado por muitos especialistas como afiliado à NSA e para realizar operações sofisticadas de espionagem cibernética internacionalmente.
“Há muitas vezes uma sobreposição entre o cibercrime e a ciberinteligência: alguns grupos criminosos, motivados financeiramente, por vezes com a cumplicidade tácita do Estado, podem levar à prática de ciberespionagem. Cada país tem o seu próprio ecossistema e organiza a sua ciberespionagem de forma diferente. Analista de inteligência estratégica sobre ameaças cibernéticas e pesquisador associado da Cátedra Raoul-Tandurant em Estudos Estratégicos e Diplomáticos da Universidade de Quebec, em Montreal.
“Prioridades Geopolíticas dos Estados”
As explorações destes grupos são diversas e respondem a diversas lógicas: roubo de dados, espionagem, sabotagem e fraude. Mas, acima de tudo, as suas ações dependem em grande parte dos Estados que as patrocinam e dos objetivos estratégicos que lhes são atribuídos.
Para a Coreia do Norte, gravemente isolada por sanções internacionais, a prioridade parece ser o financiamento acima de tudo. Um exemplo notável disto é o espectacular assalto cibernético ao Banco do Bangladesh em 2016.
O grupo norte-coreano Lazarus encarna perfeitamente esta lógica. Agora conhecida por suas atividades de hacking de criptomoedas, esteve envolvida em perdas de mais de US$ 300 milhões até 2023 e de até US$ 1,5 bilhão até 2025, de acordo com algumas estimativas. Uma estratégia claramente destinada a encher os cofres do regime.
Por outro lado, outras potências seguem abordagens diferentes: a Rússia favorece a desestabilização e os actos de influência, enquanto a China segue a lógica da inteligência e dos benefícios económicos a longo prazo.
“Observamos teorias muito diferentes: a China está na lógica da inteligência e da guerra económica, a Rússia está numa estratégia de desestabilização e a Coreia do Norte está numa lógica mais monetária”, explica Arnaud Lemaire. Uma análise partilhada por Alexis Rabin diz que para eles “reflecte directamente as prioridades geopolíticas dos Estados alvo e vítimas”. Apesar destas diferenças, há uma constante: por trás destas atividades, a dimensão financeira não está totalmente ausente.
Mas há outro elemento importante a ter em conta: estes grupos são, na sua maioria, monitorizados de perto. Primeiro, pelas autoridades de países oponentes, diretamente visados pelas suas atividades, mas também por intervenientes privados na segurança cibernética. Grandes empresas na área de criação de soluções de segurança para empresas monitoram esses grupos de perto para antecipar ameaças aos seus clientes. Essa consciência constante leva a um verdadeiro jogo de gato e rato.
Uma caçada complicada
“Podemos imaginar uma ‘investigação cibernética’ como uma investigação criminal clássica: coletamos pistas, analisamos TTPs (Táticas, Técnicas e Procedimentos, Nota do Editor) e reunimos pistas para identificar um grupo ou modus operandi”, diz Mathieu Tartare, pesquisador de malware na ESET, uma das maiores empresas privadas cibernéticas.
O especialista em ciberespionagem acrescenta: “A infra-estrutura de rede e os métodos anónimos utilizados pelos atacantes são fundamentais para a atribuição. Mas a ligação directa do Estado por vezes não é clara, especialmente quando as empresas actuam como representantes entre o serviço de inteligência e o alvo”. Então é muito difícil pegar alguém que só anda entre pixels.
“Evitar erros de atribuição devido a bandeiras falsas é outro desafio central da atribuição e requer uma abordagem mais rigorosa e sistemática às provas”, analisa Andy Piazza, diretor sénior de inteligência de ameaças da “Unidade 42” da Palo Alto Networks, um dos outros grandes líderes globais em segurança cibernética. “O processo envolve a coleta de todos os elementos relevantes para o ataque, mas também o uso holístico de cada elemento na avaliação de uma hipótese de atributo”
É uma verdadeira colméia de grupos, atores e estados organizados numa névoa… às vezes difícil de definir. Andy Piazza elabora: “O Quadro de Atribuição da Unidade 42 foi concebido para enfrentar este desafio. Examina sistematicamente factores-chave, como a fiabilidade e a credibilidade da fonte que fornece a informação.
Mas para compreender plenamente os mecanismos e intenções dos diferentes intervenientes em termos cibernéticos, precisamos de olhar para além da dimensão técnica…para a dimensão geopolítica. Os ciberataques muitas vezes não são “simples ataques informáticos criminosos”: como visto acima, reflectem lutas pelo poder, estratégias de influência e disputas entre forças. A tecnologia digital tornou-se um novo conflito e hoje todas as ações refletem interesses nacionais, alianças, rivalidades ou áreas de tensão internacional.
Série “Cyberqueer” -> Dos ataques do Viper na Ucrânia aos roubos de criptomoedas da Coreia do Norte, a BFM Tech leva você ao coração da guerra cibernética. Espionagem, sabotagem, desinformação: um conflito sem frente, sem uniforme e muitas vezes sem exigências. Uma série sobre a compreensão de como os estados competem nas sombras das redes pode ser encontrada no site e aplicativo de negócios BFM e BFM.
Próximo episódio: “Guerra cibernética: Na Coreia do Norte, ciberespionagem, roubo de criptomoedas e hackers a serviço de um estado sujeito a sanções”
