Ataque hacker nas eleições americanas: o que se sabe até agora

Ataque hacker nas eleições americanas, APT28, APT29

Ataque hacker nas eleições americanas: o que se sabe até agora

Muito se disse sobre a influência de grupos hackers nas eleições americanas de 2016.

Muito embora o papel da imprensa seja levar a informação, ela aparece sempre de forma abstrata e diluída, sem muita consistência de informações ou detalhamentos.

Aqui vai um breve resumo técnico do que já se sabe até o presente das ações dos grupos hackers durante as últimas eleições americanas.

Hoje já se sabe que os ataques em 2016 foram grandes, impactantes e chegaram a desempenhar um papel importante na campanha.  Desde o roubo de informações até o disparo de notícias falsas, as ações causaram certo estrago, e podem, realmente, ter ajudado a definir o resultado.

Até agora já é sabido que dois grupos de "ciberespionagem", nominados como APT28 e APT29 (Advanced Persistent Threat Groups) comprometeram vários alvos políticos, incluindo o DNC - Comitê Nacional Democrata, e roubaram uma quantidade de informações, incluindo um grande número de e-mails. A estimativa é que cerca de 20 mil e-mails administrativos tenha sido roubados.  Esses e-mails foram vazados on-line e seu conteúdo tornou-se um ponto importante durante a campanha. Segundo o governo americano, tanto o APT28 quanto o APT29 estão ligados ao governo russo.

Acredita-se que o APT28 (também conhecido como Sofacy, Fancy Bear, Swallowtail, Tsar Team e Sednit) seja um grupo russo de espionagem ativa desde pelo menos o ano de 2007. O grupo era inicialmente conhecido por ações de espionagem que roubava informações governamentais nos EUA e Europa (principalmente Geórgia).  Foi responsável pelo ataque de 2016 à Agência Mundial Antidoping (WADA) e o vazamento de informações sobre testes de drogas.

O grupo tem sido conhecido por empregar uma variedade de métodos para obter acesso a redes de organizações-alvo. Estes incluem e-mails de spear phishing, sites watering hole, dispositivos de armazenamento infectados e exploração de vulnerabilidades de software, incluindo vulnerabilidades de zero day.  A combinação de ações técnicas com ações sociais tem proporcionado certo sucesso ao grupo, que combina desde ações em sites vulneráveis até o envio em massa de trojan e malware.

Durante os ataques nas eleições nos Estados Unidos em 2016, o APT28 usou e-mails de spear phishing de alta qualidade, que enganaram os destinatários, fazendo-os mudar suas senhas de e-mail em um domínio falso. O grupo usou essas credenciais roubadas para obter acesso a contas de e-mail e roubar o conteúdo. As informações relevantes foram posteriormente vazadas.

O APT28 usa uma série de ferramentas de malware personalizadas, incluindo Infostealer.Sofacy, OSX.Sofacy, Trojan.Sofacy, Trojan.Modruner, Sourfacedentre outros.

Já o APT29 (também conhecido como Cozy Bear, Fritillary e the Dukes) é um grupo russo de espionagem ativa desde pelo menos 2010. Da mesma forma que o APT28, inicialmente se limitou a campanhas de espionagem concentradas em governos e setores militares dos EUA e Europa. 

O APT29 geralmente também se utiliza de e-mails de spear phishing para obter acesso às redes das organizações-alvo.

Durante os ataques em 2016, o APT29 enviou e-mails de spear phishing para mais de 1.000 indivíduos funcionários do governo dos EUA.  Esses e-mails continham links maliciosos que levaram a instalação de malware no computador do alvo. Isso permitiu que o APT29 comprometesse os sistemas do Partido Democrata e roubasse e-mails de várias contas na rede.  A ação do APT-29 teve como consequência a publicação de conteúdos de conversas de e-mail, celulares, chat e outros aplicativos, incluindo as mensagens de Hilarry Clinton.

As ferramentas que o APT29 usou foram: Trojan.Cozer, Trojan.Seaduke, Trojan.Dionisduke, Backdoor.Netduke, Trojan.Powerduke, Backdoor.Miniduke, dentre outras.

As autoridades americanas parecem já monitorar com mais obstinação os grupos, inclusive as atividades existentes entre eles.  Já são esperadas novas ameaças para as eleiçoes este ano.