Os 8,4 milhões de habitantes da cidade de Nova York estão às escuras depois que um ataque cibernético lançado por um Estado-nação destruiu a rede elétrica da cidade, causando um caos sem precedentes e o colapso das bolsas de valores em todo o mundo. Como retaliação, os Estados Unidos (EUA) desencadearam uma série de ataques cibernéticos aos sistemas de água e esgoto de Moscou, revertendo os sistemas de bombeamento e fazendo com que o esgoto transbordasse para casas, empresas e ruas.
Imagine este cenário improvável em que um lado começa a lançar ataques explorando vulnerabilidades zero-day na tecnologia do outro lado, provocando um contra-ataque ao enviar outros mísseis digitais tentando afetar os sistemas do agressor como resposta. E isso se torna muito mais complicado se um terceiro no conflito, apoiando um ou outro lado, tentar ajudar lançando seu próprio arsenal de ataques explorando vulnerabilidades zero-day. Será que o fato de ser tecnicamente possível que isso aconteça pode ser a razão pela qual não vimos nenhum dos lados desencadear o caos cibernético global?
Quando a Rússia atacou a Ucrânia, órgãos do governo e empresas de segurança começaram a emitir avisos que geraram a expectativa de que algum tipo de ataque cibernético devastador poderia ocorrer na Ucrânia e possivelmente naqueles que apoiam o país.
Estas mensagens continuam chegando: no último dia 21 de março de 2022, a Casa Branca divulgou uma declaração do presidente americano Joe Biden sobre a segurança cibernética nos EUA, na qual ele alertou sobre possível atividade cibernética maliciosa contra o país executadas pela Rússia em resposta às sanções econômicas impostas pelos governos ocidentais.
Estas mensagens continuam sendo propagadas, sugerindo como é importante permanecer vigilante e garantir que não haja pontos fracos nas operações e práticas existentes. A recomendação é particularmente direcionada a organizações e empresas que se enquadram na categoria de infraestrutura crítica, já que a interrupção desses sistemas críticos tem o potencial de causar incerteza e caos, assim como ocorreu quando a empresa Colonial Pipeline sofreu um ataque de ransomware em 2021 e nos ataques BlackEnergy e Industroyer contra as instalações elétricas ucranianas em 2015 e 2016, respectivamente.
Veja mais: Sandworm: histórico de ciberataques devastadores atribuídos ao grupo
Há vários anos, temos visto um aumento dos ataques cibernéticos contra infraestruturas críticas. De acordo com órgãos governamentais como a Agência de Segurança Cibernética e Infraestrutura dos EUA (CISA), "em 2021, as autoridades de segurança cibernética nos Estados Unidos, Austrália e Reino Unido observaram um aumento de sofisticados incidentes de ransomware de alto impacto contra organizações de infraestrutura crítica em todo o mundo". A monetização do crime cibernético, impulsionada pela facilidade de pagamentos anônimos em criptomoedas, criou uma oportunidade sem precedentes que os criminosos cibernéticos continuam explorando para ganhar dinheiro.
Confirmar a atribuição de ataques cibernéticos é algo bastante complexo, especialmente quando diversas partes estão envolvidas: o autor do malware, o provedor de serviços, o atacante, os operadores, etc. Os ataques cibernéticos que ocorreram no contexto do conflito entre a Ucrânia e a Rússia não são diferentes e é difícil atribuí-los a uma das partes. Entretanto, parece que a maioria dos ataques cibernéticos relatados, e potencialmente atribuíveis ao conflito, até o momento são limitados, direcionados e focados na zona de guerra ou no setor de comunicações. Até mesmo a descoberta por pesquisadores da ESET de malwares que apagam dados e que visam computadores na Ucrânia, tais como o HermeticWiper, IsaacWiper e CaddyWiper, não pode, no momento, ser atribuída a nenhuma parte.
Qualquer ataque cibernético, especialmente com os recursos de um órgão de inteligência estatal, pode causar danos incalculáveis não apenas a seu alvo, mas também àqueles que não estão diretamente envolvidos. A história tem mostrado que armas cibernéticas, tais como vulnerabilidades zero-day ou malwares destrutivos, podem cair em mãos erradas mesmo durante os tempos mais pacíficos do mundo.
Nota: uma falha zero-day é uma vulnerabilidade que não foi divulgada, para a qual não foram criados patches ou correções, e que é usada para realizar um ataque.
Em 2017, o vazamento de ferramentas de hacking da Agência Nacional de Segurança dos EUA (NSA), que incluía o exploit EternalBlue, apresentou aos atacantes um método de comprometimento inicial que foi posteriormente utilizado pelo WannaCryptor (também conhecido como WannaCry), NotPetya e BadRabbit e que causou o prejuízo de mais de US$ 1 bilhão em mais de 65 países. A vulnerabilidade explorada pelo EternalBlue estava nas mãos da NSA há mais de cinco anos, antes que um vazamento os obrigasse a revelar sua existência à Microsoft.
O livro de Nicole Perlroth, This Is How They Tell Me the World Ends: The Cyberweapons Arms Race, publicado em fevereiro de 2021, documenta como os governos são grandes clientes no mercado de vulnerabilidades zero-day. Para muitos leitores pode ser chocante que este livro, que documenta um mercado clandestino próspero para exploits e vulnerabilidades zero-day, exista, mas para muitos outros é provavelmente menos surpreendente, incluindo o fato de que os governos são os principais clientes neste mercado clandestino.
Incidentes, como o Stuxnet e o ataque à cadeia de fornecimento do SolarWinds, demonstram o poder que um ataque cibernético sofisticado pode ter: um afetando instalações nucleares no Irã e o outro buscando dados para se livrar de milhares de sistemas potencialmente infectados em órgãos governamentais e empresas em todo o mundo. Em comparação com o custo das armas convencionais, adquirir a capacidade de lançar um ataque cibernético é relativamente barato e também muito difícil de atribuir, tornando qualquer ataque altamente negável, ao contrário de uma guerra no terreno.
O fato de que todas as partes têm a capacidade e podem estar motivadas a lançar um ataque cibernético de potencial incalculável, caso queiram, pode estar desencadeando a dissuasão cibernética da mesma forma que nos referimos à possibilidade de usar armas nucleares de destruição em massa como parte de uma estratégia de dissuasão nuclear. É improvável que vejamos ativistas pela paz cibernética ou campanhas de “desarmamento cibernético” para que em um curto prazo entreguem os arsenais de vulnerabilidades zero-day armazenados, mas espero que um dia possamos ver algo do tipo. A internet nunca deve ser usada como uma ferramenta para causar destruição em massa.
Como comentário final, embora pareça que não houve nenhum ataque cibernético grande e devastador afetando a infraestrutura crítica de nenhum dos lados no conflito na Ucrânia, isto não significa que não haverá um, nem que não se estenderá sem controle para outras nações não envolvidas.