1. Home >
  2. Notícias >
  3. Notícias >
  4. Seria o NotPetya um ato... >

Seria o NotPetya um ato de guerra?

Author Photo
8:49 am - 28 de julho de 2017

kevin mageeO ataque do NotPetya no final de junho foi um malware? Ransomware? Um disk wiper? A ofensiva devastou sistemas de rede em toda a Ucrânia e depois se espalhou para outros países, infectando e fechando escritórios de advocacia, supermercados, caixas eletrônicos e hospitais.

Dias após o ataque, pesquisadores de segurança ainda buscam descobrir o que é exatamente NotPetya. No entanto, independentemente da análise técnica final, a grande questão continua: o NotPetya foi um ato de ciberguerra?

Ransomware? Wiper? O que?
Neste ponto, é claro que o NotPetya é um malware. Mas de qual modalidade (ransomware ou wiper)? É aí que as coisas só começam a se complicar.

O NotPetya não é exatamente um limpador de disco, mas certamente não é ransomware. Ok, isso realmente não ajuda a esclarecer as coisas, certo? O problema é que o ataque não exclui dados com uma intenção clara da mesma forma que um wiper, como o Shamoon e KillDisk. Também não criptografa arquivos com visando exigir um resgate, o modus operanti de um ransomware normal.

Com efeito, NotPetya bloqueia arquivos e joga a chave fora, para que as vítimas nunca mais recuperem seus sistemas. Desta forma, as informações criptografadas são basicamente inutilizadas, como ocorre num ataque wiper. Portanto, pode-se dizer que um sequestro de dados sem nenhuma chance de recuperar e decodificar os arquivos é equivalente a uma infecção por wiper.

Até agora, a maioria dos pesquisadores de segurança defendem a tese de que “é um wiper“, como Matt Suiche, fundador da Comae Technologies, publicando sua análise Petya.2017 Is a Wiper Not a Ransomware”; e a Kaspersky Labs, que apresenta conclusões semelhantes no documento ExPetr/Petya/NotPetya Is a Wiper, Not Ransomware.

Ainda assim, acho que NotPetya é provavelmente melhor descrito como um ataque híbrido. Ou, talvez, um ransom-wiper-ware?

Ciberataque dirigido contra a Ucrânia?
Com base de que não sabemos como classificar o ataque, mergulhemos em águas ainda mais obscuras. O NotPetya foi um ataque cibernético direcionado à Ucrânia?

Nos últimos meses, vimos o CrashOverride derrubar a rede elétrica ucraniana seguido de quatro ataques sucessivos de malware disfarçados para parecer ocorrências de ransomware. Estes incluíram XData, PSCrypt, NotPetya e um tipo até agora sem nome, descoberto pelo pesquisador de segurança MalwareHunter, que foi projetado para parecer WannaCry, mas é algo completamente novo.

Este quarto ataque também parece ter usado um método de entrega semelhante aos XData e NotPetya: os servidores de atualização de M.E.Doc, um pacote de software de contabilidade amplamente utilizado na Ucrânia. Apesar do fabricante ter negado veementemente, a Microsoft e a Talos, entre outros, apontaram a empresa como a fonte da distribuição desse malware.

De longe, NotPetya é o ataque mais destrutivo, com o vetor de entrega aparentemente direcionado para infectar vítimas empresariais e corporativas na Ucrânia. O problema com malware como esse é que, uma vez que é lançado, pode se espalhar para outros sistemas, redes e países por conta própria. Então, foi alvo ou não? A resposta é um “provavelmente” inconcluso neste ponto.

Sem uma atribuição positiva, o crescente consenso é que responsável pelo ataque seria de um agente estatal ou designado pelo mesmo. Os principais pesquisadores de segurança sugeriram isso, incluindo o Centro Cooperativo de Excelência da Ciberdefesa da OTAN, que emitiu uma declaração em 30 de junho, confirmando:

“O NotPetya provavelmente foi lançado por um agente estatal ou não estatal com suporte ou aprovação de um estado. Outras opções são improváveis. A operação não era muito complexa, mas ainda é intrincada e cara o suficiente para ter sido preparada e executada por hackers não afiliados por causa da prática. Os cibercriminosos não estão por trás disso também, já que o método de coleta do resgate foi tão mal projetado que, provavelmente, nem mesmo cobriria o custo da operação “.

Isso nos leva de volta à pergunta inicial: Se o ataque provavelmente partiu de um agente de Estado (ou designado pelo mesmo) e provavelmente foi direcionado para a Ucrânia, e provavelmente deveria causar dano econômico generalizado e indiscriminado, seria o NotPetya um ato de ciberguerra?

A razão pela qual é tão importante determinar a natureza desse ataque é o princípio de defesa coletiva da OTAN, que demanda mutua proteção e comprometimento entre os seus membros. Conforme definido no artigo 5 do tratado, esse princípio resume-se a: um ataque contra um aliado é considerado como um ataque contra todos. Portanto, um sim sólido com ampla evidência teria consequências políticas e militares terríveis.

Ato de guerra?
Embora muitos indicadores digam que NotPetya era um disk wiper disfarçado de ransomware, bem como um ataque destinado a causar destruição generalizada na Ucrânia proveniente de um Estado ou designado pelo mesmo, sem uma definição técnica e atribuição claras e apenas evidências circunstanciais, podemos afirmar que foi uma ação de guerra?

A OTAN diz: “provavelmente não”: “Se a operação pudesse ser vinculada a um conflito armado internacional em curso seria aplicável a lei do conflito armado, pelo menos na medida em que a lesão ou danos físicos fosse causada pela ocorrência e, em relação à possível participação direta nessa hostilidade por hackers civis. Porém, até agora, não há relatos de nada disso.

Falta um elemento coercivo claro em relação a qualquer governo nesse caso, e por isso a intervenção proibitiva não entra em jogo. À medida em que sistemas governamentais importantes foram alvejados pela ofensiva, então, caso a operação seja atribuída a um estado, poderia conter como uma violação da soberania. “- Tomáš Minárik, pesquisador da Centro Cooperativo de Excelência da Ciberdefesa da OTAN.

Verdade seja dita: a OTAN não fará um pronunciamento claro sobre quem exatamente está atrás disso tão breve. A quantidade atual de provas circunstanciais provavelmente não seria suficiente para deixar uma criança de oito anos de castigo por uma semana, muito menos ser suficientemente conclusivo para acusar um estado-nação específico de um crime internacional. Para chegar perto de declarar essa ocorrência como um ato de ciberguerra, há muitos detalhes que precisam ser investigados e comprovados e, até agora, estamos longe de conseguir isso.

Se não é um ato de guerra, o que é o NotPetya?
A OTAN se arriscaria a dizer que o “[NotPetya] poderia ser um ato internacionalmente ilícito, o que poderia dar aos vários estados visados ​​várias opções para responder com contramedidas”.

Se isso for verdade e a comunidade internacional conclui que a NotPetya é um “ato internacionalmente ilícito” de acordo com as leis internacionais, poderia dar origem a uma resposta conjunta da União Europeia sob a forma de sanções. O Conselho Europeu emitiu um comunicado de imprensa para este efeito, observando ainda:

“A resposta diplomática da UE a atividades cibernéticas maliciosas dará pleno uso das medidas previstas na Política Externa e de Segurança Comum, incluindo, se necessário, ações restritivas. Uma resposta conjunta da UE a atividades cibernéticas maliciosas seria proporcional ao escopo, escala, duração, intensidade, complexidade, sofisticação e impacto da atividade cibernética.

A UE reafirma o seu empenho na resolução de disputas internacionais no ciberespaço por meios pacíficos. Neste contexto, todos os esforços diplomáticos do bloco devem, como objetivo prioritário, promover a segurança e a estabilidade no ciberespaço por meio de uma maior cooperação internacional, bem como reduzir o risco de percepção errônea, escalada e conflito que possam surgir de incidentes de TIC.

No caso de não ser um ato de guerra cibernética e nem ” internacionalmente ilícito”, do que podemos chamar agora? Lauri Lindström, pesquisador da Centro Cooperativo de Excelência da Ciberdefesa da OTAN, diria, ao máximo, que era uma “declaração de poder” e que o fato seria apenas uma “demonstração da capacidade disruptiva adquirida e prontidão para usá-la”.

Declaração de poder? O que isso significa? A parte tecnológica foi fácil, mas qualquer coisa acima da Layer 7 também está além do meu pagamento e compreensão. O que eu acho que isso significa é que ninguém realmente sabe o que fazer quando se trata de “ciber-qualquer-coisa” e, até que eles façam, pisarão em ovos ao tentar descobrir.

Infelizmente, enquanto tudo isso ocorre, os consumidores, cidadãos, empresas e governos continuarão em perigo, e devem considerar investir em uma postura de segurança baseada em visibilidade para poder detectar e responder rapidamente a todos os itens acima: Ataques cibernéticos, atos internacionalmente ilícitos e declarações de poder!

*Kevin Magee é especialista global de segurança na Gigamon

Tags:
ciberataque
Gigamon
NotPetya
Petya

Notícias relacionadas

Notícias
Novos executivos da semana: Hotmart, Dfense Security, InDrive e mais
Notícias
Grupo Casas Bahia vira primeiro ‘case de sucesso’ de Microsoft Fabric na América Latina
Notícias
Número de mulheres gestoras de TI caiu no Brasil desde 2015
Notícias
Concentrix passa por rebranding e deixa de usar marca Webhelp
Ver todas as noticias

Newsletter de tecnologia para você

Os melhores conteúdos do IT Forum na sua caixa de entrada.