O NotPetya é um ato de guerra ?


Está claro que o NotPetya é um malware. Mas de qual modalidade: ransomware ou wiper ? É aí que as coisas só começam a se complicar.


O ataque do NotPetya no final de junho foi um malware ? Ransomware ? Um disk wiper ? A ofensiva devastou sistemas de rede em toda a Ucrânia e depois se espalhou para outros países, infectando e fechando escritórios de advocacia, supermercados, caixas eletrônicos e hospitais.

o-notpetya-e-um-ato-de-guerra

Dias após o ataque, pesquisadores de segurança ainda buscam descobrir o que é exatamente o NotPetya. No entanto, independentemente da análise técnica final, a grande questão continua: o NotPetya foi um ato de ciberguerra ?

Ransomware ? Wiper ? O que ?
Neste ponto, é claro que o NotPetya é um malware. Mas de qual modalidade: ransomware ou wiper ? É aí que as coisas só começam a se complicar.

O NotPetya não é exatamente um limpador de disco, mas certamente não é ransomware. Ok, isso realmente não ajuda a esclarecer as coisas, certo ? O problema é que o ataque não exclui dados com uma intenção clara da mesma forma que um wiper, como o Shamoon e KillDisk. Também não criptografa arquivos visando exigir um resgate que é o modus operanti de um ransomware normal.

Com efeito, o NotPetya bloqueia arquivos e joga a chave fora, para que as vítimas nunca mais recuperem seus sistemas. Desta forma, as informações criptografadas são basicamente inutilizadas, como ocorre num ataque wiper. Portanto, pode-se dizer que um sequestro de dados sem nenhuma chance de recuperar e decodificar os arquivos é equivalente a uma infecção por wiper.

Até agora, a maioria dos pesquisadores de segurança defendem a tese de que o NotPetya é um wiper, como Matt Suiche, fundador da Comae Technologies, publicando sua análise "Petya.2017 Is a Wiper Not a Ransomware"; e a Kaspersky Labs, que apresenta conclusões semelhantes no documento "ExPetr/Petya/NotPetya Is a Wiper, Not Ransomware".

Ainda assim, acho que NotPetya é provavelmente melhor descrito como um ataque híbrido. Ou, talvez, um ransom-wiper-ware !


Ciberataque dirigido contra a Ucrânia ?
Com a base de que não sabemos como classificar o ataque, mergulhemos em águas ainda mais obscuras. O NotPetya foi um ataque cibernético direcionado à Ucrânia ?

Nos últimos meses, vimos o CrashOverride derrubar a rede elétrica ucraniana seguido de quatro ataques sucessivos de malware disfarçados para parecer ocorrências de ransomware. Estes incluíram XData, PSCrypt, NotPetya e um tipo até agora sem nome, descoberto pelos pesquisadores de segurança da MalwareHunter, que foi projetado para parecer WannaCry, mas é algo completamente novo.

Este quarto ataque também parece ter usado um método de entrega semelhante aos XData e NotPetya para infectar os servidores de atualização de M.E.Doc, um pacote de software de contabilidade amplamente utilizado na Ucrânia. Apesar do fabricante ter negado veementemente, a Microsoft e a Talos entre outros, apontaram a empresa como fonte da distribuição desse malware.

De longe, NotPetya é o ataque mais destrutivo, com o vetor de entrega aparentemente direcionado para infectar vítimas empresariais e corporativas na Ucrânia. O problema de um malware como esse, é que uma vez lançado, pode se espalhar para outros sistemas, redes e países por conta própria.

Sem uma atribuição positiva, o crescente consenso é que responsável pelo ataque seria de um agente estatal ou designado pelo mesmo. Os principais pesquisadores de segurança sugeriram isso, incluindo o Centro Cooperativo de Excelência da Ciberdefesa da OTAN, que emitiu uma declaração em 30 de junho, confirmando:

“O NotPetya provavelmente foi lançado por um agente estatal ou não estatal com suporte ou aprovação de um estado. Outras opções são improváveis. A operação não era muito complexa, mas ainda é intrincada e cara o suficiente para ter sido preparada e executada por hackers não afiliados por causa da prática. Os cibercriminosos não estão por trás disso também, já que o método de coleta do resgate foi tão mal projetado que, provavelmente, nem mesmo cobriria o custo da operação “.

Isso nos leva de volta à pergunta inicial: Se o ataque provavelmente partiu de um agente de Estado (ou designado pelo mesmo) e provavelmente foi direcionado para a Ucrânia, e provavelmente deveria causar dano econômico generalizado e indiscriminado, seria o NotPetya um ato de ciberguerra ?

A razão pela qual é tão importante determinar a natureza desse ataque é o princípio de defesa coletiva da OTAN, que demanda mutua proteção e comprometimento entre os seus membros. Conforme definido no artigo 5 do tratado, esse princípio resume-se a: um ataque contra um aliado é considerado como um ataque contra todos. Portanto, um sim sólido com ampla evidência teria consequências políticas e militares terríveis.

Ato de guerra ?
Embora muitos indicadores digam que NotPetya era um disk wiper disfarçado de ransomware, bem como um ataque destinado a causar destruição generalizada na Ucrânia proveniente de um Estado ou designado pelo mesmo, sem uma definição técnica e atribuição claras e apenas evidências circunstanciais, podemos afirmar que foi uma ação de guerra ?
A OTAN diz: “provavelmente não”: “Se a operação pudesse ser vinculada a um conflito armado internacional em curso seria aplicável a lei do conflito armado, pelo menos na medida em que a lesão ou danos físicos fosse causada pela ocorrência e, em relação à possível participação direta nessa hostilidade por hackers civis. Porém, até agora, não há relatos de nada disso.

Falta um elemento coercivo claro em relação a qualquer governo nesse caso, e por isso a intervenção proibitiva não entra em jogo. A medida em que sistemas governamentais importantes foram alvejados pela ofensiva, então, caso a operação seja atribuída a um estado, poderia conter como uma violação da soberania. “- Tomáš Minárik, pesquisador da Centro Cooperativo de Excelência da Ciberdefesa da OTAN.

Verdade seja dita: a OTAN não fará um pronunciamento claro sobre quem exatamente está atrás disso tão breve. A quantidade atual de provas circunstanciais provavelmente não seria suficiente para deixar uma criança de oito anos de castigo por uma semana, muito menos ser suficientemente conclusivo para acusar um estado-nação específico de um crime internacional. Para chegar perto de declarar essa ocorrência como um ato de ciberguerra, há muitos detalhes que precisam ser investigados e comprovados e, até agora, estamos longe de conseguir isso.

Se não é um ato de guerra, o que é o NotPetya ?
A OTAN se arriscaria a dizer que o “[NotPetya] poderia ser um ato internacionalmente ilícito, o que poderia dar aos vários estados visados ​​várias opções para responder com contramedidas”.

Se isso for verdade e a comunidade internacional conclui que o NotPetya é um “ato internacionalmente ilícito” de acordo com as leis internacionais, poderia dar origem a uma resposta conjunta da União Europeia sob a forma de sanções. O Conselho Europeu emitiu um comunicado de imprensa para este efeito, observando ainda:

“A resposta diplomática da UE a atividades cibernéticas maliciosas dará pleno uso das medidas previstas na Política Externa e de Segurança Comum, incluindo, se necessário, ações restritivas. Uma resposta conjunta da UE a atividades cibernéticas maliciosas seria proporcional ao escopo, escala, duração, intensidade, complexidade, sofisticação e impacto da atividade cibernética.

A UE reafirma o seu empenho na resolução de disputas internacionais no ciberespaço por meios pacíficos. Neste contexto, todos os esforços diplomáticos do bloco devem, como objetivo prioritário, promover a segurança e a estabilidade no ciberespaço por meio de uma maior cooperação internacional, bem como reduzir o risco de percepção errônea, escalada e conflito que possam surgir de incidentes de TIC.

No caso de não ser um ato de guerra cibernética e nem ” internacionalmente ilícito”, do que podemos chamar agora? Lauri Lindström, pesquisador da Centro Cooperativo de Excelência da Ciberdefesa da OTAN, diria, ao máximo, que era uma “declaração de poder” e que o fato seria apenas uma “demonstração da capacidade disruptiva adquirida e prontidão para usá-la”.


Declaração de poder ? O que isso significa ? A parte tecnológica foi fácil, mas qualquer coisa acima da Layer 7 também está além do meu pagamento e compreensão. O que eu acho que isso significa é que ninguém realmente sabe o que fazer quando se trata de “ciber-qualquer-coisa” e, até que eles façam, pisarão em ovos ao tentar descobrir.

Conclusão:
Infelizmente, enquanto tudo isso ocorre, os consumidores, cidadãos, empresas e governos continuarão em perigo, devendo considerar investir em segurança para poder detectar e responder rapidamente a todos os itens acima: Ataques cibernéticos, atos internacionalmente ilícitos e declarações de poder ! Todo cuidado será pouco.

Fonte deste artigo: IT Forum 365 , Comae Technologies

Gostou do artigo ? Comente, curta e compartilhe !

Nenhum comentário :

Postar um comentário

Por favor, evite palavras de baixo calão, ou qualquer tipo de ofensas. Seja construtivo ao comentar !