Hydraq: cavalo de tróia na grande invasão ao Google
O ataque ao Google e a outras 33 empresas norte-americanas revela a infiltração de espiões em redes vitais para a segurança mundial. Saiba como foi a grande invasão que, além de comprovar as falhas do sistema, provocou uma crise internacional sem precedentes ligada à área tecnológica.
Por David Alandete, no El Pais
Os alarmes se acenderam na sede do Google em Mountain View, Califórnia, no início deste mês. Os engenheiros encarregados da segurança das redes da empresa tinham encontrado um vírus troiano. Mais um. Este, no entanto, era diferente dos outros. Havia se alojado nos servidores durante dias, trabalhando silenciosa e incansavelmente. Os espiões tiveram acesso à informação muito valiosa da companhia e à informação relativa às contas de vários usuários do Gmail, o serviço de correio eletrônico do Google.
O cavalo de tróia, ou simplesmente troiano, batizado de Hydraq, tinha penetrado nos servidores do Google de uma forma já quase rotineira: um link anexado a um e-mail. Essa mensagem foi recebida por apenas alguns funcionários, mas tratava-se de um grupo muito seleto, que tinha acesso a redes valiosas para a empresa. Os hackers sabiam perfeitamente quem estavam atacando e que portas queriam forçar para entrar no Google e roubar a informação secretamente.
Os espiões tinham enviado mensagens verossímeis, com assuntos e textos semelhantes aos que esses funcionários teriam recebido em um dia normal de trabalho, segundo comprovaram posteriormente empresas de segurança online como Symantec e McAfee. Depois, através de uma falha no Internet Explorer da Microsoft, os hackers teriam causado uma profunda brecha no Google. Quando um troiano desse tipo se instala no computador ou servidor, pode assumir o controle dele; pode acionar e apagar programas, criar privilégios, permitir acessos e, sobretudo, pode enviar informação para seus donos a milhares de quilômetros, à vontade.
Para os engenheiros do Google, o principal era saber para onde o Hydraq tinha enviado aquela informação. Os engenheiros determinaram que se comunicava com servidores de comando e controle que a empresa rastreou imediatamente, seis endereços com nomes como yahooo.8866.org ou ftp2.homeunix.com. Todos eles estão localizados em Taiwan. A grande maioria, cinco, era propriedade da empresa local Era Digital Media.
O que o Google descobriu naqueles servidores era preocupante. O ataque não tinha sido dirigido só à empresa da máquina de buscas mais famosa do mundo. Havia outras 33 companhias atacadas. Muitas delas vitais para a segurança dos EUA, como a empresa química Dow Chemical ou a produtora dos caças B-2 Spirit, Northrop Grumman, contratada pelo Pentágono.
A pedido de Washington, o governo de Taiwan investigou o assunto e chegou à conclusão de que esses endereços eram só uma rota de ataque. Os hackers os haviam ocupado e usado para canalizar a invasão. “Esses endereços IP e os servidores dos quais partiu o ataque e se enviaram aquelas mensagens eletrônicas, todos foram usados no passado por hackers associados ao governo chinês ou por agências que dependem diretamente dele”, explica um investigador que trabalha para uma empresa de segurança que presta serviços para outras firmas atacadas e prefere se manter no anonimato. “Isto dá uma ideia de que o ataque veio do governo ou de gente associada ao governo chinês.”
O Google informou às outras empresas e ao governo de Washington, alertando sobre o que poderia ser o maior caso de espionagem industrial e estratégica da história. No Departamento de Estado houve certo nervosismo, suficiente para que sua titular, Hillary Clinton, emitisse um comunicado e anunciasse, dias depois, o envio de uma nota de protesto diplomático a Pequim. No Pentágono, entretanto, poucos estranharam: suas agências de inteligência já tinham descoberto em abril do ano passado uma série de ataques semelhantes, que deixaram um rastro de troianos e códigos maliciosos na rede elétrica dos EUA, procedentes da Rússia e principalmente da China.
Aquele ataque foi descoberto semanas e até meses depois de os espiões terem se infiltrado nas redes. O dano já estava feito. Se tivessem desejado, os espiões poderiam ter desligado a eletricidade de regiões inteiras dos EUA, por exemplo. A secretária de Segurança Nacional, Janet Napolitano, disse que se sabia “há algum tempo” desse tipo de infiltração, mas recomendava que o país “ficasse alerta”. A China, através de seu Ministério das Relações Exteriores, afirmou que não havia se infiltrado em nenhuma rede pública americana.
Desde os anos da Guerra Fria e das sofisticadas operações de espionagem realizadas por agentes secretos, os procedimentos podem ter mudado drasticamente. “Assim poderia estar sendo feita a espionagem do futuro”, explica Rob Knake, analista de ciber-segurança no Conselho de Relações Internacionais de Washington.
“O governo chinês tem todas as capacidades necessárias para armar uma operação dessa escala, disso não há dúvida, embora por enquanto tudo sejam suposições. E tem os recursos humanos e a disciplina necessária para executá-lo, algo que uma organização privada não poderia fazer. Isso demonstra como se pode estar efetuando a espionagem entre nações. Trata-se de operações realizadas através da rede, com muito pouco custo para os que as fazem, e, se derem certo, elevados benefícios.”
Na delicada ordem mundial cibernética, a China supera os EUA: sua comunidade de internautas atingiu 380 milhões de pessoas, contra pouco mais de 220 milhões nos EUA, segundo a consultoria Nielsen Online. Além disso, “na China existe uma população abundante de jovens que são muito dedicados à causa do governo”, explica Cheng Li, diretor do Comitê Nacional de Relações entre China e EUA e analista do Instituto de Pesquisas Brookings de Washington. “Não podemos dizer que sejam maioria. Mas existem, e são jovens com elevados conhecimentos de informática e com sentimentos indubitavelmente nacionalistas. E para alguns deles uma operação assim seria um triunfo, uma medalha.”
Aí está o grande debate: se a operação foi algo cometido por alguns hackers vagamente associados ao governo, como um atentado em rede inspirado pelo fervor patriótico, ou se a mão do governo de Pequim se encontrava efetivamente por trás da operação. A reação da diplomacia americana parece indicar o segundo, pois Washington chegou a anunciar o envio de um protesto diplomático a Pequim.
Em um discurso em Washington na quinta-feira passada, Hillary Clinton deixou claro que os EUA não vão tolerar outro ataque dessas características, com duras advertências: “Quanto ao terrorismo de determinados Estados e seus associados, estes devem saber que os EUA protegerão suas redes, e aqueles que interromperem o livre fluxo de informação para nossa sociedade e para qualquer outra são considerados um risco para a economia, para o governo e para a sociedade civil”.
O tipo de informação que os espiões obtiveram parece confirmar que por trás de seu ataque havia algo mais que um simples roubo de dados comerciais. O próprio vice-presidente executivo e chefe do departamento jurídico do Google, David Drummond, telefonou para a ativista tibetana Tenzin Seldon, estudante na Universidade Stanford, para avisá-la de que sua conta do Gmail tinha sido infiltrada. Levaram seu computador portátil. Procuraram troianos, alguma brecha do exterior e não encontraram nada. Os espiões tinham acessado seu correio através de informação armazenada nos servidores do Google.
Segundo um relatório feito no ano passado pela Northrop Grumman para a Comissão Governamental de Assessoria em Economia e Segurança EUA-China, esse é o tipo de informação que o governo de Pequim procura: “As categorias de informação roubada não têm qualquer valor monetário, como números de cartões de crédito ou informação sobre contas bancárias, que são objeto de organizações cibercriminosas. Informação técnica de engenharia de defesa, informação relativa aos exércitos ou documentos de análise política dos governos não são material facilmente vendável pelos cibercriminosos, a não ser que haja um comprador que seja um Estado-nação”.
Ao intuir que haveria uma motivação política por trás do ataque, a direção do Google organizou um ato conjunto de desafio ao governo chinês. Pediu às outras empresas que dessem a entender que estavam fartas, que exigissem novas regras do jogo. Mas as negociações não tiveram êxito. As outras empresas – não só Dow Chemical ou Northrop Grumman, mas também a empresa de segurança online Symantec, o Yahoo ou a Adobe – preferiram continuar fazendo negócios na China como sempre, sem irritar o governo.
A própria natureza das empresas afetadas explica por que o Google reagiu desse modo e as outras não. Segundo Ed Stroz, um ex-agente do FBI que agora é codiretor da prestigiosa empresa de segurança digital Stroz Friedberg, “essas empresas têm uma segurança fortíssima. Estamos falando, em alguns casos, de firmas de segurança que trabalham ou trabalharam para o Pentágono. Não têm só uma rede. Normalmente essas empresas contam com diversas redes que não estão conectadas entre si, para salvaguardar a informação”.
As empresas deixam vazios entre suas redes para evitar roubo de informação. “Duvido que os hackers tenham chegado ao coração da informação de muitas dessas companhias. Mas o caso é outro se a empresa afetada se dedica a prover serviços aos usuários. Uma empresa concentrada em buscas ou em correio eletrônico como o Google deve ter mais informação em seus servidores gerais. Para elas, a interconexão e a rapidez são vitais. Foi assim que se chegou a obter dados sobre as contas de ativistas, e daí a reação do Google”, acrescenta Stroz.
Um dos temores do Google é que os hackers tenham contado com ajuda interna. Ao saber do ataque, a empresa começou a investigar seus funcionários na China. “Minha impressão é que as empresas que localizam sua pesquisa e desenvolvimento na China e empregam cidadãos chineses para trabalhar em seu software provavelmente melhoraram a capacidade de infiltração em informática dos serviços de inteligência e segurança chineses”, explica Larry Wortzel, um dos mais reputados especialistas em relações sino-americanas e membro da Comissão Governamental de Assessoria em Economia e Segurança EUA-China.
Afinal, esses são os riscos associados a entrar no maior mercado de Internet do mundo. As empresas ocidentais que buscam um benefício sabem a que se submetem: um mercado opaco, duras normas de censura e a possibilidade de vazamentos e ataques. Para o Google é um preço alto demais. Outras, como Microsoft e Yahoo, decidiram continuar jogando.
Tradução: Luiz Roberto Mendes Gonçalves
Pescado do Luis Nassif