Imagem: Cathryn VirginiaNo verão de 2017, uma atualização de software para um popular software de contabilidade ucraniano empurrou malware para sistemas de empresas que faziam negócios na Ucrânia. O ataque interrompeu a vida na Ucrânia e prejudicou a cadeia de suprimentos de logística ocidental, atingindo a gigante do transporte marítimo Maersk, a empresa postal FedEx e o porto de Roterdã. Esse foi apenas o efeito inicial de uma reação em cadeia, planejada pelo Kremlin.
Especialistas apontaram avidamente o código roubado da Agência de Segurança Nacional (NSA) dentro do malware para reivindicar autoridade sobre o ataque, vinculando efetivamente a exploração da NSA e o ataque sempre que qualquer um deles aparecer. A história remanescente que ficou na imaginação do público: o ataque cibernético russo foi executado com a ajuda de armas cibernéticas que a NSA perdeu o controle.
A narrativa que tomou forma mostrou um fracasso devastador do governo dos EUA e desviou a atenção do público de quem foi o responsável pelo ataque. Como pesquisador que estudou extensivamente as operações cibernéticas e os efeitos de influência, fiquei impressionado com a forma como o NotPetya parecia projetado para desviar a atenção de quem foi o autor dos ataques.
O NotPetya inaugurou uma nova era de guerra habilitada para implantes, onde a opinião pública é o alvo tanto quanto os sistemas tradicionais de TI. Isso não foi “hack and leak” ou “amplificação inautêntica” nas mídias sociais. Trata-se de operações de informação usando malware para criar uma narrativa e mostra como será o futuro do conflito: um em que o malware não apenas interrompe nossas operações comerciais, mas também atinge nossas mentes e influencia a cobertura da mídia. O NotPetya criou um tempo de inatividade significativo e US $ 10 bilhões em danos, mas seu impacto mais subversivo foi como enganou o público.
Existem dois marcos definidores na história da guerra cibernética via implante. Um deles exibia artesanato clandestino. O outro utilizou domínio cruzado publicamente visível efeitos . Ambos teriam uma profunda influência nas futuras operações cibernéticas.
O primeiro foi o Stuxnet, que teve como alvo as centrífugas nucleares do Irã e as danificou fisicamente. Ele combinou o domínio cibernético com o reino da destruição cinética. Uma operação clandestina que criou um conto fascinante que é muito fácil de compreender. O objetivo do Stuxnet era sabotar o programa nuclear do Irã, evitando a descoberta pelo maior tempo possível.
Por outro lado, a natureza multidomínio do NotPetya não se deixa definir tão facilmente.
É amplamente aceito que o NotPetya foi orquestrado pela agência de inteligência militar da Rússia, o GRU. O GRU emprega equipes de operações cibernéticas ofensivas de alto nível e equipes de operações psicológicas. Também foi considerado responsável por envenenamento Skripal , posando como homenzinhos verdes na Ucrânia, e muitos outros cenários de negação plausíveis. Essa doutrina de negação plausível não diferencia entre o reino cibernético e físico. Aplica-se a todos os domínios, em todos os momentos. Faz parte do Modus Operandi da agência.
A análise completa dos diferentes aspectos do NotPetya requer experiência em operações cibernéticas ofensivas, engenharia reversa, PSYOPS, operações de informação , teoria da mídia , geopolítica, guerra, Rússia, Ucrânia e inteligência militar. Limitar-nos a uma perspectiva cibernética produzirá uma análise inerentemente míope.
Então, o que era NotPetya? Em termos técnicos simples, podemos dizer que o NotPetya era um malware destrutivo/limpador que se apresentava como ransomware. Ele foi enviado para empresas usando o mecanismo de atualização de um software de contabilidade ucraniano muito popular. Para se espalhar pela rede, aproveitou tanto Passar o hash técnicas e Eternalblue, um exploit da NSA tornado público pela primeira vez pelos Corretores das Sombras . O resultado final do ataque foi que a maioria das empresas acabou com toda a infraestrutura do Windows eliminada. Os sistemas de controle industrial que dependiam de máquinas Windows para entrada foram paralisados.
É impossível provar conclusivamente o motivo e a intenção sem acesso profundo dentro de uma organização-alvo. No caso do GRU, isso envolveria obter acesso a uma pessoa ou sistema com o plano de missão NotPetya. A menos que uma agência de inteligência rival esteja disposta a queimar fontes e métodos, nossa conversa pública sobre os efeitos desejados do NotPetya é, portanto, limitada a conjecturas. Devemos ficar mais confortáveis operando nesta zona cinzenta, gostemos ou não. Caso contrário, nossa análise pública será inerentemente astigmática, o que leva a más tomadas de decisão.
NotPetya é um quebra-cabeça composto de negação plausível.
Aqui estão algumas das narrativas dominantes que surgiram em diferentes comunidades:
- NotPetya era um verme que ficou fora de controle; era suposto apenas atingir a Ucrânia. Os ataques anteriores visavam exclusivamente a Ucrânia, portanto, esta campanha pretendia atingir apenas a Ucrânia também.
- A exploração EternalBlue da NSA desempenhou um papel significativo no NotPetya, com foco subsequente na falha da NSA em proteger seu kit de ferramentas ou na falha da NSA em notificar a Microsoft após encontrar a vulnerabilidade. Wormable exploits capturam a imaginação.
- NotPetya não pretendia atingir infraestrutura crítica, porque não havia Específico do Sistema de Controle Industrial carga útil.
Observe que não há provas reais para essas narrativas. Eles são apoiados pelo sentimento e exploram nossa vieses de confirmação .
Estas são as teorias que tiveram pouco ou nenhum tempo de antena:
- Os atacantes são operadores ofensivos de primeira linha, especialistas na Ucrânia e tiveram acesso à infraestrutura de software de contabilidade por um longo período de tempo. Eles estariam cientes de que entidades não ucranianas eram alvos. Também não há evidências que sugiram que os atacantes estivessem tentando limitar seu ataque a entidades ucranianas.
- A maior parte do movimento lateral bem-sucedido vem das ferramentas Pass-The-Hash dentro do NotPetya. A parte ofensiva das operações cibernéticas do NotPetya não teria sido materialmente menos bem-sucedida sem o EternalBlue. Mesmo há dois anos Equipes vermelhas , equipes ofensivas simulando adversários, escolheriam ferramentas PTH em vez de EternalBlue para movimento lateral durante seus testes de caneta. Poderia haver um motivo oculto em jogo para incluir o EternalBlue, sabendo que o ator da ameaça é extremamente hábil em influenciar a percepção do público?
Quais foram os efeitos das narrativas?
- NotPetya foi principalmente enquadrado como mais um ataque contra a Ucrânia pela Rússia. Não foi visto como uma demonstração de força ou uma forma de sanções econômicas contra os países e empresas que fazem negócios na Ucrânia. Isso também anulou a conversa pública sobre uma possível Artigo cinco da OTAN situação, onde um ataque contra um membro da OTAN é visto como um ataque contra todos.
- Preparado pelos Shadow Brokers (e Quero chorar ), a maior parte da grande imprensa técnica concentrou-se no comprometimento da NSA e seus efeitos. Em vez de responder ao nosso adversário, o governo dos EUA estava de costas para defender sua missão. Também criou um sentimento negativo contra o arqui-inimigo do GRU, a NSA. Simplesmente não fica melhor para o GRU. Presumimos que isso seja um sucesso absoluto da missão para eles.
A destrutividade do NotPetya afetou não apenas alvos militares válidos, mas também entidades civis. Em tempos de paz . Em vários países. Esse comportamento vai contra décadas de normas internacionais. Destover visava exclusivamente a Sony . Shamoon visava exclusivamente a Aramco . Stuxnet se espalhou por toda parte , mas sua carga destrutiva foi confinada a alvos iranianos específicos.
Vamos nos fazer as seguintes perguntas:
- O que teria sido a cobertura de notícias sem a cobertura do ransomware para ação? Imagine que NotPetya se comportou como um limpador puro, como Shamoon ou Destover. Teria mudado materialmente a cobertura e a resposta (política) desde o início.
- Qual seria a cobertura secundária e a resposta se o NotPetya não tivesse incluído o exploit EternalBlue? Novamente, o EB não foi tão útil para a propagação do NotPetya. Em vez de ter que defender sua missão, o governo dos EUA e seus aliados poderiam ter respondido ao adversário com maior determinação e apoio, ou pelo menos mais rapidamente.
Não posso fornecer evidências conclusivas sobre o motivo e a intenção do GRU, mas os mecanismos de ação e composição do NotPetya realmente moldaram as narrativas e os resultados a favor da Rússia. É altamente improvável que a composição e os mecanismos da campanha NotPetya tenham sido por acaso vindo de uma das principais equipes de operações de informações do mundo.
Com efeito, foi criada uma situação em que um adversário estrangeiro pode incluir o código de exploração EternalBlue em malware e ter um sentimento anti-USG/NSA quase garantido. Esta é a personificação binária de operações cibernéticas ofensivas como atividade de influência ou o armamento adicional de informações.
Não tenho dúvidas de que outros tomaram conhecimento da operação NotPetya. Isso é semelhante ao Stuxnet em 2010 e às operações de influência em torno das eleições de 2016. Devemos perceber que isso não é uma guerra cibernética, mas social. Devemos analisá-lo e reportá-lo como tal.
Roel Schouwenberg é o diretor de inteligência e pesquisa da Celsus.IO. O Celsus Advisory Group e sua equipe de especialistas multidisciplinares de vários domínios oferecem serviços de consultoria estratégica orientados por inteligência.
Assine nosso novo podcast de segurança cibernética, CYBER .