Na noite de uma quarta-feira de março de 2015, um alarme soou nos escritórios do GitHub, uma empresa de software com sede em San Francisco. Os escritórios da empresa exemplificam o tipo de estilo escandinavo-sem-alma que se espalhou do Vale do Silício para assumir os locais de trabalho modernos: madeira exposta, espaços abertos e muita luz natural. A maioria dos funcionários estava se preparando para sair, se é que ainda não o fizeram. Lá fora, o sol tinha começado a se pôr e estava ameno e claro.
Alarmes não eram incomuns no GitHub. A empresa afirma manter o maior repositório de códigos de computador do mundo. Tinha cerca de 14 milhões de usuários na época e se orgulha de manter seu serviço e permanecer online. O produto principal do GitHub é um conjunto de ferramentas de edição que permite que um grande número de programadores colaborem no software e acompanhem as alterações à medida que os bugs são corrigidos. Em outubro de 2018, a Microsoft iria comprá-lo por US $ 7,5 bilhões.
Em 2015, porém, o GitHub ainda era uma empresa independente e em ascensão, cujo sucesso veio de tornar consideravelmente mais fácil para outras pessoas criar software de computador. O primeiro alarme indicou que havia uma grande quantidade de tráfego de entrada para vários projetos armazenados no GitHub. Isso pode ser inocente - talvez uma empresa tenha acabado de lançar uma grande atualização - ou algo mais sinistro. Dependendo de como o tráfego foi agrupado, mais alarmes soariam se o influxo repentino estivesse afetando o serviço em todo o site. Os alarmes soaram. O GitHub estava sendo editado por DDoS.
Uma das causas mais frequentes de queda de qualquer site é um aumento acentuado no tráfego. Os servidores ficam sobrecarregados com solicitações, fazendo com que travem ou diminuam a velocidade para uma rotina torturante. Às vezes, isso acontece simplesmente porque o site se tornou popular de repente. Outras vezes, como em um ataque distribuído de negação de serviço (DDoS), o pico é projetado de forma maliciosa. Nos últimos anos, esses ataques se tornaram mais comuns: os hackers passaram a infectar um grande número de computadores com vírus, que então usam para assumir o controle dos computadores, alistando-os no ataque DDoS.
“Atualmente, estamos enfrentando o maior ataque DDoS da história do GitHub”, escreveu o desenvolvedor sênior Jesse Newland em uma postagem de blog quase 24 horas após o início do ataque. Nos cinco dias seguintes, enquanto os engenheiros passavam 120 horas combatendo o ataque, o GitHub caiu nove vezes. Era como uma hidra: cada vez que o time pensava que tinha um controle sobre ela, o ataque se adaptava e redobrava seus esforços. O GitHub não quis comentar no registro, mas um membro da equipe que falou comigo anonimamente disse que era “muito óbvio que isso era algo que nunca tínhamos visto antes”.
Na sala de bate-papo interna da empresa, os engenheiros do GitHub perceberam que enfrentariam o ataque “por algum tempo”. Conforme as horas se transformavam em dias, isso se tornou uma espécie de competição entre os engenheiros do GitHub e quem quer que estivesse do outro lado do ataque. Trabalhando em turnos longos e frenéticos, a equipe não teve muito tempo para especular sobre a identidade dos atacantes. Como os rumores abundavam online, o GitHub dizia apenas: “Acreditamos que a intenção desse ataque é nos convencer a remover uma classe específica de conteúdo”. A cerca de 20 minutos de carro, do outro lado da Baía de São Francisco, Nicholas Weaver achava que conhecia o culpado: a China.
Weaver é especialista em segurança de rede no International Computer Science Institute, um centro de pesquisa em Berkeley, Califórnia. Junto com outros pesquisadores, ele ajudou a identificar os alvos do ataque: dois projetos hospedados pelo GitHub conectados ao GreatFire.org, uma organização anticensura com base na China. Os dois projetos permitiram que usuários na China visitassem o site do GreatFire e a versão em chinês do New York Times, ambos normalmente inacessíveis aos usuários na China. GreatFire, apelidado de "organização estrangeira anti-chinesa" pela Administração do Ciberespaço da China, há muito tempo era alvo de DDoS e ataques de hackers, razão pela qual transferiu alguns de seus serviços para o GitHub, onde estavam nominalmente fora de perigo.
Weaver encontrou algo novo e preocupante quando examinou o ataque. Em um artigo em co - autoria com pesquisadores do Citizen Lab, um ativista e grupo de pesquisa da Universidade de Toronto, Weaver descreveu uma nova arma cibernética chinesa que ele apelidou de "Grande Canhão". O “Grande Firewall” - um esquema elaborado de tecnologias inter-relacionadas para censurar conteúdo da Internet vindo de fora da China - já era bem conhecido. Weaver e os pesquisadores do Citizen Lab descobriram que não apenas a China estava bloqueando bits e bytes de dados que tentavam chegar à China, mas também canalizava o fluxo de dados para fora da China.
Quem quer que estivesse controlando o Grande Canhão, o usaria para inserir seletivamente código JavaScript malicioso em consultas de pesquisa e anúncios veiculados pelo Baidu, um mecanismo de pesquisa chinês popular. Esse código então direcionou enormes quantidades de tráfego para os alvos do canhão. Ao enviar uma série de solicitações aos servidores dos quais o Great Cannon estava direcionando o tráfego, os pesquisadores foram capazes de descobrir como ele se comportava e obter informações sobre seu funcionamento interno. O canhão também pode ser usado para outros ataques de malware além de ataques de negação de serviço. Era uma ferramenta nova e poderosa: “O uso do Grande Canhão é uma grande mudança de tática e tem um impacto altamente visível”, escreveram Weaver e seus co-autores.
O ataque durou dias. A equipe do Citizen Lab disse que foi capaz de observar seus efeitos por duas semanas depois que os alarmes do GitHub dispararam pela primeira vez. Depois disso, enquanto os desenvolvedores do GitHub lutavam para entender o ataque e criar um roteiro para futuros incidentes, houve confusão na comunidade de segurança cibernética. Por que a China lançou um ataque tão público, de forma tão contundente? “Foi um exagero”, me disse Weaver. “Eles mantiveram o ataque por muito tempo depois de ele ter parado de funcionar.”
Era uma mensagem: um tiro cruzado dos arquitetos do Grande Firewall, que - tendo conquistado a Internet em casa - agora estavam cada vez mais mirando no exterior, não querendo tolerar desafios ao seu sistema de controle e censura, não importa onde veio de.
O ataque ao GitHub foi uma rara demonstração pública do poder de ataque do ciberestado da China, que geralmente preferia exercer seus recursos nos bastidores. Algumas dessas capacidades foram descobertas, por acaso, em janeiro de 2009.
No sótão de um grande prédio de tijolos vermelhos no meio do campus da Universidade de Toronto, ao norte do centro da cidade, Nart Villeneuve olhou para a tela do computador sem acreditar. Villeneuve era estudante de graduação na universidade e pesquisador do Citizen Lab. Ele estava rastreando um grupo sofisticado de espionagem cibernética que estava se infiltrando em computadores, contas de e-mail e servidores em todo o mundo, espionando seus usuários e conteúdos. Os invasores adaptaram cuidadosamente os chamados e-mails de spear-phishing para que parecessem ser de amigos e colegas do alvo, convencendo as pessoas a baixar malware em suas máquinas e, sem saber, se abrirem para vigilância. A campanha foi avançada, mas seus criadores também pareciam ter feito algo bastante estúpido.
Villeneuve pegou o telefone e ligou para Ron Deibert, seu supervisor e fundador do Citizen Lab.
Como Deibert relata em seu livro Black Code: Inside the Battle for Cyberspace , Villeneuve descobriu um servidor de comando e controle para malware que se espalhou amplamente pela Internet.
"Estou dentro", Villeneuve sussurrou em seu telefone.
A investigação havia começado meses antes em Dharamsala, uma cidade indiana para onde o Dalai Lama fugiu em 1959, que agora é o centro da comunidade tibetana no exílio. Greg Walton, um pesquisador de campo do Citizen Lab, tem visitado a área há anos. No final dos anos 1990 e no início dos anos 2000, Walton ajudou a expandir o trabalho feito pelos dois pioneiros tibetanos anteriores da Internet, Dan Haig e Thubten Samdup, que ajudaram a conectar Dharamsala à World Wide Web em um momento em que o resto da Índia estava mal conectado . Walton construiu sites para várias ONGs e departamentos governamentais, deu aulas de informática e ajudou as pessoas a criar contas de e-mail. Olhando para trás, ele percebeu que eles estavam muito envolvidos com os benefícios da Internet e sua capacidade de conectar e unir a cada vez mais espalhada diáspora tibetana para pensar nas desvantagens. Embora os primeiros dias tenham sido difíceis e a tecnologia instável, a internet rapidamente se consolidou em Dharamsala. Pouca preocupação foi dada à segurança.
As desvantagens da adoção precoce da Internet pelo Tibete rapidamente se tornaram aparentes. O governo chinês enviaria missivas furiosas a líderes estrangeiros enquanto tentavam marcar reuniões com o Dalai Lama, antes mesmo de os eventos serem anunciados. O governo chinês há muito se opõe publicamente a qualquer envolvimento com "separatistas". Mas, como me disseram pessoas da comunidade tibetana, esses novos avisos foram muito mais eficazes - e assustadores - porque foram enviados a líderes estrangeiros quando os planos não haviam sido revelados publicamente. O governo chinês queria que todos os interessados soubessem que estavam ouvindo.
Os tibetanos da diáspora que cruzaram o território controlado pela China foram detidos na fronteira e interrogados. Se tentassem negar envolvimento na política, seus próprios e-mails eram apresentados como prova. Uma mulher que trabalhava em um programa de extensão em Dharamsala que recebeu financiamento da Voz da América, apoiada pelo governo dos EUA, estava atravessando o Tibete vindo do Nepal quando foi parada pela polícia chinesa. Ela foi presenteada com impressões de suas comunicações privadas com pessoas dentro do Tibete controlado pelos chineses. Outra mulher, uma acadêmica americana que mora em Pequim, recebeu um convite para “tomar chá” com autoridades de segurança, uma ocorrência semirregular para qualquer pessoa que lide com questões delicadas na China. Solicitada por seu e-mail, ela deu aos funcionários de segurança uma conta fictícia que não usou para mais nada; dois dias depois, alguém tentou hackear esse endereço.
Em Dharamsala, computador após computador foi desativado por malware agressivo projetado não para espionar, mas para sabotar.
Claramente, alguém estava visando os tibetanos. Todos os sinais apontavam para a China, mas a origem da operação não era clara. Os tibetanos estavam sendo alvos dos serviços de segurança, dos militares, dos chamados “hackers patrióticos” ou de uma combinação dos três?
Trabalhando junto com especialistas em segurança tibetanos, Walton começou a coletar amostras de e-mails incompletos e malware. Um desses especialistas locais foi Lobsang Gyatso Sither. Sither nasceu em Dharamsala em 1982, um de uma geração de exilados que nunca viveram no Tibete. Ele estudou ciência da computação na Índia e no Reino Unido e, em grande parte, deixou Dharamsala para trás quando conheceu Walton em Londres no final dos anos 2000 e aprendeu sobre a segmentação de tibetanos. Ele voltou com Walton para o Himalaia, e os dois começaram a trabalhar com o escritório do Dalai Lama, e qualquer outro alvo óbvio, para conter hacks e ataques cibernéticos.
No início, os ataques eram pouco sofisticados: e-mails em inglês incorreto encorajavam os usuários a executar arquivos executáveis. Sozinhos, eles não teriam gerado muito alarme, mas à medida que Walton, Sither e outros reuniam mais e mais amostras, eles começaram a ver a escala da campanha. Toda a comunidade estava sendo visada, embora a maioria tivesse pouco interesse para os hackers, Sither me disse.
Mesmo indivíduos não relacionados imediatamente a um alvo-chave podem ser úteis para hackers. Como a polícia processando um caso de máfia, os hackers podem subir na cadeia, usando contas comprometidas para perseguir os alvos finais e seus associados com ataques de phishing mais confiáveis.
Os atacantes estavam monitorando de perto o sucesso de sua operação. Quando uma grande campanha educacional foi lançada para encorajar os tibetanos a não abrirem anexos e, em vez disso, confiarem em serviços baseados em nuvem como o Google Drive para compartilhar documentos, um novo malware apareceu rapidamente. Ele tinha como alvo específico os serviços que a campanha educacional havia recomendado.
Antes da descoberta do servidor de comando e controle por Villeneuve, a equipe só conseguia rastrear os alvos da campanha de malware - não os próprios invasores. Agora Villeneuve podia ver exatamente o que os invasores estavam fazendo nos computadores que acessaram. A principal arma no kit de ferramentas dos hackers era uma única peça de malware, originalmente desenvolvida por programadores chineses e posteriormente convertida para o inglês, chamada Gh0st Remote Administration Tool ou Gh0st Rat.
Por meio de suas investigações em Dharamsala, a equipe do Citizen Lab foi capaz de ver que o malware direcionado aos tibetanos estava se comunicando com servidores baseados em Hainan, uma ilha do sul da China. O hack teve como alvo oficiais militares, legisladores, jornalistas e centenas de outros em Dharamsala, por toda a Índia e em outros lugares da Ásia, cujas atividades foram monitoradas por hackers. “Quase certamente”, escreveu a equipe em seu relatório, “os documentos estão sendo removidos sem o conhecimento dos alvos, as teclas digitadas, as câmeras da web estão sendo acionadas silenciosamente e as entradas de áudio ativadas sub-repticiamente”. Embora o Citizen Lab não pudesse dizer definitivamente quem estava por trás do hack, o relatório concluiu que muito provavelmente "este conjunto de alvos de alto perfil foi explorado pelo estado chinês para fins militares e de inteligência estratégica".
O relatório chegou a essa conclusão porque a ilha de Hainan hospedava a instalação de inteligência de sinais Lingshui e uma divisão do Terceiro Departamento Técnico do Exército de Libertação do Povo, um homólogo chinês da Agência de Segurança Nacional. GhostNet, como a equipe do Citizen Lab apelidou o hack, foi um dos primeiros sinais das alegadas capacidades de hack do PLA. Dentro de anos, o FBI indiciaria vários oficiais militares importantes por alvejarem empresas e instituições americanas, tanto para espionagem industrial quanto militar. O PLA também foi responsabilizado por um hack do Office of Personnel Management (OPM), uma grande agência federal de recursos humanos, que comprometeu os dados pessoais de até 18 milhões de funcionários federais atuais, antigos e futuros.
O hack OPM foi anunciado publicamente em junho de 2015. Poucos meses depois, o presidente Barack Obama recebeu o líder chinês Xi Jinping na Casa Branca, onde os dois homens assinaram um acordo bilateral prometendo “que nenhum governo do país conduzirá ou apoiará conscientemente o roubo cibernético de propriedade intelectual, incluindo segredos comerciais ou outras informações confidenciais. ” O acordo foi uma grande vitória diplomática para Obama quando ele se aproximou do final de seu segundo mandato, e os sinais iniciais de progresso eram bons, mas o escrutínio adequado foi em grande parte prejudicado pela eleição dos EUA de 2016 e furor subsequente sobre a suposta invasão russa do Partido Democrata. À medida que as preocupações com hackers obscuros minando as instituições americanas mudaram de Pequim para Moscou, menos atenção foi dada ao papel do governo chinês em ataques futuros.
Nesse ínterim, os hackers continuam a visar a comunidade exilada tibetana e os que estão na diáspora continuam a lutar. Em salas de aula e salas de reunião em Dharamsala, Sither e outros especialistas em segurança conduzem workshops sobre criptografia de e-mail, aplicativos de mensagens seguras e outras maneiras de se manter seguro online. As pessoas com quem Sither trabalha geralmente respondem à constante ciberameaça de uma das seguintes maneiras: ambivalência ou paranóia. Ambas as respostas o frustram. Algumas pessoas afirmam que “nada têm a esconder”; mas se suas contas forem comprometidas, isso pode afetar aqueles que têm coisas que gostariam de esconder do governo chinês. Outros ficam tão assustados com a ideia de que os espiões chineses estão observando que não conseguem realizar nenhum trabalho: exatamente o tipo de efeito assustador que os censores esperavam. “Tentamos encontrar o equilíbrio entre segurança e não deixar as pessoas muito assustadas”, disse-me Sither. “Às vezes é um desafio.”
Muitos pensaram que a Internet traria democracia para a China. Em vez disso, fortaleceu a vigilância e o controle do governo além dos sonhos de Mao Zedong.
O GitHub e tibetanos como Lobsang Sither estiveram entre as primeiras vítimas em uma nova frente na guerra da China na Internet, lançada por uma nova geração de censores determinados a ir atrás dos inimigos do país onde quer que estejam, usando todos os meios necessários.
Em dezembro, foi relatado que um hack da rede internacional de hotéis Marriott foi executado por atores chineses em 2014. A violação da Marriott foi anunciada publicamente cerca de quatro anos depois de ter ocorrido. É provável que muitos outros ataques ainda não tenham sido reconhecidos publicamente, porque as empresas estão mantendo os problemas em segredo para não prejudicar as relações com a China.
Marriott também sofreu o impacto de outra campanha de censura chinesa. Em janeiro de 2018, o site da Marriott foi bloqueado na China, e a empresa foi forçada a emitir um pedido de desculpas humilhante, depois de listar o Tibete e Hong Kong como países separados em um formulário. Incentivados pelo sucesso em ditar os termos ao Marriott, as autoridades chinesas perseguiram as companhias aéreas e outras empresas por questões como a "identificação incorreta" de Taiwan.
Muitos pensaram que a Internet traria democracia para a China. Em vez disso, fortaleceu a vigilância e o controle do governo além dos sonhos de Mao Zedong. Agora, os censores estão voltando sua atenção para o resto do mundo.
Esta história foi extraída do novo livro de James Griffiths, O Grande Firewall da China: Como Construir e Controlar uma Versão Alternativa da Internet , a ser publicado em março pela Zed Books. Griffiths fez reportagens de Hong Kong, China, Coreia do Sul e Austrália para agências como CNN International, South China Morning Post, Atlantic, Vice e Daily Beast.
Fonte: technology review
0 Comentários