Dia 17 de dezembro a Microsoft, em seu blog, publicou o artigo escrito por seu presidente Brad Smith sobre o recente ataque estado-nação em que os USA e outras nações foram alvo. Embora cerca de 80% desses clientes estejam localizados nos Estados Unidos, sete outros países foram impactados. Isso inclui Canadá e México na América do Norte; Bélgica, Espanha e Reino Unido na Europa; e Israel e os Emirados Árabes Unidos no Oriente Médio.
Um momento de avaliação: a necessidade de uma resposta de segurança cibernética forte e global
Por Brad Smith
As semanas finais de um ano desafiador como 2020 se mostraram ainda mais difíceis com o recente ataque cibernético contra estados-nação.
Este último ciberataque é efetivamente um ataque aos Estados Unidos e seu governo e outras instituições críticas, incluindo empresas de segurança.
Ele ilumina as maneiras como o cenário da segurança cibernética continua a evoluir e se torna ainda mais perigoso.
Acima de tudo, esse ataque fornece um momento de ajuste de contas. Exige que olhemos com olhos claros para as ameaças crescentes que enfrentamos e nos comprometamos com uma liderança mais eficaz e colaborativa do governo e do setor de tecnologia nos Estados Unidos para liderar uma resposta de segurança cibernética global forte e coordenada.
As ameaças em evolução
Os últimos 12 meses produziram um ano decisivo com a evolução das ameaças à segurança cibernética em três frentes reveladoras.
O primeiro é o aumento contínuo da determinação e sofisticação dos ataques dos Estados-nação
Na semana passada, isso voltou às manchetes com a história de um ataque à empresa FireEye usando malware inserido no software de gerenciamento de rede fornecido aos clientes pela empresa de tecnologia SolarWinds. Isso já levou a notícias subsequentes de penetração em várias partes do governo dos EUA. Devemos todos estar preparados para histórias sobre outras vítimas no setor público e outras empresas e organizações.
Como afirmou o CEO da FireEye, Kevin Mandia, após divulgar o recente ataque: “Estamos testemunhando um ataque de uma nação com capacidades ofensivas de primeira linha”.
Como os especialistas em segurança cibernética da Microsoft auxiliam na resposta, chegamos à mesma conclusão.
O ataque infelizmente representa um ataque amplo e bem-sucedido com base em espionagem às informações confidenciais do governo dos Estados Unidos e às ferramentas de tecnologia usadas pelas empresas para protegê-las.
O ataque está em andamento e está sendo ativamente investigado e abordado por equipes de segurança cibernética nos setores público e privado, incluindo a Microsoft. Como nossas equipes atuam como primeiros respondentes a esses ataques, essas investigações em andamento revelam um ataque que é notável por seu escopo, sofisticação e impacto.
Existem também ramificações mais amplas, que são ainda mais desconcertantes. Primeiro, embora os governos tenham espionado uns aos outros por séculos, os invasores recentes usaram uma técnica que colocou em risco a cadeia de fornecimento de tecnologia para a economia em geral. Conforme relatado pela SolarWinds, os invasores instalaram seu malware em uma atualização do produto Orion da empresa que pode ter sido instalado por mais de 17.000 clientes.
A natureza da fase inicial do ataque e a amplitude da vulnerabilidade da cadeia de suprimentos são ilustradas claramente no mapa acima, que é baseado na telemetria do software Defender Anti-Virus da Microsoft.
Isso identifica os clientes que usam o Defender e que instalaram versões do software Orion da SolarWinds contendo o malware dos invasores.
Como isso deixa claro, esse aspecto do ataque criou uma vulnerabilidade na cadeia de suprimentos de importância quase global, atingindo muitas das principais capitais nacionais fora da Rússia. Isso também ilustra o alto nível de vulnerabilidade nos Estados Unidos.
A instalação desse malware criou uma oportunidade para os invasores acompanharem, selecionarem e escolherem entre esses clientes as organizações que eles queriam atacar posteriormente, o que parece que fizeram de forma mais restrita e focada. Enquanto as investigações (e os próprios ataques) continuam, a Microsoft identificou e está trabalhando nesta semana para notificar mais de 40 clientes que os invasores visaram com mais precisão e comprometeram por meio de medidas adicionais e sofisticadas.
Embora cerca de 80% desses clientes estejam localizados nos Estados Unidos, esse trabalho até agora também identificou vítimas em sete outros países. Isso inclui Canadá e México na América do Norte; Bélgica, Espanha e Reino Unido na Europa; e Israel e os Emirados Árabes Unidos no Oriente Médio. É certo que o número e a localização das vítimas continuarão crescendo.
Uma análise adicional esclarece a amplitude desses ataques. A lista inicial de vítimas inclui não apenas agências governamentais, mas também empresas de segurança e outras tecnologias, bem como organizações não governamentais, conforme mostrado no gráfico abaixo.
É fundamental que recuemos e avaliemos a importância desses ataques em seu contexto completo. Isso não é “espionagem como de costume”, mesmo na era digital. Em vez disso, representa um ato de imprudência que criou uma séria vulnerabilidade tecnológica para os Estados Unidos e o mundo.
Na verdade, este não é apenas um ataque a alvos específicos, mas à confiança e confiabilidade da infraestrutura crítica do mundo para fazer avançar a agência de inteligência de uma nação. Embora o ataque mais recente pareça refletir um foco particular nos Estados Unidos e em muitas outras democracias, ele também fornece um poderoso lembrete de que as pessoas em praticamente todos os países estão em risco e precisam de proteção, independentemente dos governos sob os quais vivem.
Como já vimos várias vezes, o Vale do Silício não é o único lar de engenhosos desenvolvedores de software. Os engenheiros russos em 2016 identificaram fraquezas na proteção de senha e plataformas de mídia social, invadiram campanhas políticas americanas e usaram a desinformação para semear divisões entre o eleitorado. Eles repetiram o exercício na campanha presidencial francesa de 2017. Conforme monitorado pelo Centro de Inteligência de Ameaças e Unidade de Crimes Digitais da Microsoft, essas técnicas impactaram vítimas em mais de 70 países, incluindo a maioria das democracias do mundo.
O ataque mais recente reflete uma capacidade infeliz, mas igualmente engenhosa, de identificar pontos fracos na proteção da cibersegurança e explorá-los.
Esses tipos de ataques sofisticados de estado-nação estão cada vez mais sendo compostos por outra tendência da tecnologia, que é a oportunidade de aumentar as capacidades humanas com inteligência artificial (IA). Um dos desenvolvimentos mais assustadores deste ano foram o que parecem ser novos passos para usar IA para transformar grandes conjuntos de dados roubados sobre indivíduos e espalhar desinformação direcionada usando mensagens de texto e aplicativos de mensagens criptografadas. Todos devemos presumir que, como os ataques sofisticados da Rússia, isso também se tornará uma parte permanente do cenário de ameaças.
Felizmente, há um número limitado de governos que podem investir no talento necessário para atacar com esse nível de sofisticação. Em nosso primeiro Relatório de Defesa Digital da Microsoft , lançado em setembro, revisamos nossa avaliação de 14 grupos de estados-nação envolvidos em ataques de segurança cibernética. Onze dos 14 estão em apenas três países.
Tudo isso está mudando por causa de uma segunda ameaça em evolução, ou seja, a crescente privatização de ataques de cibersegurança por meio de uma nova geração de empresas privadas, semelhantes aos mercenários do século 21
Este fenômeno atingiu o ponto em que adquiriu sua própria sigla – PSOAs, para atores ofensivos do setor privado. Infelizmente, esta não é uma sigla que tornará o mundo um lugar melhor.
Uma empresa ilustrativa neste novo setor é o Grupo NSO, com sede em Israel e agora envolvido em litígios nos Estados Unidos. A NSO criou e vendeu para governos um aplicativo chamado Pegasus, que poderia ser instalado em um dispositivo simplesmente chamando o dispositivo via WhatsApp; o dono do aparelho nem precisou responder. De acordo com o WhatsApp, a NSO usou o Pegasus para acessar mais de 1.400 dispositivos móveis, incluindo aqueles pertencentes a jornalistas e ativistas de direitos humanos.
A NSO representa a crescente confluência entre tecnologia sofisticada do setor privado e invasores do Estado-nação. Citizen Lab, um laboratório de pesquisa da Universidade de Toronto, identificou mais de 100 casos de abuso envolvendo apenas o NSO. Mas dificilmente está sozinho. Há rumores de que outras empresas estão ingressando no que se tornou um novo mercado global de tecnologia de US $ 12 bilhões.
Isso representa uma opção crescente para os estados-nação criarem ou comprarem as ferramentas necessárias para ataques cibernéticos sofisticados. E se houve uma constante no mundo do software nas últimas cinco décadas, é que o dinheiro é sempre mais abundante do que o talento. Um segmento da indústria que ajuda a ataques cibernéticos ofensivos traz más notícias em duas frentes. Em primeiro lugar, adiciona ainda mais capacidade aos principais atacantes do Estado-nação e, em segundo lugar, gera a proliferação de ataques cibernéticos para outros governos que têm dinheiro, mas não têm pessoas para criar suas próprias armas. Resumindo, ele adiciona outro elemento significativo ao cenário de ameaças à segurança cibernética.
Há um terceiro e último desenvolvimento preocupante que vale a pena observar, visto que obviamente foi um ano desafiador. Isso vem da interseção entre os cyberataques e o próprio COVID-19
Era de se esperar que uma pandemia que cortou milhões de vidas pudesse pelo menos ter sido liberada pelos ataques cibernéticos mundiais. Mas não foi esse o caso. Após uma breve calmaria em março, os ciberataques visaram hospitais e autoridades de saúde pública, desde governos locais até a Organização Mundial da Saúde (OMS). Enquanto a humanidade corria para desenvolver vacinas, as equipes de segurança da Microsoft detectaram três atores do estado-nação visando sete empresas proeminentes diretamente envolvidas na pesquisa de vacinas e tratamentos para Covid-19. Uma crise sempre parece trazer à tona o melhor e o pior nas pessoas, então talvez não devêssemos nos surpreender que essa crise global não tenha sido exceção.
Juntas, no entanto, essas três tendências apontam para um cenário de segurança cibernética que é ainda mais assustador do que no início do ano. Os atacantes de estado-nação mais determinados estão se tornando mais sofisticados. Os riscos estão crescendo e se espalhando para outros governos por meio de novas empresas do setor privado que auxiliam e estimulam os invasores do Estado-nação. E nada, nem mesmo uma pandemia, está fora dos limites para esses invasores.
Vivemos em um mundo mais perigoso e isso requer uma resposta mais forte e coordenada.
Uma estratégia mais eficaz ao entrarmos em um novo ano
Simplificando, precisamos de uma estratégia nacional e global mais eficaz para nos proteger contra ataques cibernéticos
Precisará de várias partes, mas talvez o mais importante, deve começar com o reconhecimento de que os governos e o setor de tecnologia precisarão agir juntos.
O novo ano cria uma oportunidade para virar uma página sobre o recente unilateralismo americano e se concentrar na ação coletiva que é indispensável para a proteção da segurança cibernética. Os Estados Unidos não venceram a Segunda Guerra Mundial, a Guerra Fria ou mesmo sua própria independência lutando sozinhos. Em um mundo onde países autoritários estão lançando ataques cibernéticos contra as democracias mundiais, é mais importante do que nunca que os governos democráticos trabalhem juntos – compartilhando informações e melhores práticas e coordenando não apenas a proteção da cibersegurança, mas também medidas e respostas defensivas.
Ao contrário dos ataques do passado, as ameaças à segurança cibernética também exigem um nível exclusivo de colaboração entre os setores público e privado. A infraestrutura de tecnologia de hoje, de centros de dados a cabos de fibra óptica, é na maioria das vezes de propriedade e operada por empresas privadas. Eles representam não apenas grande parte da infraestrutura que precisa ser protegida, mas também a área de superfície onde novos ataques cibernéticos normalmente são detectados pela primeira vez. Por esse motivo, a defesa cibernética eficaz requer não apenas uma coalizão das democracias mundiais, mas uma coalizão com empresas líderes de tecnologia.
Para ter sucesso, esta coalizão precisará fazer três coisas de forma mais eficaz no futuro:
Primeiro , precisamos dar um grande passo à frente no compartilhamento e análise da inteligência de ameaças
Em um novo ano que marcará o 20º aniversário do 11 de setembro, devemos lembrar uma das lições do dia trágico que a Comissão do 11 de setembro chamou de “um choque, mas não uma surpresa”. Um tema recorrente das descobertas da comissão foi a incapacidade das agências governamentais de construir conhecimento coletivo conectando os dados. A comissão, portanto, concentrou sua primeira recomendação na “unificação da inteligência estratégica” e na passagem da “necessidade de saber” para a “necessidade de compartilhar”.
Se há uma pergunta inicial para o novo governo Biden-Harris e os aliados dos Estados Unidos, é esta: o compartilhamento da inteligência sobre ameaças à segurança cibernética hoje é melhor ou pior do que era para ameaças terroristas antes do 11 de setembro?
Na sequência deste ataque mais recente, talvez nenhuma empresa tenha feito mais trabalho do que a Microsoft para apoiar agências em todo o governo federal. Por mais que apreciemos o comprometimento e o profissionalismo de tantos servidores públicos dedicados, é evidente para nós que o estado atual do compartilhamento de informações no governo está longe de onde deveria estar. Freqüentemente, parece que as agências federais atualmente não agem de forma coordenada ou de acordo com uma estratégia nacional de segurança cibernética claramente definida. Embora partes do governo federal tenham sido rápidas em buscar contribuições, o compartilhamento de informações com os socorristas em posição de agir foi limitado. Durante um incidente cibernético de importância nacional, precisamos fazer mais para priorizar o compartilhamento de informações e a colaboração necessária para uma ação rápida e eficaz. Em muitos aspectos,
Um indicador da situação atual se reflete na insistência do governo federal em restringir por meio de seus contratos nossa capacidade de permitir que até mesmo uma parte do governo federal saiba que outra parte foi atacada. Em vez de encorajar a “necessidade de compartilhar”, isso transforma o compartilhamento de informações em uma quebra de contrato. Literalmente, virou as recomendações da Comissão do 11 de setembro de cabeça para baixo.
Será fundamental para a próxima administração Biden-Harris agir de forma rápida e decisiva para lidar com essa situação. Uma oportunidade pronta é estabelecer um diretor nacional de segurança cibernética, conforme recomendado pela Comissão Solarium e previsto na Lei de Autorização de Defesa Nacional.
O progresso efetivo também exigirá uma segunda percepção que vai além de qualquer coisa que a Comissão do 11 de setembro precisava enfrentar. A inteligência de ameaças à segurança cibernética existe em ainda mais silos desconectados do que as informações mais tradicionais sobre ameaças à segurança nacional. Isso ocorre porque ele está espalhado não apenas entre diferentes agências e governos, mas também entre várias empresas do setor privado. Mesmo em uma grande empresa como a Microsoft, aprendemos que é fundamental para o nosso Threat Intelligence Center agregar e analisar dados de todos os nossos data centers e serviços. E quando há uma grande ameaça, precisamos compartilhar informações e avaliações coletivas com outras empresas de tecnologia.
Os últimos anos trouxeram várias etapas importantes para melhor compartilhar informações sobre segurança cibernética e apreciamos muito a dedicação e o apoio de muitas pessoas importantes em todo o governo dos Estados Unidos. Mas ainda não temos uma estratégia nacional formal e coesa para o compartilhamento da inteligência sobre ameaças à segurança cibernética entre os setores público e privado. Embora seja necessário haver salvaguardas importantes para proteger os segredos do governo e a privacidade dos cidadãos, chegou a hora de uma abordagem mais sistêmica e inovadora para o compartilhamento e análise da inteligência de ameaças com as pessoas mais bem posicionadas para agir.
Em segundo lugar , precisamos fortalecer as regras internacionais para colocar o comportamento imprudente dos Estados-nação fora dos limites e garantir que as leis internas impeçam a ascensão do ecossistema de ataques cibernéticos
Embora o mundo tenha normas e leis internacionais importantes para lidar com os ataques dos Estados-nação, continuamos a acreditar que é importante preencher as lacunas e continuar a desenvolver obrigações legais claras e vinculativas para o ciberespaço.
Isso deve partir das lições de 2020 e priorizar áreas-chave e específicas. Por exemplo, deve incluir o desenvolvimento contínuo de regras para proibir expressamente o tipo de atividade ampla e imprudente usada contra a SolarWinds e seus clientes, que adulterou software legítimo e ameaçou a estabilidade de uma cadeia de suprimentos de software mais ampla. A comunidade internacional está se movendo nessa direção, com base em um relatório de 2015 de um Grupo de Especialistas Governamentais das Nações Unidas que recebeu amplo endosso da ONU no ano passado, bem como o apoio de múltiplas partes interessadas da Comissão Global sobre a Estabilidade do Ciberespaço (GCSC). O governo dos EUA e seus aliados precisam deixar bem claro seus pontos de vista de que esse tipo de ataque à cadeia de suprimentos está fora dos limites do direito internacional.
Precisamos de endossos semelhantes, fortes e eficazes, de regras que impeçam os ataques a instituições de saúde e fornecedores de vacinas. (O Processo de Oxford recentemente convocado fez um trabalho importante para destacar as proteções que o direito internacional existente oferece neste contexto.) E as regras internacionais devem incluir proteções mais fortes dos processos democráticos e eleitorais, conforme refletido nos princípios da Chamada de Paris por Confiança e Segurança em Ciberespaço , que agora tem mais de 1.000 signatários – o maior grupo de múltiplas partes interessadas já reunido para apoiar um acordo internacional focado em segurança cibernética.
Além disso, os governos devem tomar medidas novas e combinadas para impedir o aumento de atores ofensivos do setor privado. Conforme descrito acima, essas empresas criaram um novo ecossistema para apoiar ataques ofensivos de estados-nação. Quanto antes os governos agirem para colocar esse ecossistema fora do mercado, melhor.
Uma oportunidade inicial para a administração Biden-Harris virá em um caso judicial de apelação envolvendo o próprio Grupo NSO. A NSO apelou de uma decisão de um tribunal de primeira instância de que não está imune a alegações de que violou a Lei de Fraude e Abuso de Computador dos Estados Unidos ao acessar dispositivos móveis sem permissão. Seu argumento é que está imune à lei dos Estados Unidos porque está agindo em nome de um cliente de um governo estrangeiro e, portanto, compartilha a imunidade legal desse governo. A receita proposta pela NSO tornaria um problema ainda pior, e é por isso que a Microsoft está se juntando a outras empresas para se opor a essa interpretação. A administração Biden / Harris deve opinar com uma visão semelhante.
A abordagem legal da NSO, embora desconcertante, presta um serviço ao mundo ao destacar o caminho necessário para impedir esse novo ecossistema de ataque cibernético. É para garantir que as leis nacionais proíbam clara e fortemente as empresas de ajudar os governos a se envolver em ataques cibernéticos ilegais e ofensivos e os investidores de financiá-los conscientemente.
Considere a analogia com outras formas de atividade socialmente prejudicial, como tráfico de pessoas, narcóticos ou o próprio terrorismo. Os governos não apenas tomam medidas firmes para proibir a atividade ilegal em si – como o envolvimento no tráfico de drogas – mas também garantem que as companhias aéreas não transportem as drogas e os investidores não financiem a atividade.
Uma abordagem semelhante é necessária para deter os atores ofensivos do setor privado. Precisamos de medidas para garantir, por exemplo, que investidores americanos e outros não alimentem conscientemente o crescimento desse tipo de atividade ilegal. E os Estados Unidos devem buscar proativamente discussões com outros países que estão dando origem a essas empresas, incluindo Israel, que tem um forte ecossistema de segurança cibernética que pode ser atraído para o perigoso apoio de regimes autoritários.
Finalmente , precisamos de medidas mais firmes para responsabilizar os estados-nação pelos ataques cibernéticos
Governos e empresas privadas tomaram medidas mais firmes nos últimos anos para responsabilizar publicamente os estados-nação por ataques cibernéticos. Precisamos seguir esse curso e continuar a pressioná-lo, com os governos garantindo que haja maiores consequências no mundo real para esses ataques, para promover a estabilidade e desencorajar o conflito.
As democracias mundiais deram passos importantes em 2017 e 2018, lideradas pelos Estados Unidos. Com declarações públicas sobre WannaCry e NotPetya, vários governos atribuíram esses ataques publicamente aos governos norte-coreano e russo, respectivamente. Esses tipos de atribuições públicas coordenadas tornaram-se uma ferramenta importante para responder aos ataques dos Estados-nação. Os Estados Unidos seguiram com medidas de dissuasão mais fortes para proteger as eleições de meio de mandato de 2018 e um esforço ainda mais concentrado para impedir com sucesso a adulteração de votos estrangeiros nas eleições presidenciais de 2020.
No setor privado, as circunstâncias também mudaram drasticamente desde os primeiros dias de 2016, quando nós da Microsoft entramos com uma ação legal para impedir ataques cibernéticos russos em campanhas políticas americanas, mas relutamos em falar publicamente sobre isso. Nos anos seguintes, empresas como Microsoft, Google, Facebook e Twitter têm agido e falado direta e publicamente ao responder a ataques cibernéticos entre Estados-nação. Além disso, uma coalizão de mais de 145 empresas globais de tecnologia assinaram o Acordo de Tecnologia de Segurança Cibernética – comprometendo-se a defender quatro princípios de comportamento responsável para promover a paz e a segurança online, incluindo a oposição a ataques cibernéticos contra civis e empresas inocentes.
Os próximos meses serão um teste crítico, não apenas para os Estados Unidos, mas também para outras democracias e empresas de tecnologia líderes. As próximas semanas serão cada vez maiores e acreditamos que haja evidências incontestáveis sobre a origem desses ataques recentes. Ficará ainda mais claro que eles refletem não apenas a tecnologia mais recente aplicada à espionagem tradicional, mas uma ameaça ampla e imprudente da cadeia de fornecimento digital e de nossas instituições econômicas, cívicas e políticas mais importantes. É o tipo de agressão internacional que requer o tipo de resposta coletiva que mostra que violações graves têm consequências.
Se há uma lição comum dos últimos anos, é a importância de combinar o aprendizado contínuo com novas inovações, maior colaboração e coragem constante. Por quatro séculos, os povos do mundo confiaram nos governos para protegê-los de ameaças estrangeiras. Mas a tecnologia digital criou um mundo onde os governos não podem tomar medidas eficazes sozinhos. A defesa da democracia requer que governos e empresas de tecnologia trabalhem juntos de maneiras novas e importantes – para compartilhar informações, fortalecer as defesas e responder a ataques. Ao deixar 2020 para trás, o novo ano oferece uma nova oportunidade para avançar em todas essas frentes.
Fonte: Microsoft
Nota do editor: 17/12/2020, 19:50 PT
Após as notícias sobre o impacto da questão SolarWinds na Microsoft, a empresa emitiu a seguinte declaração:
“Como outros clientes da SolarWinds, temos procurado ativamente por indicadores desse ator e podemos confirmar que detectamos binários SolarWinds maliciosos em nosso ambiente, que isolamos e removemos. Não encontramos evidências de acesso a serviços de produção ou dados de clientes. Nossas investigações, que estão em andamento, não encontraram absolutamente nenhuma indicação de que nossos sistemas foram usados para atacar outras pessoas . ”
Paris pede confiança e segurança no ciberespaço: fortalecimento e avanço da cibersegurança
US Agencies and FireEye Were Hacked Using SolarWinds Software Backdoor