A rede social X sofreu interrupções intermitentes na segunda-feira, uma situação que o proprietário Elon Musk atribuiu a um “massivo ciberataque”. Musk disse em uma postagem inicial no X que o ataque foi perpetrado por “ou um grande grupo coordenado e/ou um país”. Em uma postagem no Telegram, um grupo pró-Palestina conhecido como “Dark Storm Team” reivindicou a responsabilidade pelos ataques algumas horas depois. No entanto, mais tarde na segunda-feira, Musk afirmou em uma entrevista na Fox Business Network que os ataques vieram de endereços IP ucranianos.
Especialistas em análise de tráfego da web que monitoraram o incidente na segunda-feira foram rápidos em enfatizar que o tipo de ataques que o X parecia enfrentar – ataques de negação de serviço distribuídos, ou DDoS – são lançados por um exército coordenado de computadores, ou um “botnet”, bombardeando um alvo com tráfego indesejado na tentativa de sobrecarregar e derrubar seus sistemas. Os botnets são tipicamente dispersos em todo o mundo, gerando tráfego com endereços IP geograficamente diversos, e também podem incluir mecanismos que dificultam a determinação de onde estão sendo controlados.
“É importante reconhecer que a atribuição de IP sozinha não é conclusiva. Os atacantes frequentemente usam dispositivos comprometidos, VPNs ou redes proxy para ofuscar sua verdadeira origem,” diz Shawn Edwards, diretor de segurança da empresa de conectividade de rede Zayo.
O X não retornou aos pedidos de comentários da WIRED sobre os ataques.
Vários pesquisadores disseram à WIRED que observaram cinco ataques distintos de duração variável contra a infraestrutura do X, sendo o primeiro começando na manhã de segunda-feira e o último ataque ocorrendo na tarde de segunda-feira.
A equipe de inteligência da internet da ThousandEyes, da Cisco, informou à WIRED em uma declaração que, “Durante as interrupções, a ThousandEyes observou condições de rede que são características de um ataque DDoS, incluindo condições significativas de perda de tráfego que teriam dificultado os usuários a acessarem o aplicativo.”
Os ataques DDoS são comuns e virtualmente todos os serviços modernos da internet os experimentam regularmente e devem se defender proativamente. Como Musk mesmo disse na segunda-feira, “Estamos sob ataque todos os dias.” Por que, então, esses ataques DDoS causaram interrupções no X? Musk disse que foi porque “isso foi feito com muitos recursos,” mas o pesquisador de segurança independente Kevin Beaumont e outros analistas veem evidências de que alguns servidores de origem do X, que respondem a solicitações da web, não estavam devidamente protegidos atrás da proteção DDoS da Cloudflare da empresa e estavam visivelmente acessíveis ao público. Como resultado, os atacantes podiam direcioná-los diretamente. O X, desde então, protegeu os servidores.
“O botnet estava atacando diretamente o IP e muitos outros nessa sub-rede do X ontem, é um botnet de câmeras e DVRs,” diz Beaumont.
Algumas horas após o final do ataque, Musk disse ao apresentador da Fox Business, Larry Kudlow, em uma entrevista que, “Não temos certeza exatamente do que aconteceu, mas houve um massivo ciberataque para tentar derrubar o sistema X com endereços IP originários da área da Ucrânia.”
Musk tem zombado da Ucrânia e de seu presidente Volodymyr Zelensky repetidamente desde que a Rússia invadiu seu vizinho em fevereiro de 2022. Um importante doador da campanha do presidente Donald Trump, Musk agora chefia o chamado Departamento de Eficiência do Governo, ou DOGE, que demoliu o governo federal dos EUA e sua força de trabalho nas semanas desde a posse de Trump. Enquanto isso, a administração Trump recentemente amenizou as relações com a Rússia e afastou os EUA de seu apoio tradicional à Ucrânia. Musk já esteve envolvido nessas geopolíticas no contexto de uma empresa diferente que possui, a SpaceX, que opera o serviço de internet via satélite Starlink que muitos ucranianos dependem.
A análise de tráfego DDoS pode quebrar o fluxo de tráfego indesejado de várias maneiras, incluindo listando os países que tinham os maiores endereços IP envolvidos em um ataque. Mas um pesquisador de uma empresa proeminente, que pediu anonimato porque não está autorizado a falar sobre o X, observou que nem mesmo viu a Ucrânia na divisão dos 20 principais países de origem dos endereços IP envolvidos nos ataques ao X.
Se os endereços IP ucranianos contribuíram para os ataques, no entanto, numerosos pesquisadores dizem que esse fato por si só não é notável.
“O que podemos concluir com os dados de IP é a distribuição geográfica das fontes de tráfego, o que pode fornecer insights sobre a composição do botnet ou a infraestrutura utilizada,” diz Edwards, da Zayo. “O que não podemos concluir com certeza é a identidade ou intenção real do perpetrador.”