Desde que as tropas russas invadiram a Ucrânia há mais de três anos, empresas e executivos de tecnologia russos foram amplamente sancionados por apoiar o Kremlin. Isso inclui Vladimir Kiriyenko, filho de um dos principais assessores de Vladimir Putin e CEO do VK Group, que administra o VK, equivalente russo ao Facebook, que tem se posicionado cada vez mais de forma repressiva em relação ao regime.
Agora, pesquisadores de cibersegurança estão alertando que uma peça amplamente utilizada de código aberto — que está ligada à empresa de Kiriyenko e gerenciada por desenvolvedores russos — pode representar um risco nacional de ‘persistente’ para os Estados Unidos. O software de código aberto (OSS), chamado easyjson, tem sido amplamente utilizado pelo Departamento de Defesa dos EUA e ‘extensivamente’ em softwares usados nos setores financeiro, tecnológico e de saúde, dizem os pesquisadores da empresa de segurança Hunted Labs, que está por trás das alegações. O medo é que a Rússia possa alterar o easyjson para roubar dados ou ser de outra forma abusado.
“Você tem esse pacote realmente crítico que é basicamente um ponto central para o ecossistema nativo da nuvem, que é mantido por um grupo de indivíduos baseados em Moscovo pertencentes a uma organização que tem esse histórico suspeito”, diz Hayden Smith, cofundador da Hunted Labs.
Por décadas, o software de código aberto tem sustentado grandes setores da indústria de tecnologia e os sistemas que as pessoas dependem no dia a dia. A tecnologia de código aberto permite que qualquer pessoa veja e modifique o código, ajudando a fazer melhorias, detectar vulnerabilidades de segurança e aplicar um escrutínio independente que está ausente na tecnologia fechada dos gigantes corporativos. No entanto, a fragmentação das normas geopolíticas e o espectro de ataques furtivos à cadeia de suprimentos levaram a um aumento nas questões sobre os níveis de risco do código “estrangeiro”.
Easyjson é uma ferramenta de serialização de código para a linguagem de programação Go e é frequentemente usada em todo o ecossistema da nuvem, estando presente em outros softwares de código aberto, de acordo com a Hunted Labs. O pacote está hospedado no GitHub por uma conta da MailRu, que é propriedade do VK após a rebranding da empresa de correio em 2021. O VK Group em si não é sancionado. O easyjson está disponível no Github desde 2016, com a maioria de suas atualizações ocorrendo antes de 2020. Kiriyenko se tornou CEO do VK Group em dezembro de 2021 e foi sancionado em fevereiro de 2022.
A análise da Hunted Labs compartilhada com a WIRED mostra que os desenvolvedores mais ativos no projeto nos últimos anos se listaram como baseados em Moscovo. Smith diz que a Hunted Labs não identificou vulnerabilidades no código do easyjson.
No entanto, o vínculo com a empresa do CEO sancionado, além dos ataques cibernéticos agressivos apoiados pelo estado da Rússia, pode aumentar os riscos potenciais, diz Smith. A pesquisa da Hunted Labs detalha como ferramentas de serialização de código poderiam ser abusadas por hackers maliciosos. “Um pacote de software controlado pela Rússia poderia ser usado como uma ‘célula adormecida’ para causar sérios danos à infraestrutura crítica dos EUA ou para espionagem e campanhas de influência armadas”, diz.
“Os estados-nação assumem uma posição estratégica”, diz George Barnes, ex-diretor adjunto da Agência de Segurança Nacional, que passou 36 anos na NSA e agora atua como conselheiro sênior e investidor na Hunted Labs. Barnes diz que hackers dentro das agências de inteligência da Rússia poderiam ver o easyjson como uma oportunidade potencial para abuso no futuro.
“É um código totalmente eficiente. Não há vulnerabilidade conhecida nele, portanto, nenhuma outra empresa identificou nada de errado com ele”, diz Barnes. “No entanto, as pessoas que realmente o possuem estão sob a égide do VK, que está próximo do Kremlin”, diz ele. “Se eu estivesse sentado na GRU ou na FSB e olhasse para a lista de oportunidades… isso é perfeito. Está lá, deitado”, diz Barnes, referindo-se às agências de segurança militar e doméstica da Rússia.
O VK Group não respondeu ao pedido da WIRED para comentar sobre o easyjson. O Departamento de Defesa dos EUA não respondeu a um pedido de comentário sobre a inclusão do easyjson em sua configuração de software.
“A NSA não tem um comentário a fazer sobre este software específico”, diz um porta-voz da Agência de Segurança Nacional. “O Centro de Colaboração em Cibersegurança da NSA acolhe dicas do setor privado — quando uma dica é recebida, a NSA a triagem contra nossas próprias informações para entender totalmente a ameaça e, se corroborada, compartilhar quaisquer mitigação relevantes com a comunidade.” Um porta-voz da Agência de Cibersegurança e Segurança de Infraestrutura dos EUA, que enfrentou turbulências sob a segunda administração Trump, diz: “Vamos encaminhá-lo de volta à Hunted Labs.”
O GitHub, um repositório de código pertencente à Microsoft, diz que, embora investigará problemas e tomará medidas onde suas políticas forem violadas, não tem conhecimento de código malicioso no easyjson e o VK não está sancionado. O tratamento do VK por outras empresas de tecnologia varia. Depois que a Grã-Bretanha sancionou os líderes dos bancos russos que possuem participação no VK em setembro de 2022, por exemplo, a Apple removeu seu aplicativo de mídia social de sua App Store.
Dan Lorenc, CEO da empresa de segurança da cadeia de suprimentos Chainguard, diz que com o easyjson, as conexões com a Rússia estão em “plena vista” e que há um risco cibernético “um pouco maior” do que o de outras bibliotecas de software. Ele acrescenta que os sinais de alerta em torno de outras tecnologias de código aberto podem não ser tão óbvios.
“No espaço geral de código aberto, você não sabe necessariamente onde as pessoas estão na maioria das vezes”, diz Lorenc, apontando que muitos desenvolvedores não divulgam sua identidade ou localizações online, e mesmo que o façam, nem sempre é possível verificar se os detalhes estão corretos. “O código é o que temos para confiar e o código e os sistemas que são usados para construir esse código. As pessoas são importantes, mas não estamos em um mundo onde podemos empurrar a confiança para os indivíduos”, diz Lorenc.
À medida que a invasão em larga escala da Ucrânia pela Rússia se desenrolou, houve um aumento no escrutínio sobre o uso de sistemas de código aberto e o impacto das sanções sobre entidades envolvidas no desenvolvimento. Em outubro do ano passado, um mantenedor do núcleo do Linux removeu 11 desenvolvedores russos que estavam envolvidos no projeto de código aberto, citando amplamente as sanções como razão para a mudança. Então, em janeiro deste ano, a Fundação Linux emitiu orientações cobrindo como as sanções internacionais podem impactar o código aberto, dizendo que os desenvolvedores devem ter cautela sobre quem interagem e a natureza das interações.
A mudança na percepção do risco é acompanhada pela ameaça de ataques à cadeia de suprimentos. No ano passado, desenvolvedores corporativos e o mundo do código aberto foram abalados quando um misterioso atacante conhecido como Jia Tan instalou furtivamente uma porta dos fundos no amplamente utilizado software XZ Utils, após passar dois anos atualizando-o diligentemente sem nenhum sinal de problema. A porta dos fundos só foi descoberta por acaso.
“Anos atrás, o OSS era desenvolvido por pequenos grupos de desenvolvedores confiáveis que se conheciam”, diz Nancy Mead, uma colega do Instituto de Engenharia de Software da Carnegie Mellon. “Nesse período, ninguém esperava que um desenvolvedor confiável fosse um hacker, e o ritmo relativamente mais lento proporcionava tempo para revisão. Hoje em dia, com lançamentos automáticos, incorporação de atualizações e o amplo uso de OSS, as suposições antigas não são mais válidas.”
Scott Hissam, um membro sênior da equipe técnica também do Instituto de Engenharia de Software da Carnegie, diz que frequentemente pode haver consideração sobre quantos mantenedores e o número de organizações que trabalham em um projeto de código aberto, mas atualmente não há um “movimento em massa” para considerar outros detalhes sobre projetos de OSS. “No entanto, isso está vindo, e há várias atividades que coletam detalhes sobre projetos de OSS, que os consumidores de OSS podem usar para obter mais informações sobre os projetos de OSS e suas atividades”, diz Hissam, apontando para dois exemplos.
O Smith da Hunted Labs diz que atualmente está investigando a proveniência de outros projetos de código aberto e os riscos que podem vir com eles, incluindo a análise de países conhecidos por terem realizado ciberataques contra entidades dos EUA. Ele diz que não está encorajando as pessoas a evitar o software de código aberto, mas sim que as considerações de risco mudaram ao longo do tempo. “Estamos dizendo para você apenas tomar decisões informadas sobre riscos ao tentar usar código aberto”, diz ele. “O software de código aberto é basicamente bom até que não seja.”