O grupo de hackers do estado russo conhecido como Turla realizou algumas das façanhas de hacking mais inovadoras na história da ciberespionagem, ocultando as comunicações de seu malware em conexões via satélite ou sequestrando operações de outros hackers para encobrir sua própria extração de dados. No entanto, quando estão operando em seu próprio território, descobriu-se que tentaram uma abordagem igualmente notável, embora mais simples: eles parecem ter usado seu controle sobre os provedores de serviços de internet da Rússia para plantar spyware diretamente nos computadores de seus alvos em Moscou.
A equipe de pesquisa em segurança da Microsoft focada em ameaças de hacking publicou hoje um relatório detalhando uma nova técnica de espionagem insidiosa usada pelo Turla, que se acredita ser parte da agência de inteligência FSB do Kremlin. O grupo, que também é conhecido como Snake, Venomous Bear, ou pelo próprio nome da Microsoft, Secret Blizzard, parece ter usado seu acesso sancionado pelo estado aos ISPs russos para interferir no tráfego da internet e enganar vítimas que trabalham em embaixadas estrangeiras operando em Moscou para instalar o software malicioso do grupo em seus PCs. Esse spyware então desativou a criptografia nas máquinas desses alvos, de modo que os dados transmitidos pela internet permaneceram não criptografados, deixando suas comunicações e credenciais, como nomes de usuário e senhas, completamente vulneráveis à vigilância por esses mesmos ISPs — e qualquer agência de vigilância estatal com a qual cooperem.
Sherrod DeGrippo, diretora de estratégia de inteligência de ameaças da Microsoft, afirma que a técnica representa uma rara mistura de hacking direcionado para espionagem e a abordagem mais antiga e passiva dos governos para vigilância em massa, na qual agências de espionagem coletam e filtram os dados de ISPs e telecomunicações para vigiar alvos. “Isso desfoca a linha entre vigilância passiva e invasão real”, diz DeGrippo.
Para esse grupo específico de hackers da FSB, DeGrippo acrescenta que isso sugere uma nova arma poderosa em seu arsenal para direcionar qualquer um dentro das fronteiras da Rússia. “Isso potencialmente mostra como eles pensam sobre a infraestrutura de telecomunicações baseada na Rússia como parte de suas ferramentas”, diz ela.
De acordo com os pesquisadores da Microsoft, a técnica do Turla explora uma certa solicitação da web que os navegadores fazem quando encontram um “portal cativo”, as janelas que são mais comumente usadas para restringir o acesso à internet em ambientes como aeroportos, aviões ou cafés, mas também dentro de algumas empresas e agências governamentais. No Windows, esses portais cativos se conectam a um certo site da Microsoft para verificar se o computador do usuário está realmente online. (Não está claro se os portais cativos usados para hackear as vítimas do Turla eram de fato legítimos ou se eram impostas ao usuário como parte de sua técnica de hacking.)
Ao aproveitar seu controle sobre os ISPs que conectam certos funcionários de embaixadas estrangeiras à internet, o Turla conseguiu redirecionar alvos de modo que eles vissem uma mensagem de erro que os levava a baixar uma atualização para os certificados criptográficos de seu navegador antes que pudessem acessar a web. Quando um usuário desavisado concordava, ele acabava instalando uma peça de malware que a Microsoft chama de ApolloShadow, que está disfarçada — de maneira um tanto inexplicável — como uma atualização de segurança da Kaspersky.
Esse malware ApolloShadow então essencialmente desativaria a criptografia do navegador, retirando silenciosamente as proteções criptográficas para todos os dados da web que o computador transmite e recebe. Essa manipulação relativamente simples de certificados provavelmente foi projetada para ser mais difícil de detectar do que uma peça de spyware completa, diz DeGrippo, enquanto alcançava o mesmo resultado.
“É uma abordagem criativa: ‘E se simplesmente entrássemos no ISP pelo qual eles estão se conectando e usássemos esse controle para desligar a criptografia?'”, diz ela, descrevendo o que acredita ser o raciocínio do Turla. “Esse caminho lhes dá uma quantidade massiva de tráfego em texto claro que pode ser usado para fins de espionagem, porque está vindo de indivíduos e organizações altamente sensíveis, como embaixadas e missões diplomáticas.”
Os detalhes de como a técnica de redirecionamento baseada em ISP do Turla funciona ainda estão longe de estar claros. Mas a Microsoft escreve em seu relatório que provavelmente usa o sistema SORM do Kremlin para interceptação e vigilância de comunicações baseadas em ISP e telecomunicações, um sistema de décadas inicialmente criado pela FSB e agora amplamente utilizado na inteligência e na aplicação da lei na Rússia.
A Microsoft se recusou a comentar sobre quais embaixadas de quais países em Moscou foram alvo da campanha ou quantas delas existiram, embora DeGrippo observe que a Microsoft alertou as vítimas que identificou. O uso de software da Kaspersky pelo Turla como uma cobertura para sua técnica de instalação de malware sugere que a embaixada dos EUA pode não ter sido um alvo, dado que o software da Kaspersky é banido nos sistemas do governo dos EUA. A Microsoft se recusou a comentar se a embaixada dos EUA foi alvo.
A Microsoft não disse como conseguiu vincular a campanha de hacking especificamente ao Turla — uma abordagem típica da equipe de segurança da empresa, que muitas vezes se recusa a divulgar suas fontes e métodos para evitar ajudar hackers a escapar da detecção. “Este é um ator de ameaça que estamos observando de perto há muito tempo”, diz DeGrippo.
O Turla tem uma reputação de décadas por inovar métodos de hacking, desde worms baseados em USB projetados para penetrar sistemas isolados até aproveitar botnets de cibercriminosos — e ApolloShadow provavelmente não é a primeira vez que o grupo sequestrou ISPs para plantar malware. A empresa de cibersegurança eslovaca ESET apontou o que pode ter sido uma técnica semelhante usada para infectar vítimas com instaladores de Flash falsos. A mesma empresa também documentou o que acreditava ser um truque semelhante que provavelmente foi usado pelos hackers da KGB da Bielorrússia, e como o spyware comercial FinFisher provavelmente foi instalado nos dispositivos dos alvos usando esse mesmo acesso baseado em ISP. Mas a campanha mais recente do Turla representaria a primeira vez que a infecção baseada em ISP foi usada para desativar a criptografia em computadores alvo, uma forma de espionagem potencialmente mais furtiva.
DeGrippo da Microsoft observa que a técnica do Turla é eficaz em parte porque não aproveita nenhuma vulnerabilidade de software específica, portanto não pode ser corrigida. “Não aproveita nenhuma vulnerabilidade zero-day ou outra”, diz DeGrippo. “É sobre entrar na infraestrutura da rede que seu alvo está usando e controlar as coisas a partir daí.”
Dito isso, há defesas que a Microsoft recomenda para possíveis vítimas da técnica de espionagem baseada em ISP do Turla: usar uma VPN, por exemplo, para proteger seu tráfego de internet de seu provedor de serviços de internet, ou até mesmo uma conexão via satélite para contornar um ISP não confiável. A autenticação multifatorial, também, pode limitar o acesso dos hackers mesmo quando eles conseguiram roubar o nome de usuário e a senha de uma vítima.
DeGrippo argumenta que o uso da técnica pelo Turla para espionagem interna na Rússia deve servir como um aviso para qualquer um que viaje, viva ou trabalhe em um país que tenha infraestrutura de comunicações não confiável. Hacking semelhante em nível de ISP, ela observa, poderia facilmente ser adotado por outros grupos de ciberespionagem em todo o mundo e usado em qualquer lugar onde a infraestrutura nacional de internet e telecomunicações possa ser potencialmente manipulada pelas agências de inteligência desse país.
“Se você é um alvo de interesse viajando ou trabalhando em países que têm esses ISPs alinhados com o estado que talvez tenham poderes de vigilância ou capacidades de interceptação legal”, diz DeGrippo, “você precisa se preocupar com isso.”