Rússia está perdendo guerra contra hackers

A Rússia é conhecida pelo seu exército de hackers, mas desde o início da invasão à Ucrânia, dezenas de organizações russas – incluindo agências governamentais, empresas de petróleo e gás, e instituições financeiras – foram hackeadas, com terabytes de dados roubados sendo vazados na internet.

O Distributed Denial of Secrets, ou Negação Distribuída de Segredos, um coletivo de transparência conhecido por ter liberado 270 gigabytes de informações policiais dos EUA em 2020 (em meio aos protestos por justiça racial após o assassinato de George Floyd), tornou-se, na prática, o lar dos conjuntos de dados russos que foram hackeados. Os conjuntos de dados são submetidos ao DDoSecrets principalmente por hackers anônimos, e depois são disponibilizados ao público no site do coletivo e distribuídos usando BitTorrent (eu sou um conselheiro do DDoSecrets).

“A inundação de dados russos significou muitas noites sem dormir, e é realmente algo imenso”, disse ao Intercept Emma Best, co-fundadora do DDoSecrets, através de um aplicativo de mensagens criptografadas. “Eu seus primeiros 10 anos, o WikiLeaks disse ter publicado 10 milhões de documentos. Em menos de dois meses desde que a invasão começou, já publicamos 6 milhões de documentos russos – e a sensação é que foi tudo isso mesmo”.

Depois de receber um conjunto de dados, o DDoSecrets os organiza e compacta; depois, começa a distribuir os dados usando o BitTorrent para consumo público, divulga-os e ajuda jornalistas de diversos veículos a acessar e noticiar sobre eles. O DDoSecrets publicou cerca de 30 conjuntos de dados hackeados da Rússia desde que a invasão da Ucrânia começou no final de fevereiro.

A grande maioria das fontes que forneceram os dados russos hackeados parecem ser indivíduos anônimos, muitos dos quais identificam a si próprios como parte do movimento hacktivista Anonymous. Algumas fontes fornecem endereços de e-mail ou outras informações de contato como parte dos dados liberados, e alguns, como o Network Battalion 65, têm sua própria presença nas redes sociais.

“JSC Bank PSCB, você agora é controlado pelo Network Battalion 65. Estamos muito gratos por você armazenar tantas credenciais no Chrome. Bom trabalho.

É óbvio que sua resposta ao incidente já começou. Boa sorte na recuperação dos dados sem contar conosco. Diga ao seu governo para dar o fora da #Ucrânia”

Via @xxNB65 em 17 de abril de 2022

JSC Bank PSCB, you are now controlled by Network Battalion 65. We're very thankful that you store so many credentials in Chrome. Well done.

It's obvious that incident response has started. Good luck getting your data back without us.
Tell your government to GTFO of #Ukraine pic.twitter.com/1HYikMU99N

— NB65 (@xxNB65) April 18, 2022

Ainda assim, com tantos conjuntos de dados enviados por hackers anônimos, é impossível ter certeza sobre suas motivações ou se eles são mesmo hacktivistas de verdade. Por exemplo, em 2016 hackers comprometeram a rede do Comitê Nacional do Partido Democrata dos EUA e vazaram para o WikiLeaks uma série de e-mails roubados em uma tentativa de prejudicar a campanha presidencial de Hillary Clinton. Guccifer 2.0, como se identificava o hacker responsável, alegou ser um agente solitário, mas depois foi exposto como uma invenção do GRU, a agência de inteligência militar da Rússia. Por essa razão, os conjuntos de dados russos recentemente publicados pelo DDoSecrets incluem uma isenção de responsabilidade: “este conjunto de dados foi divulgado nos preparativos, no meio ou no rescaldo de uma guerra cibernética ou guerra híbrida. Portanto, há uma chance maior de malware, motivações posteriores e dados alterados ou implantados, bem como bandeiras falsas/personalidades falsas. Como resultado, encorajamos os leitores, pesquisadores e jornalistas a tomarem mais cuidado que o normal com os dados”.

Ações hackers começaram em fevereiro

Em 26 de fevereiro, dois dias após o início da invasão russa, o DDoSecrets publicou 200 gigabytes de e-mails do Tetraedr, um fabricante de armas de Belarus, enviados pelo hacktivista identificado como Anonymous Liberlad e o Pwn-Bär Hack Team. Belarus é um aliado próximo da Rússia na guerra contra a Ucrânia. Uma mensagem publicada com o conjunto de dados anunciou “#OpCyberBullyPutin”.

“Os conteúdos desse vazamento parecem ser legítimos. E-mails das caixas de entrada dos funcionários da fabricante de armas belarussa Tetraedr. Viram imagens de testes de mísseis, esquemas em PDF para sistemas de armas e folhetos detalhados para veículos blindados.”

Via @MikaelThalen

• “Agora: Anonymous Liberland & e o Pwn-Bär Hack Team vazaram para o coletivo de jornalismo DDoSecrets mais de 200GB de e-mails do fabricante de armas belarusso Tetraedr.”

The contents of this leak do appear to be legitimate.

Emails from the inboxes of employees at the Belarusian weapons manufacturer Tetraedr.

Have seen missile testing footage, PDF schematics for weapons systems, and detailed brochures for armored vehicles. https://t.co/wGTa9ilFyE

— Mikael Thalen (@MikaelThalen) February 26, 2022

Em 25 de fevereiro, a famosa gangue russa de ransomware conhecida como Conti manifestou publicamente seu apoio à guerra da Rússia, e dois dias depois, em 27 de fevereiro, um pesquisador de segurança ucraniano que havia hackeado a infraestrutura interna do Conti vazou dois anos de registros de conversas de texto internas do Conti, juntamente com documentação de treinamento, ferramentas para ações hacker e código-fonte dos hackers criminosos. “Não posso atirar em nada, mas posso lutar com um teclado e um mouse”,  disse o pesquisador anônimo à CNN em 30 de março, antes de fugir da Ucrânia em segurança.

No início de março, o DDoSecrets publicou 817 gigabytes de dados hackeados da Roskomnadzor, a agência federal russa responsável por monitorar, controlar e censurar os meios de comunicação de massa do país. Esses dados vieram especificamente da filial regional da agência na República do Bascortostão, uma das subdivisões que compõem a Rússia. O Intercept tornou esse conjunto de dados pesquisável e compartilhou o acesso com jornalistas independentes russos do Meduza, que relataram que a Roskomnadzor vinha monitorando a internet para fiscalizar o “antimilitarismo” desde 2020, pelo menos. No início de março, a Roskomnadzor começou a censurar o acesso ao Meduza dentro da Rússia “devido à disseminação sistemática de falsificações sobre a operação especial na Ucrânia”, disse um porta-voz da agência ao site de notícias russo RIA Novosti.

As invasões hackers continuaram. Em meados de março, o DDoSecrets publicou 79 gigabytes de e-mails da Omega Co., braço de pesquisa e desenvolvimento da maior empresa de oleodutos do mundo, a Transneft, que é controlada pelo Estado na Rússia. Na segunda quinzena de março, o hacktivismo contra a Rússia começou a esquentar. O DDoSecrets publicou outros cinco conjuntos de dados:

• 5,9 gigabytes de e-mails da Thozis Corp., uma firma de investimentos russas de propriedade do bilionário Zakhar Smushkin.
• 110 gigabytes de e-mails da MashOil, uma empresa russa que desenha e fabrica equipamento para as indústrias de perfuração, mineração e fracking.
• 22,5 gigabytes de dados supostamente pertencentes ao banco central da Rússia. A fonte para esses dados é identificada como The Black Rabbit World no Twitter.
• 2,5 gigabytes de e-mails do RostProekt, uma empresa de construção russa. A fonte para esses dados é identificada como @DepaixPorteur no Twitter.
• 15,3 gigabytes de dados da Rosatom State Nuclear Energy Corp., a empresa estatal russa especializada em energia nuclear responsável por 20% da produção doméstica de eletricidade do país. Também é uma das maiores exportadoras do mundo de produtos de tecnologia nuclear. A fonte para esses dados incluiu um endereço de e-mail hospedado no provedor gratuito de e-mail criptografado ProtonMail.

No último dia de março, o coletivo de transparência também publicou 51,9 gigabytes de e-mails do Marathon Group, uma empresa de investimentos de propriedade do sancionado oligarca russo Alexander Vinokurov.

Abril é cruel para a Igreja Ortodoxa

No primeiro dia de abril, o DDoSecrets publicou 15 gigabytes de e-mails do braço de caridade da Igreja Ortodoxa Russa. Como os e-mails podem incluir informações sensíveis e privadas de indivíduos, o DDoSecrets não está distribuindo esses dados para o público. Ao invés disso, jornalistas e pesquisadores podem contatar o DDoSecrets para solicitar uma cópia deles.

Em 3 de abril, o DDoSecrets publicou 483 gigabytes de e-mails e documentos da Moskspertiza, uma empresa estatal que fornece serviços especializados para a comunidade empresarial na Rússia. Em 4 de abril, a DDoSecrets publicou 786 gigabytes de documentos e e-mails da All-Russia State Television and Radio Broadcastiong Co., referida com a sigla VGTRK. A VGTRK é a emissora estatal russa, e opera dezenas de estações de televisão e rádio em todo o país, incluindo estações regionais, nacionais e internacionais em vários idiomas. Ex-funcionários da VGTRK disseram à publicação digital Colta.ru que o Kremlin frequentemente ditava como as notícias deveriam ser abordadas. O Network Battalion 65 é a fonte tanto para os dados hackeados do VGTRK quanto para os da Mosekspertiza.

“A All-Russian State Television and Radio Broadcasting Company (VGTRK), braço de propaganda da Federação Russa, pode ir se foder. @Telecomix vai se divertir com isso. #datalove @YourAnonNews @ITarmyUA Glória para a Ucrânia! A liberação completa dos dados estará pronta em breve.”

Via @xxNB65

The All-Russian State Television and Radio Broadcasting Company (VGTRK), propaganda branch of the Russian Federation can fuck themselves. @Telecomix is going to have some fun parsing through this. #datalove @YourAnonNews @ITarmyUA Glory to Ukraine! Full dump will be ready soon. pic.twitter.com/3foAOAYBDv

— NB65 (@xxNB65) March 25, 2022

O setor jurídico da Rússia também foi invadido. Em 8 de abril, a DDoSecrets publicou 65 gigabytes de e-mails do escritório de advocacia Capital Legal Services. Um hacker identificado como wh1t3sh4d0w enviou os dados ao coletivo de transparência.

Nos dias seguintes, o DDoSecrets publicou mais três conjuntos de dados:

• 244 gigabytes de e-mails do Petrovsky Fort, um complexo de escritórios em São Petersburgo.
• 154 gigabytes de e-mails da Aerogas, uma empresa de engenharia que trabalha com as indústrias de petróleo e gás.
• 35,7 gigabytes de e-mails de uma empresa madeireira e de fabricação em madeira chamada Forest.

Em 11 de abril, a DDoSecrets publicou outros três conjuntos de dados:

• 446 gigabytes de e-mails do Ministério da Cultura da Rússia, responsável pelas políticas estatais em relação à arte, filmes, direitos autorais, patrimônio cultural e, em alguns casos, pela censura.
• 150 gigabytes de e-mails do governo municipal de Blagoveshchesk, na mesma região da Rússia de onde o conjunto de dados do Roskomnadzor foi hackeado.
• 116 gigabytes de e-mails do escritório do governador de Tver Oblast, uma região russa a noroeste de Moscou.

Na metade de abril, a DDoSecrets publicou vários conjuntos de dados das indústrias de petróleo e gás:

• 440 gigabytes de e-mails da Technotec, um grupo de empresas que desenvolve reagentes químicos e fornece serviços para companhias de petróleo e gás.
• 728 gigabytes de e-mails da Gazprom Linde Engineering, uma firma que projeta instalações de processamento de gás e petroquímica e refinarias de petróleo. Essa empresa era uma joint venture entre a empresa estatal russa de gás Gazprom – a maior corporação da Rússia – e a empresa alemã Linde. No final de março, em resposta às sanções econômicas contra a Rússia, a Linde anunciou que estava suspendendo seus empreendimentos comerciais russos.
• 222 gigabytes de dados da Gazregion, uma empreiteira de construção que se especializa em gasodutos e instalações de gás. Três fontes diferentes – Network Battalion 65, @DepaixPorteur, e outro hacker anônimo – invadiram essa empresa aproximadamente ao mesmo tempo e enviaram os dados ao DDoSecrets, que publicou os três conjuntos de dados sobrepostos para “fornecer uma visão o mais completa possível, e para proporcionar uma oportunidade de comparação e verificação cruzada”.

Em 16 de abril, a DDoSecrets publicou mais dois conjuntos de dados:

• 221 gigabytes de e-mails do departamento de educação da cidade russa de Strezhevoy.
• 399 gigabytes de dados da Continental Express, uma agência de viagens russa. Esses dados foram hackeados pelo Network Battalion 65.

No final de abril, a DDoSecrets published os seguintes conjuntos de dados:

• 107 gigabytes de e-mails da Neocom Geoservice, uma empresa de engenharia focada em petróleo, gás e perfuração.
• 1,2 gigabytes de dados da empresa belarussa Synesis, que desenvolve sistemas de vigilância.
• 9,5 gigabytes de e-mails do Departamento Geral de Tropas e Construção Civil, uma empresa de construção mantida pelo Ministério de Defesa russo. Esses dados foram hackeados por @DepaixPorteur.
• 160 gigabytes de e-mails da Tendertech, uma empresa que processa documentos financeiros e bancários em nome de outras empresas.
• 130 gigabytes de-emails da Worldwide Invest, uma empresa de investimentos russa.
• 432 gigabytes de e-mails da empresa russa de administração de propriedades Sawatzky. Seus clientes incluem grandes marcas como Google, Microsoft, Samsung, e Johnson & Johnson.
• 221 gigabytes de e-mails da Accent Capital, uma firma de investimentos em imóveis comerciais.

Ainda em 22 de abril, a DDoSecrets publicou 342 gigabytes de e-mails da Enerpred, a maior produtora de ferramentas hidráulicas da Rússia que trabalha com as indústrias de energia, petroquímica, carvão, gás e construção civil.

Pesquisando os dados hackeados

Apesar da enorme escala desses vazamentos de dados russos, poucos jornalistas escreveram sobre eles até agora. Desde o início da guerra, a Rússia reprimiu severamente sua mídia doméstica, introduzindo penas de anos de prisão para jornalistas que usam as palavras erradas quando descrevem a guerra na Ucrânia – como chamá-la de “guerra” ao invés de “operação militar especial”. A Rússia também intensificou seus esforços de censura, bloqueando Twitter e Facebook e censurando o acesso a sites de notícias internacionais, deixando o público russo em grande parte às escuras quando se trata de opiniões que não são sancionadas pelo Estado.

Uma das barreiras para organizações de notícias de fora da Rússia é a língua: os dados hackeados estão principalmente em russo. Além disso, os conjuntos de dados hackeados sempre vêm com consideráveis desafios técnicos. O Intercept, que foi fundado em parte para noticiar sobre o arquivo de documentos da Agência Nacional de Segurança dos EUA vazados por Edward Snowden, tem usado seus recursos técnicos para construir ferramentas para tornar esses conjuntos de dados russos pesquisáveis, e depois compartilhar essas ferramentas com outros jornalistas. Repórteres de língua russa do Meduza – que é obrigado a operar na Letônia para evitar os avanços do Kremlin – já publicaram uma matéria baseada em um dos conjuntos de dados indexados pelo Intercept.

“Vai levar ANOS para que jornalistas, pesquisadores e o público em geral vejam todos os dados russos que estão sendo vazados em resposta à invasão à Ucrânia.”

Via @NatSecGeek

It's going to take YEARS for journalists, researchers and the general public to go through all the Russian data that's being leaked in response to the invasion of Ukraine

— Emma Best @[email protected] 🏳️‍🌈🏴 (@NatSecGeek) March 25, 2022

Tradução: Maíra Santos