Nos últimos meses, a Wikileaks esteve empenhada no Vault 7, trabalho que levou ao vazamento de milhares de documentos que revelaram o enorme poder de espionagem dos serviços de inteligência dos Estados Unidos. A organização agora está focada no Vault 8: uma das primeiras denúncias oriundas desse vazamento aponta que a CIA se passou pela Kaspersky para encobrir uma poderosa ferramenta de ataque.
Identificada como Hive, a tal ferramenta permitia que a CIA transmitisse aos seus servidores informações confidenciais capturadas por malwares, assim como enviasse outros tipos de ordens a eles. Tudo era feito de um modo que impedia a agência de ser descoberta, mesmo que as “vítimas” constatassem alguma atividade anormal.
Graças a essa tática, a agência conseguia conduzir ataques e invasões sem chamar atenção, de acordo com a Wikileaks. O teor dos documentos revela que, para não deixar rastros, vários truques eram usados. Um deles consistia em registrar domínios de maneira anônima e ativá-los em servidores web comerciais.
Quando acessados, esses domínios aparentavam ter apenas conteúdo inofensivo, mas, na verdade, serviam como intermediários na comunicação dos malwares, enviando informações capturadas aos servidores da CIA por meio de VPNs. Dessa forma, era praticamente impossível descobrir qual era o destino final dos dados.
Um visitante inocente que por acaso entrasse no domínio visualizava o conteúdo sem necessidade de autenticação — os servidores continham um método de autenticação opcional. Os malwares, sim, se autenticavam. Para tanto, a CIA usava certificados falsos criados em nomes de outras entidades, segundo a Wikileaks.
O Vault 8 inclui três exemplos que envolvem certificados falsos em nome da Kaspersky Laboratory, de Moscou, assinados pelo serviço Thawte Premium Server, da Cidade do Cabo. Assim, se uma organização alvo de espionagem notasse tráfego anormal e o rastreasse até ali, poderia atribuir a captura de dados a empresas ou instituições cujos nomes foram usados indevidamente, sem nem ao menos cogitar que a CIA podia estar por trás da ação.
Não está claro, porém, por quanto tempo o esquema teria funcionado. Mas o código-fonte divulgado pela Wikileaks sugere que o Hive era mesmo um sistema funcional e , portanto, pode ter sido usado em numerosas operações de espionagem.
Mas o detalhe que mais chama atenção é mesmo a associação do Hive com o nome da Kaspersky. O assunto veio à tona em um momento de conflito: autoridades dos Estados Unidos colocam a companhia como suspeita em um suposto esquema de espionagem conduzido pelo governo russo. Porém, até agora, não há provas contra a Kaspersky. A própria empresa chegou a declarar que “está presa no meio de uma luta geopolítica”.
We’ve investigated the Vault 8 report and confirm the certificates in our name are fake. Our customers, private keys and services are safe and unaffected
— Eugene Kaspersky (@e_kaspersky) November 9, 2017
Com relação ao Vault 8, Eugene Kaspersky, CEO da companhia, declarou via Twitter que os certificados usados no nome da Kaspersky são mesmo falsos e ressaltou que os clientes e serviços da empresa permanecem seguros.
Com informações: Motherboard, SecurityWeek