Shadowboxing e geopolítica na dark web
A derrubada de um mercado da darknet russo expôs rachaduras no submundo do crime cibernético – e o esforço global para fechar esses mercados negros digitais.
Internamente, as agências federais ainda precisam definir uma estratégia coesa para combater a atividade cibercriminosa na dark web, porque os métodos tradicionais de “seguir o dinheiro” são cada vez mais difíceis em um mundo dominado pelas criptomoedas.
Quando a Rússia invadiu a Ucrânia em fevereiro, um notório grupo cibercriminoso chamado Conti declarou seu “total apoio” ao presidente Vladimir Putin . Três dias depois, um membro pró-Ucrânia de Conti vazou registros detalhando os planos do grupo para seguir com a ação, dizendo que os líderes de Conti haviam “perdido tudo”.
Os logs revelaram uma nova dimensão surpreendente para a evolução de um dos maiores coletivos cibercriminosos do mundo: esses grupos estavam se fragmentando em linhas geopolíticas – agendas nacionalistas estavam se infiltrando em uma operação de cibercrime que, até agora, era impiedosamente voltada para o lucro.
E isso está tornando o mundo sombrio dos chamados mercados da darknet – onde criminosos negociam ferramentas de hacking de computador, dados roubados, narcóticos e serviços de lavagem de dinheiro – ainda mais perigoso e difícil de controlar. esses mercados e usando o malware que comercializam nessas plataformas para perseguir sistemas de computação mais sensíveis conectados a infraestrutura crítica e serviços governamentais dos países que consideram inimigos.
“Você tem uma espécie de operação cibernética ideológica ocorrendo entre o que eu chamaria de participantes voluntários”, disse Adam Meyers, vice-presidente sênior de inteligência da empresa de tecnologia de segurança cibernética CrowdStrike. “Estamos vendo a proliferação de operações cibernéticas ofensivas para mais e mais estados-nação.”
Em setembro, pesquisadores do Google e da IBM observaram a mesma dinâmica . As ferramentas de hacking de Conti estavam sendo usadas em ataques cibernéticos contra a Ucrânia, no que os pesquisadores chamaram de “uma confusão de linhas sem precedentes”.
Na dark web, esse novo ambiente surgiu, em parte, devido ao sucesso da aplicação da lei: em abril, as autoridades alemãs fecharam a Hydra – na época, o maior e mais antigo mercado da darknet do mundo e um dos lugares onde Conti comprou e vendeu dados e ferramentas de hacking, de acordo com os registros.
Grupos como o Conti sempre foram relativamente independentes de plataforma, dispostos a dar o salto para a próxima grande plataforma e continuar com seus negócios. Quando o FBI fechou o Silk Road, o primeiro mercado darknet moderno do mundo, em outubro de 2013, abriu caminho para o AlphaBay, um mercado darknet que cresceu e se tornou 10 vezes maior que seu antecessor.
Mas quando a Hydra desapareceu, seus ex-administradores rapidamente preencheram o vazio com vários novos e menores mercados e fóruns da darknet , preparando o terreno para o que András Tóth-Czifra, analista sênior da empresa de inteligência de ameaças cibernéticas Flashpoint, chama de “guerra do marketplaces” na darknet em língua russa.
E esses mercados não estão apenas em conflito com a lei, eles estão em conflito ideológico entre si, divididos em linhas pró-Kremlin e pró-Ucrânia .
Washington está preocupado com esses grupos, mas também lutando para encontrar soluções.
O deputado Jim Himes (D-Conn.), que preside o subcomitê da Câmara sobre segurança nacional, desenvolvimento internacional e política monetária, disse que os criminosos que fazem uso de darknets são particularmente perigosos porque precisam de relativamente poucos recursos para hackear e comprometer a computação massiva sistemas nos EUA
“É a ameaça assimétrica definitiva”, disse Himes.
E a regulamentação é especialmente difícil quando estamos falando sobre o mundo tecnologicamente complexo da dark web, diz ele.
“Todo mundo entende de pontes, certo? Ninguém entende o Monero”, disse Himes, referindo-se à criptomoeda difícil de rastrear que está se tornando o padrão para os mercados da darknet.
E as agências policiais e de aplicação da lei também estão tentando recuperar o atraso, operando com desvantagens tecnológicas e diplomáticas significativas que dificultam os esforços para eliminar vastas e descentralizadas operações cibercriminosas.
Ao mesmo tempo, os cibercriminosos nessas plataformas estão constantemente melhorando sua segurança operacional. Muitos mercados mais novos exigiram o uso do Monero e usam cada vez mais ferramentas de comunicação criptografadas.
A geopolítica do cibercrime
O vazamento de Conti foi apenas o primeiro impasse político entre essas gangues em novos mercados após a queda de Hydra.
Em agosto, o grupo hacktivista pró-Kremlin, Killnet, atacou um fórum de discussão da darknet pró-Ucrânia chamado RuTor, alegando que era administrado por agentes do Serviço Secreto ucraniano.
MAIS LIDOS
Tóth-Czifra, do Flashpoint, disse que esse é o tipo de ação que, até agora, foi praticamente proibida no submundo do crime cibernético – atacar um ator da darknet afiliado a um ex-país soviético. Alphabay, por exemplo, tem diretrizes dizendo que a plataforma proíbe qualquer atividade dirigida contra a Rússia, Bielorrússia, Cazaquistão, Armênia ou Quirguistão.
Isso ocorre em parte porque sempre houve uma dimensão um tanto política para manter os mercados da darknet funcionando, e isso geralmente envolve ser gentil com os governos que serão negligentes com a fiscalização.
“O que a Rússia e alguns outros países fazem é olhar para o outro lado”, disse Himes, descrevendo gangues como Conti como “atores quase estatais” que os governos permitem operar porque seus ataques a países rivais cumprem os objetivos políticos desses governos.
Antes de a Rússia invadir a Ucrânia, houve pelo menos algumas aberturas entre os EUA e a Rússia para combater o cibercrime transnacional. Em julho de 2021, o presidente Joe Biden fez um telefonema com Putin para tentar convencê-lo a reprimir os coletivos de hackers baseados na Rússia. Embora Biden tenha ameaçado tomar “qualquer ação necessária” para proteger a infraestrutura crítica dos EUA, ele também disse que os dois países estabeleceram linhas de comunicação sobre o assunto.
Mas a última vez que agentes russos cooperaram nominalmente com seus colegas americanos em uma operação de aplicação da lei na darknet foi em abril – 10 dias após a apreensão da Hydra e menos de dois meses após a invasão da Ucrânia. As autoridades russas prenderam Dmitry Pavlov sob a acusação de tráfico de drogas em grande escala. Pavlov admitiu fornecer servidores para aluguel como intermediário, mas negou envolvimento direto na administração do site.
Ao mesmo tempo, as gangues criminosas que usam esses mercados estão ficando mais ousadas, usando as ferramentas de hacking que compram nas plataformas para ataques cibernéticos contra alvos maiores que podem atrapalhar os governos.
Em 2017, Meyers, da CrowdStrike, viu o surgimento de “o que chamamos de caça ao grande jogo ou ransomware corporativo” – referindo-se às ferramentas que os hackers usam para bloquear o acesso a um sistema de computador até que recebam um pagamento. Esses criminosos cibernéticos descobriram que obteriam melhor conformidade com suas exigências de resgate se o custo de ficar offline, mesmo que por algumas horas, fosse alto ou se os dados comprometidos fossem particularmente confidenciais. “Esse é realmente o ponto ideal que eles estão procurando”, disse Meyers.
Tóth-Czifra, da Flashbpoint, disse que esses ataques de alto perfil significam que eles também estão menos preocupados com os governos que os perseguem.
“Pensamos que eles não visariam infraestrutura crítica ou sistemas industriais por medo de retaliação. E então aconteceu o Colonial Pipeline ”, disse ele, referindo-se ao ataque cibernético de maio de 2021 por um grupo do Leste Europeu chamado DarkSide em um importante oleoduto da Costa Leste que forçou a empresa a interromper as operações por seis dias. DarkSide disse que o ataque não foi político.
O problema com a regulamentação e a aplicação
No dia em que a Hydra caiu, a secretária do Tesouro, Janet Yellen, emitiu um aviso ameaçador aos usuários da plataforma. “Você não pode se esconder na darknet ou em seus fóruns, e não pode se esconder na Rússia ou em qualquer outro lugar do mundo”, disse Yellen. “Em coordenação com aliados e parceiros, como Alemanha e Estônia, continuaremos a interromper essas redes.”
No entanto, a maior parte da base de usuários cibercriminosos da Hydra – fornecedores, compradores e administradores – até agora escapou da acusação.
Os críticos dizem que isso ocorre porque a aplicação da lei tem demorado para se adaptar e a coordenação entre as agências e entre os governos tem sido, na melhor das hipóteses, dispersa .
Internamente, as agências federais ainda precisam definir uma estratégia coesa para combater a atividade cibercriminosa na dark web – mesmo para drogas ilícitas, uma das áreas em que a aplicação da lei concentrou esforços intensos.
Isso porque os métodos tradicionais de “seguir o dinheiro” são cada vez mais difíceis em um mundo dominado pelas criptomoedas.
A ex-agente da DEA, Elizabeth Bisbee, tem pressionado desde 2015 para que a polícia federal aprenda a monitorar transações de criptomoedas – um dos principais métodos de pagamento nesses mercados – em investigações de drogas.
Bisbee, que agora chefia as investigações dos EUA na empresa privada de análise de blockchain Chainalysis, disse que a defesa interna por mais apoio cibernético nas investigações da DEA durante seu mandato na agência foi “recebida com hesitação”.
Em um ambiente tradicional de aplicação da lei, conceitos como pagamentos digitais e criptomoedas ainda não são familiares, disse ela. Bisbee relembrou as declarações que ouvia frequentemente de agentes da lei que lutavam para se adaptar: “Conseguimos números de telefone, fazemos vigilância nas ruas. Como assim, agora temos que fazer vigilância em um computador? Afinal, o que isso quer dizer?”
Às vezes, os investigadores se apoiam em técnicas tradicionais, como a análise de registros de chamadas telefônicas de fornecedores individuais do mercado da darknet quando tentam sacar seus ganhos com criptomoedas .
Mas isso tem suas desvantagens. Leva muitas horas para rastrear um único fornecedor usando técnicas investigativas tradicionais. A Hydra tinha mais de 19.000 fornecedores ativos quando seus servidores foram apreendidos.
Devido aos desafios tecnológicos e à natureza interjurisdicional dessas investigações, pode levar anos para coordenar uma operação multinacional de aplicação da lei para derrubar uma operação cibercriminosa na darknet. A Hydra funcionou sem restrições por sete anos antes de seus servidores serem apreendidos.
Houve avanços nos últimos anos. Nos EUA, a DEA criou uma série de iniciativas para combater o tráfico de drogas on-line, incluindo uma equipe conjunta de aplicação da Darknet para criminosos opiáceos formada em 2018 . Naquele mesmo ano, o DOJ liderou uma equipe de várias agências que derrubou um enorme mercado da darknet onde a pornografia infantil era vendida. E na frente internacional, os Estados Unidos assinaram um protocolo internacional de cooperação policial para combater o cibercrime em maio, após quase quatro anos de negociações entre o DOJ e o Departamento de Estado.
Mas a rede global de criminosos cibernéticos também aumentou seu jogo.
Além do uso de criptomoedas como Monero e criptografia mais forte, os novos mercados da darknet estão se voltando para “misturadores” de criptomoedas integrados que aumentam o anonimato do usuário, ocultando as origens dos pagamentos.
E a falta de regulamentação continua a ajudar o comércio no mercado da darknet. Os regulamentos sobre criptomoeda variam muito em todo o mundo, o que significa que os mercados podem mudar para um novo país sempre que alguém reprimir . E a reação contra a sanção de agosto de 2022 de um desses misturadores – Tornado Cash – destacou como é difícil regular as tecnologias que suportam o anonimato do usuário.
Enquanto os reguladores federais descobrem como regular o blockchain, Monero anunciou atualizações de criptografia em agosto para melhorar o anonimato do usuário.
Ajustando-se a uma paisagem alterada
Portanto, esta nova geração de mercados da darknet está se espalhando por empresas cibercriminosas com motivações obscuras e nacionalistas que aprenderam com os erros de segurança operacional de seus predecessores.
E eles estão ficando cada vez mais ativos. Somente no primeiro semestre de 2022, mais de 236 milhões de ataques de ransomware foram relatados em todo o mundo.
“Você precisa entender que é um alvo, seja de um grupo cibercriminoso organizado, de ransomware ou de um estado-nação tentando roubar sua propriedade intelectual”, disse Keith Mularski, ex-investigador cibernético do FBI.
E à medida que as motivações desses grupos mudam, as abordagens para reprimi-los provavelmente também mudarão.
No final das contas, a chave para lidar com essas ameaças cibernéticas sombrias, disse Mularski, é entender a “pessoa no final do teclado”.
Fonte: https://www.politico.com/