O Ataque à TV5Monde: quatro horas que mudaram o mundo

Na quarta-feira, dia 8 de abril de 2015 na França, a natureza dos ataques contra infraestruturas críticas mudou para sempre.

Das 10 horas daquela noite até a 1 hora da madrugada, horário local, a TV5Monde, uma das maiores redes de televisão da França, foi totalmente tirada do ar por um ataque cibernético. O alcance do ataque foi sem precedentes. Os agressores foram capazes de:

  • Interromper completamente a transmissão de todos os 11 canais da TV5Monde.
  • Desligar totalmente a rede interna da TV5Monde.
  • Assumir o controle do site e das contas de rede social da TV5Monde.
  • Substituir o conteúdo do site com declarações pró-ISIS.
  • Postar informações nas contas de rede social como sendo de nomes e informações pessoais de parentes de soldados franceses envolvidos em operações contra a ISIS (Estado Islâmico do Iraque e Siria).

Qualquer uma dessas ações isoladamente se qualificaria como um grande incidente de segurança cibernética. Todas essas ações ocorrendo como parte de um ataque sincronizado colocam esse incidente em uma categoria totalmente nova, levando os ataques contra infraestruturas críticas para um outro nível.

Esse fato assustador é reforçado pelo fato de não parecer ter sido o trabalho de agentes patrocinados pelo estado. Esse incidente provavelmente pode ser atribuído a agentes não estatais com objetivos geopolíticos ou terroristas (semelhante ao que descrevemos no nosso recente relatório sobre a Operação Arid Viper).

Apesar dos detalhes completos ainda serem incertos, ataques anteriores, como o Arid Viper e Sony (outras entidades de comunicações que sofreram um destino semelhante) demonstram que o phishing e o spear-phishing são os mais prováveis culpados. Essa opinião é apoiada por nossas descobertas em uma recente pesquisa sobre ataques a infraestruturas críticas nas Américas realizada juntamente com a Organização dos Estados Americanos (OEA). A pesquisa revelou que o phishing é o método de ataque número um contra infraestruturas críticas, com 71 por cento dos entrevistados dizendo terem sofrido tais ataques.

O que é mais significativo sobre esse evento é o fato de ter sido um ataque cibernético contra infraestrutura crítica que impactou e afetou pessoas normais. Resumindo: esse foi o primeiro ataque a uma infraestrutura crítica com um desempenho igual aos que você vê em filmes de suspense ou de catástrofes.

A TV5Monde conseguiu recuperar o controle de sua rede e de suas operações por volta das 2 horas da manhã, cerca de quatro horas depois do ataque ter começado. Até o momento desse texto ser escrito, eles tinham conseguido manter o controle por mais de 24 horas. Neste momento, o ataque parece ter terminado.

Mas as ramificações estão só agora começando a surgir, conforme compreendemos o que aconteceu e o que significa.

Primeiro, isso demonstra que não são só os grandes estados com tremendos recursos que podem executar ataques devastadores. Técnicas sofisticadas estão começando a ser usadas por ativistas não estatais e também por criminosos cibernéticos. Já sabíamos disso há algum tempo, mas isso mostra quão verdadeiro (e danoso) isso pode ser.

Segundo, esse ataque mostra que ataques a infraestruturas críticas impactando a população em geral não é mais coisa de ficção ou cenários dos piores casos de profissionais de segurança – eles agora são uma realidade e estão em ação.

Finalmente, ele destaca que todos precisam levar os ataques direcionados a sério e tomar as medidas apropriadas para combatê-los. O uso de proteções baseadas na rede para detectar brechas e proteger contra intrusões, tais como o Deep Discovery da Trend Micro é uma crescente necessidade, não um luxo.

Felizmente, até onde sabemos, não houve um dano significativo, lesões ou perda de vidas causadas por esse ataque. Mas agora as chances disso acontecer devido a um ataque cibernético são muito mais reais.  O ataque à TV5Monde deve servir como um “alerta” para obrigar as pessoas a entender que as ameaças contra as infraestruturas críticas não são uma fantasia. É preciso haver um esforço conjunto entre legisladores e líderes corporativos para levar essa situação a sério, agir rápido e investir agora para proteger melhor essas redes antes que venha o próximo ataque.