TV5 Monde, Rússia e o Califado Cibernético

No último dia 09, a revista francesa L’Express publicou um relatório ligando enfaticamente um ataque contra a TV5 Monde ao estado russo. O ataque, que deixou fora do ar 11 de seus canais globais durante um tempo, causando o comprometimento de um site e de uma página do Facebook, aconteceu em abril.

Na época do ataque, um grupo autodenominado CyberCaliphate (Califado Cibernético) imediatamente assumiu a responsabilidade da invasão e tornou público supostos detalhes de militares franceses envolvidos no combate ao Estado Islâmico ou ISIS. A atribuição na época pareceu simples e imediata, os Extremistas Islâmicos motivaram o hacktivismo.

A L’Express procurou a Trend Micro com certos indicadores do compromentimento que foram compartilhados com 43 organizações de mídia pela Agência Nacional de Segurança de Sistemas de Informação (ANSSI) na França, com o objetivo de descobrir mais sobre o agressor ou as motivações por trás do ataque. Esses indicadores definitivamente evidenciam uma infestação do malware Sednit (também conhecido como Sofacy), associado às campanhas de ataques direcionados em curso realizadas pelo operadores do Pawn Storm (também chamado de APT28) O que eles não fizeram foi ligar com certeza as informações roubadas ou as contas comprometidas pelo ataque de abril ao comprometimento do Pawn Storm. Nem é possível afirmar com certeza que os dois não estão relacionados.

Atribuir um crime online é complexo, ainda mais quando pode haver o envolvimento de um estado nação.

A avaliação da Trend Micro, com referência aos fatos como estão hoje, nos deixa com três possibilidades:

  1. Podemos estar vendo dois incidentes totalmente independentes, a infestação Pawn Storm e um comprometimento hacktivista separado.
  2. Pode ser que o grupo Pawn Storm tenha fornecido dados relevantes do ataque a outras pessoas, direta ou indiretamente relacionadas aos hacktivistas islâmicos. Embora seja possível, parece bastante improvável já que vimos o Pawn Stom visando ativamente os separatistas chechenos e os extremistas islâmicos na antiga Iugoslávia.
  3. Finalmente, o grupo Pawn Storm comprometeu um site altamente visível, Facebook, e uma rede de TV (o que seria extremamente fora do seu perfil), usando isso como uma operação de bandeira falsa para jogar a culpa nos extremistas islâmicos.

Embora a opção de bandeira falsa não esteja totalmente fora de questão, é no mínimo algo fora do perfil das operações anteriores da campanha Pawn Storm.

Minha intuição neste momento me leva à opção um. A TV5 Monde, como uma operadora de mídia é um alvo totalmente dentro da missão normal das operações Pawn Storm e uma infestação do malware Sednit aí talvez não seja uma surpresa. O fato é que durante esse comprometimento do Sednit, eles também eram alvos dos hacktivistas extremistas islâmicos. Por causa das notícias e do ambiente contemporâneo na França, isso também poderia não ser uma surpresa.

Atribuição online sempre é complexa, mas às vezes as coisas podem ser exatamente o que parecem.

Continue acompanhando nosso blog, confira as melhores dicas de segurança e saiba como se proteger na rede! Algum insight sobre essa postagem? Deixe seu comentário abaixo ou fale com a gente no twitter @TrendMicroBR.

Artigo postado originalmente por  em TrendLabs.