Siga-nos

Perfil

Expresso

Internacional

Coreia do Norte pode estar por trás do ciberataque global que infetou 200 mil computadores

DAMIEN MEYER

Especialistas citam semelhanças entre o WannaCry e outros ataques informáticos recentes atribuídos ao Grupo Lazarus, mas dizem que vai levar semanas, senão meses, até se conseguirem apurar responsabilidades de forma conclusiva

O Grupo Lazarus, a quem foram atribuídos os ciberataques de 2014 aos sistemas informáticos da Sony Pictures e de 2016 ao sistema bancário do Bangladesh, pode estar por trás do recente ataque com ransomware lançado na passada sexta-feira que fez mais de 200 mil vítimas em pelo menos 150 países, infetando 12 mil computadores em Portugal.

De acordo com especialistas em cibersegurança com base nos anteriores ataques, o grupo de hackers que opera a partir da China a mando da Coreia do Norte pode ser o responsável pelo mais recente ataque informático à escala global – mas ainda vai levar "semanas, senão meses" até se conseguir apurar responsabilidades de forma conclusiva, aponta o "New York Times".

As suspeitas estão a ser avançadas com base numa investigação preliminar de Neel Mehta, especialista da Google que detetou semelhanças entre o código do WannaCry – o software de ransomware usado no ataque deste fim de semana – e outros instrumentos de invasão de sistemas informáticos que terão sido criados e utilizados pelo Grupo Lazarus no passado.

"É uma mera amostra de provas, mas há outras pistas a considerar", refere a BBC esta terça-feira. Entre elas a hora registada no código original do WannaCry, no fuso horário UTC +9 da China, e o texto que surge nos ecrãs dos computadores atingidos para exigir o pagamento de um resgate pelos dados roubados (ransomware), que parece ter sido escrito por um chinês e traduzido por uma máquina para inglês.

"Como podem ver, é tudo circunstancial, mas merece ser investigado", aponta o especialista em cibersegurança Alan Woodward ao canal britânico. Essa investigação, garantem esta terça-feira vários media, já está em curso.

"A descoberta de Neel Mehta é a pista mais relevante até à data sobre as origens do WannaCry", sublinha a empresa russa de cibersegurança Kaspersky, embora ressalte que é necessário apurar mais informação sobre versões anteriores do software antes de se poderem tirar conclusões.

"Acreditamos ser importante que outros investigadores em todo o mundo analisem estas semelhanças e tentem descobrir mais factos sobre a origem do WannaCry", acrescenta a mesma empresa. "Olhando para trás, para o ataque no Bangladesh, nos primeiros dias havia muito poucos factos a ligar [esse ciberataque] ao Grupo Lazarus. Com o tempo, mais provas foram aparecendo que permitiram que nós e outros pudéssemos ligar os pontos com elevada confiança. É crucial que se aprofundem as investigações."

A Sony foi alvo de um ataque em dezembro de 2014 por causa do filme "Uma Entrevista de Loucos" (The Interview)

A Sony foi alvo de um ataque em dezembro de 2014 por causa do filme "Uma Entrevista de Loucos" (The Interview)

Marcus Ingram

Atribuir ciberataques podem ser particularmente difícil. No caso do ataque à Sony Pictures, por exemplo, a Coreia do Norte nunca admitiu envolvimento e, apesar de muitos especialistas em cibersegurança e de o governo dos Estados Unidos terem quase a certeza dessa teoria, ninguém pode excluir a possibilidade de esse evento se ter tratado de uma operação false flag – ou seja, os hackers responsáveis podem simplesmente ter feito parecer que o ataque veio da Coreia do Norte recorrendo a técnicas semelhantes às que são usadas por hackers do hermético regime.

No caso do WannaCry, é possível que os responsáveis tenham simplesmente copiado o modelo de anteriores ataques executados pelo Grupo Lazarus. Apesar de tudo, e embora admita que é "possível" que este ciberataque tenha sido uma operação encoberta, a Kaspersky diz que tal é "improvável". "Há muitos 'ses' aqui", acrescenta Woodward. "Eu não iria a tribunal com isto. Mas merece ser mais investigado, com a consciência de que existe um preconceito contra a Coreia do Norte agora que [o país] foi identificado como possível [responsável]."

Até agora, esta é a teoria mais forte sobre as origens do WannaCry, que explora uma falha no sistema operativo Windows em computadores cujo software ainda não tinha sido atualizado; em março, e depois de a Agência de Segurança Nacional norte-americana (NSA) ter detetado falhas na versão mais recente do sistema informático, a Microsoft lançou uma atualização de segurança que muitos utilizadores ainda não tinham instalado, o que permitiu a propagação do vírus ao nível registado.

Apesar das suspeitas, há pormenores neste ciberataque que apontam para outros possíveis responsáveis que não a Coreia do Norte, entre eles o facto de a China ser um dos países que foi mais atingido e não de forma acidental – os hackers, aponta a BBC, fizeram questão que uma das versões do pedido de resgate fosse escrita em chinês. Parece pouco provável que Pyongyang quisesse antagonizar o seu aliado mais poderoso ou a Rússia, que também foi duramente afetada.

Para além disso, os ciberataques com origem na Coreia do Norte normalmente têm alvos muito mais definidos e específicos, quase sempre com um objetivo político em mente. Exemplo disso é o ataque de 2014 aos sistemas da Sony Pictures, em que os hackers tinham como objetivo impedir a estreia mundial do filme "Uma Entrevista de Loucos", uma sátira ao líder Kim Jong-un. O WannaCry, pelo contrário, parece não discriminar alvos, infeta tudo o que pode, e se tinha como objetivo angariar dinheiro não tem tido grande sucesso – até ver só foram pagos resgates num total de cerca de 60 mil dólares (54,6 mil euros) em bitcoins.

Uma outra possibilidade é que o Grupo Lazarus tenha avançado sozinho sem receber quaisquer instruções da Coreia do Norte ou que não esteja sequer ligado a Pyongyang. "Mais perguntas que respostas", aponta a BBC, quando em cenários de ciberguerra "os factos são extremamente difíceis de apurar".