No cenário digital atual, onde a tecnologia avança a passos largos e a conectividade é onipresente, a cibersegurança emerge como um pilar fundamental. É uma arena de constante inovação, mas também de ameaças em evolução, onde a defesa e o ataque se entrelaçam em uma complexa dança. De um lado, gigantes da tecnologia como a Apple investem bilhões e oferecem recompensas milionárias para proteger seus usuários. Do outro, atores maliciosos, como grupos patrocinados por estados-nação, exploram cada brecha possível, não apenas no ciberespaço tradicional, mas expandindo suas operações para campos inesperados como a arquitetura e a engenharia civil.
Este artigo mergulha nesse contraste fascinante, explorando como a busca por vulnerabilidades se tornou um negócio multimilionário para o bem e para o mal. Analisaremos as iniciativas robustas da Apple para fortalecer a segurança de seus dispositivos e, em seguida, examinaremos a crescente sofisticação dos golpes perpetrados por trabalhadores de TI norte-coreanos, cujas atividades se estendem agora para além do mundo do software, com implicações reais para a infraestrutura física.
A Guerra da Apple Contra as Vulnerabilidades: Recompensas Milionárias e Defesas Inovadoras
A Apple, uma das empresas de tecnologia mais valiosas do mundo, tem mais de 2,35 bilhões de dispositivos ativos globalmente. Com uma base de usuários tão vasta, a responsabilidade pela segurança de seus produtos é imensa. Para combater as crescentes ameaças cibernéticas, a empresa tem investido pesadamente em seu programa de recompensas por bugs, conhecido como "bug bounty". Lançado há quase uma década, o programa visa incentivar pesquisadores de segurança a encontrar e reportar vulnerabilidades antes que elas possam ser exploradas por atores maliciosos.
Inicialmente, em 2016, a recompensa máxima era de US$ 200.000, subindo para US$ 1 milhão em 2019. No entanto, a complexidade e o valor das vulnerabilidades exploráveis no ambiente móvel altamente protegido da Apple levaram a empresa a aumentar as apostas novamente. Recentemente, na conferência de segurança ofensiva Hexacon, em Paris, Ivan Krstić, vice-presidente de engenharia e arquitetura de segurança da Apple, anunciou uma nova recompensa máxima de US$ 2 milhões por uma cadeia de explorações de software que poderia ser abusada para spyware.
Incentivos e Expansão do Programa
Mas as novidades não param por aí. O programa de bug bounty da Apple agora inclui uma estrutura de bônus adicional, elevando a recompensa máxima para o que seria uma cadeia de exploração catastrófica para surpreendentes US$ 5 milhões. Isso inclui prêmios adicionais para exploits que conseguem contornar o Modo de Bloqueio (Lockdown Mode), um recurso de segurança extra forte projetado para proteger usuários que podem ser alvos de ataques de spyware mercenário, e também para vulnerabilidades descobertas enquanto o software da Apple ainda está em fase beta. "Estamos nos preparando para pagar muitos milhões de dólares aqui, e há uma razão", disse Krstić à WIRED. "Queremos garantir que, para as categorias mais difíceis, os problemas mais difíceis, as coisas que mais se assemelham aos tipos de ataques que vemos com spyware mercenário, os pesquisadores que possuem essas habilidades e capacidades e dedicam esse esforço e tempo possam obter uma recompensa tremenda."
Desde que foi aberto ao público em 2020 (antes era um programa exclusivo para pesquisadores convidados), a Apple afirma ter concedido mais de US$ 35 milhões a mais de 800 pesquisadores de segurança. Embora pagamentos de US$ 5 milhões sejam raros, Krstić revelou que a empresa já fez vários pagamentos de US$ 500.000 nos últimos anos, destacando a seriedade e a eficácia do programa.
Além de recompensas mais altas, a Apple também expandiu as categorias do bug bounty para incluir certos tipos de exploits de infraestrutura de navegador "WebKit" de um clique, bem como exploits de proximidade sem fio realizados com qualquer tipo de rádio. Uma nova oferta, "Target Flags", introduz o conceito de competições de hacking capture the flag para testar o software da Apple no mundo real, permitindo que os pesquisadores demonstrem as capacidades de seus exploits de forma rápida e definitiva.
Defesas Proativas e a Obrigação Moral
O programa de bug bounty é apenas uma das muitas iniciativas de longo prazo da Apple para reduzir a prevalência de vulnerabilidades perigosas ou bloquear sua exploração. Por exemplo, após mais de cinco anos de trabalho, a empresa anunciou no mês passado uma proteção de segurança na nova linha do iPhone 17 que visa anular a classe de bugs mais frequentemente explorada no iOS. Conhecido como Memory Integrity Enforcement, o recurso é um grande passo para proteger uma pequena minoria de grupos mais vulneráveis e altamente visados em todo o mundo – incluindo ativistas, jornalistas e políticos – ao mesmo tempo em que adiciona defesa para todos os usuários de novos dispositivos. Com esse objetivo, a empresa anunciou que doará mil iPhones 17 a grupos de direitos humanos que trabalham com pessoas em risco de ataques digitais direcionados.
"Você pode dizer, bem, isso parece um esforço muito grande para proteger apenas aquele número muito pequeno de usuários que estão sendo alvo de spyware mercenário, mas há apenas esse histórico incontestável descrito por jornalistas, empresas de tecnologia e organizações da sociedade civil de que essas tecnologias estão sendo constantemente abusadas", diz Krstić. "E sentimos uma grande obrigação moral de defender esses usuários. Apesar do fato de que a grande maioria de nossos usuários nunca será alvo de algo assim, este trabalho que fizemos acabará aumentando a proteção para todos."
O Lado Obscuro da Produtividade Digital: Scammers Norte-Coreanos e o Risco à Infraestrutura
Enquanto a Apple se esforça para blindar seus sistemas, o submundo da cibersegurança revela uma faceta preocupante: a ascensão de operações de golpes patrocinados por estados-nação, com a Coreia do Norte se destacando por sua audácia e versatilidade. Por anos, programadores e desenvolvedores norte-coreanos talentosos têm sido contratados para trabalhos remotos em empresas de tecnologia ocidentais. Milhares desses "trabalhadores de TI", como são chamados, já renderam bilhões ao regime autoritário da Coreia do Norte, desenvolvendo aplicativos, trabalhando em projetos de criptomoedas e até se infiltrando em empresas da Fortune 500. Os ganhos, invariavelmente, são enviados para casa para apoiar os programas de armas nucleares do país e os esforços de evasão de sanções.
No entanto, a escala e o escopo desses esquemas fraudulentos provavelmente se estendem muito além da compreensão da maioria das pessoas. Uma nova análise de contas online expostas e arquivos ligados a supostos trabalhadores digitais da República Popular Democrática da Coreia (RPDC) mostra que pelo menos um grupo tem atuado em um campo muito diferente: arquitetura e engenharia civil. Nos últimos anos, esse grupo de trabalhadores tem se disfarçado de engenheiros estruturais e arquitetos autônomos, de acordo com um relatório compartilhado com a WIRED pela empresa de cibersegurança Kela.
Táticas de Infiltração e o Impacto no Mundo Real
Os pesquisadores da Kela, que investigaram uma rede ligada à Coreia do Norte, descobriram arquivos de desenhos arquitetônicos 2D e alguns arquivos CAD 3D para propriedades nos Estados Unidos. Além dos planos, os golpistas também anunciavam uma gama de serviços arquitetônicos e usavam, ou criavam, carimbos ou selos arquitetônicos falsos, que podem atuar como certificação legal de que os desenhos seguem as regulamentações de construção locais. "Esses agentes estão ativos não apenas em tecnologia e cibersegurança, mas também em design industrial, arquitetura e design de interiores, acessando infraestruturas sensíveis e projetos de clientes sob identidades fabricadas", afirma a Kela em um blog post. A Organização das Nações Unidas (ONU) estima que milhares de trabalhadores de TI arrecadam entre US$ 250 milhões e US$ 600 milhões para a Coreia do Norte a cada ano.
A investigação da Kela se concentrou inicialmente em uma conta GitHub ligada a uma suspeita rede de TI norte-coreana. Essa conta, e perfis conectados, além de trabalhos arquitetônicos, já havia sido identificada por pesquisadores da RPDC no X (antigo Twitter) no início do ano. A conta GitHub listava publicamente uma série de arquivos do Google Drive que podiam ser baixados por qualquer pessoa, contendo uma mina de ouro de informações ligadas aos potenciais golpistas. Os arquivos incluíam detalhes de trabalhos em andamento, currículos falsos e duplicados, imagens para fotos de perfil e detalhes das personas usadas para encontrar trabalho. Um pesquisador da Kela descreveu a quantidade de e-mails, dados e perfis como "realmente massiva", com algumas planilhas mostrando centenas de endereços de e-mail que poderiam ter sido usados pelos golpistas.
Os arquivos analisados pela WIRED demonstram a amplitude e a produtividade dos supostos golpistas da RPDC. Na maioria dos casos, eles parecem ter usado sites de trabalho freelancer para solicitar empregos. Numerosos arquivos de texto, junto com currículos, anunciavam serviços arquitetônicos, com documentos afirmando que os arquitetos eram licenciados em múltiplos (ou às vezes todos) os estados dos EUA. Uma gravação de tela de 24 minutos, por exemplo, mostra uma pessoa se inscrevendo em um site de trabalho freelancer, criando um novo perfil onde se apresenta como "engenheiro estrutural/arquiteto licenciado nos EUA". Ela seleciona uma imagem de perfil de uma pasta de arquivos baixados, traduz texto entre inglês e coreano e acessa um site gerador de número de Seguro Social durante o processo de inscrição.
Uma vez que a conta é criada, o vídeo mostra a pessoa começando a enviar mensagens solicitando trabalho, com uma delas dizendo: "Posso fornecer [sic] o conjunto de planos de desenho de permissão para o projeto de sua casa residencial em poucos dias." Outras gravações de tela mostram os trabalhadores em conversas com clientes potenciais e, em pelo menos um caso, há uma gravação de uma chamada online discutindo um possível trabalho. Os pesquisadores da Kela notaram que alguns clientes pareciam retornar aos golpistas após terem o trabalho concluído, com os preços variando de algumas centenas a cerca de US$ 1.000 por trabalho.
Michael "Barni" Barnhart, uma autoridade em hacking e ameaças cibernéticas norte-coreanas da empresa de segurança de ameaças internas DTEX, confirmou que "os planos estão sendo usados e construídos". Barnhart, que anteriormente descobriu animadores norte-coreanos trabalhando em programas da Amazon e Max, também observou a criação de empresas de fachada para dar uma aparência de legitimidade às operações. As descobertas levantam sérias questões sobre a qualidade do trabalho estrutural e preocupações com a segurança, especialmente se as estruturas são criadas no mundo físico. "Em algumas de nossas investigações, esses planos e produtos que eles estão fazendo para remodelações e renderizações não estão recebendo boas avaliações", diz Barnhart. "Temos indicações de que eles também estão sendo contratados para trabalhar em infraestrutura crítica."
Essa é a natureza de uma "nação oportunista", como descreve Barnhart. Embora muitas empresas tenham começado a perceber que os trabalhadores de TI da Coreia do Norte frequentemente se candidatam a empregos remotos usando identidades falsas, deepfakes em chamadas de vídeo e trabalhadores locais para operar, eles estão constantemente mudando suas abordagens. Barnhart sugere que o trabalho arquitetônico tem sido um sucesso para os supostos trabalhadores da RPDC e que as evidências mostram que o programa de trabalhadores de TI pode ser mais sutil do que apenas tentar ser contratado por grandes empresas. "Eles estão se movendo para lugares onde não estamos olhando", diz Barnhart. "Eles também estão fazendo coisas como call centers. Eles estão fazendo RH e folha de pagamento e contabilidade. Coisas que são apenas funções remotas e não necessariamente contratações remotas."
O Contraste entre Defesa Robusta e Ameaças Versáteis
A justaposição desses dois artigos ilustra a dicotomia crítica da cibersegurança na era moderna. De um lado, temos a Apple, uma megacorporação com recursos vastos, investindo proativamente na caça a vulnerabilidades, oferecendo incentivos financeiros substanciais para garantir a segurança de seus bilhões de usuários. Essa é uma abordagem defensiva e reativa, mas que busca antecipar ataques, transformando potenciais inimigos (hackers) em aliados (pesquisadores de segurança ética) através de um sistema de recompensas.
Do outro lado, encontramos uma nação-estado, a Coreia do Norte, que emprega uma estratégia ofensiva e oportunista. Não se trata apenas de roubar dados ou dinheiro digital, mas de se infiltrar em setores cruciais como a arquitetura e engenharia, com o potencial de comprometer a segurança física de edifícios e infraestruturas, tudo para financiar seus programas militares. Essa é uma face mais sombria da produtividade digital e da automação, onde a capacidade de trabalhar remotamente e as ferramentas de design são cooptadas para fins ilícitos.
A principal lição aqui é a necessidade contínua de vigilância e adaptação. A paisagem das ameaças cibernéticas não é estática; ela evolui constantemente. Os métodos de ataque se tornam mais sofisticados, e os alvos se diversificam. A linha entre o mundo digital e o físico se torna cada vez mais tênue, como demonstrado pelos golpistas arquitetônicos. A confiança na autenticidade das credenciais digitais, dos perfis online e até mesmo de documentos selados, é constantemente testada.
Lições para o Cenário Brasileiro de Cibersegurança
Para o Brasil, essas tendências globais têm implicações diretas. A crescente adoção de modelos de trabalho remoto e a dependência de plataformas digitais para serviços em diversos setores aumentam a superfície de ataque. É imperativo que empresas e indivíduos no Brasil desenvolvam uma cultura de cibersegurança robusta. Algumas lições valiosas incluem:
- Investimento em Segurança Proativa: Empresas brasileiras devem considerar a implementação de programas de bug bounty, mesmo que em menor escala, ou investir em auditorias de segurança regulares para identificar vulnerabilidades antes que sejam exploradas.
- Verificação Rigorosa de Contratados Remotos: Com a proliferação de golpistas usando identidades falsas, a verificação de antecedentes de trabalhadores remotos, especialmente em projetos sensíveis ou de infraestrutura, é mais crucial do que nunca. Isso inclui a validação de credenciais, histórico profissional e a autenticidade de selos e certificações.
- Conscientização e Treinamento: Educar funcionários sobre táticas de engenharia social, golpes de phishing e a importância de relatar atividades suspeitas é vital. Os golpistas da Coreia do Norte demonstram uma habilidade em explorar a confiança e a falta de vigilância.
- Atenção à Segurança da Cadeia de Suprimentos: A história dos golpistas arquitetônicos destaca o risco em setores não tradicionalmente vistos como "digitais". Qualquer empresa que terceirize serviços que envolvam design, engenharia ou planejamento, mesmo que digitalmente, precisa estar ciente dos riscos de atores maliciosos se infiltrando na cadeia de suprimentos.
- Adoção de Tecnologias de Defesa: Utilizar recursos de segurança avançados, como modos de bloqueio e mecanismos de integridade de memória, quando disponíveis em dispositivos e sistemas, é fundamental para proteger os ativos digitais.
Em suma, a cibersegurança não é mais um problema exclusivo da área de TI; é uma questão estratégica que afeta todos os aspectos da vida moderna, desde a proteção de dados pessoais até a integridade da infraestrutura física. A luta é contínua, e a vigilância, a inovação e a adaptação são as chaves para navegar com segurança neste complexo cenário digital.
Fonte de Inspiração: Este artigo foi inspirado em informações de Apple Announces $2 Million Bug Bounty Reward for the Most Dangerous Exploits e North Korean Scammers Are Doing Architectural Design Now.
0 Comentários