Eleições 2018 – Manipulação de Eleitores

Em continuidade a nossa análise dos possíveis ciberataques às Eleições 2018 vamos analisar os cenários em que ciberataques são praticados para manipular a vontade dos eleitores. O objetivo final dessas ações é modificar as intenções de voto ou dissuadir parcela do eleitorado de participar do pleito.

A julgar pelo volume de notícias veiculadas nos últimos meses sobre fake news e atuação de robôs em redes sociais, esse tipo de ciberataque – no qual há a manipulação da vontade dos eleitores – é o cenário que mais preocupa a opinião pública e a Justiça Eleitoral.

Parece nítido que a preocupação com esse tipo de manipulação das Eleições 2018 deriva dos casos ocorridos nas eleições majoritárias nos Estados Unidos (2016) e França (2017), para as quais foram apresentadas evidências de ações cibernéticas ofensivas originárias da Rússia.

Por essa razão, vamos adotar essas campanhas atribuídas à Rússia como as “melhores práticas” de manipulações eleitorais por meio de ataques cibernéticos para nossa análise do cenário.

Modelo de Táticas, Técnicas e Procedimentos (TTP)

As ações praticadas durante o processo eleitoral nos Estados Unidos e França são descritas como uma combinação entre ações cibernéticas ofensivas e influência no meio digital (veículos de mídia convencionais, trolls, uso de robôs em redes sociais) que teriam por objetivo orquestrar uma campanha de desinformação (dezinformatsiya).

No caso das eleições presidenciais norte-americanas de 2016 ocorreu de fato um ataque ao Democratic National Committee (DNC) – a entidade máxima responsável pelo Partido Democrata dos EUA – e o produto do ataque foi utilizado para realizar vazamentos de dados com o intuito de manipular os eleitores norte-americanos.

Evidências apresentadas pelas empresa de segurança CrowdStrike sugerem que dois grupos russos atuaram nessa campanha (Fancy Bear e Cozy Bear):

We deployed our IR team and technology and immediately identified two sophisticated adversaries on the network – COZY BEAR and FANCY BEAR.

ThreatConnect – outra empresa norte-americana de segurança – indicou que os ataques foram praticados pelo grupo Fancy Bear (conhecido como APT28 ou Sofacy).

This incident includes the IP address 45.32.129[.]185 which Crowdstrike lists as a FANCY BEAR X-Tunnel implant Command and Control (C2) node.

Mesmo a posterior assunção do ataque pelo hacker romeno chamado Guccifer 2.0, foi descrito pela ThreatConnect como parte de um elaborado estratagema russo para criar uma falsa bandeira para autoria do ataque.

This discovery strengthens our ongoing assessment that Guccifer 2.0 is a Russian propaganda effort and not an independent actor.

Os dados obtidos pelo ataque cibernético ao DNC foram posteriormente divulgados por canais que desfrutam de (alguma) credibilidade – WikiLeaks – como revelações ao público interessado.

Os estudos independentes realizados pelo CitizenLab, da Universidade de Toronto, já indicaram que a prática de desinformação por meio de vazamento de dados obtidos por ataques cibernéticos seria um TTP tipicamente russo:

Documents stolen from a prominent journalist and critic of the Russian government were manipulated and then released as a “leak” to discredit domestic and foreign critics of the government.

No caso da França (2017) os ataques foram denominados de “Macron leaks“, os quais corresponderiam a mais de 70 mil e-mails da sua campanha divulgados a menos de duas semanas da eleição.

Em síntese, o TTP russo preconiza que a partir da obtenção de dados por uma ação invasiva, a grande mídia e as redes sociais passariam a ser o alvo da segunda etapa, qual seja, de uma campanha orquestrada de influência digital a fim de que temas associados aos vazamentos fossem explorados à exaustão.

Essa segunda etapa da campanha foi descrita por análises que detalham a atuação de trolls em redes sociais, utilizados com o objetivo de tumultuar o debate eleitoral legítimo durante a eleição presidencial norte-americana de 2016. No caso dos EUA houve inclusive o indiciamento de cidadãos russos por esse tipo de atividade.

TTP russo aplicado às eleições 2018 no brasil

Ao seguir o TTP russo, o cenário de manipulação dos eleitores pode tornar alvos dos ataques cibernéticos entidades públicas e privadas cujo vazamento de dados e informações possa influenciar o processo eleitoral.

Obviamente os candidatos, os partidos políticos e as equipes de “marqueteiros” de campanha são alvos primários de ataques cibernéticos para coleta de dados.

Em tempos de Operação Lava Jato – com núcleos muito ativos no Paraná e no Rio de Janeiro – membros do Ministério Público e Magistratura (incluídos no rol de Pessoas Politicamente Expostas) também podem ser alvo de ataques cibernéticos para obtenção de dados potencialmente constrangedores que estejam protegidos por sigilo de justiça.

Esses ataques cibernéticos podem ser realizados por diversas maneiras, por exemplo, com campanhas de spear phishing contra integrantes de comitês eleitorais/membros do MP/Magistratura ou pela exploração de vulnerabilidades conhecidas que a infraestrutura de TI dos partidos políticos ou MP/Tribunais possuam.

Autoria dos Ataques – Nacional ou Estrangeira?

Os ataques cibernéticos seguindo o TTP russo podem ser realizados por grupos nacionais ou estrangeiros, atendendo a interesses brasileiros ou do exterior.

Sem a pretensão de realizar uma análise geopolítica exaustiva sobre o caso, parece pouco provável que alguma nação estrangeira seja protagonista desse tipo de campanha nas Eleições 2018.

Se considerarmos os países com capacidade cibernética ofensiva notória – Estados Unidos, Rússia, China, Israel, Coreia do Norte e Irã – não é possível identificar com clareza pré-candidatos na eleição presidencial de 2018 que tenham uma plataforma abertamente favorável ou contrária a qualquer um daqueles países.

Certamente não tão clara quanto os posicionamentos que a então candidata Hilary Clinton expressou contra a Rússia no pleito norte-americano de 2016 – primeiro como ministra de estado na gestão Obama, depois como candidata. Logo, se a manipulação não ocorreu “em favor” do atual Presidente Donald Trump, certamente foi realizada “contra” a candidata Democrata que aparentava ser a pior opção entre os dois, o que justificaria uma ação contra ela.

Nessa mesma linha, atores estatais latino-americanos não se beneficiariam de um processo eleitoral turbulento no Brasil em 2018. Evidência mais clara disso é a atual situação institucional calamitosa vivida pela Venezuela, da qual seus vizinhos, Brasil e Colômbia, não desfrutam qualquer vantagem geopolítica, pelo contrário, sofrem com o fluxo de refugiados em suas fronteiras.

Por outro lado, atores nacionais teriam interesse em manipular as Eleições 2018.

A indefinição nas intenções de voto é um forte elemento motivacional para que os próprios partidos políticos contratem mão de obra especializada para promover ataques cibernéticos a fim de minar seus oponentes por meio de campanhas de desinformação.

O clima de polarização político-ideológico é refletido na intensificação de ações por parte da comunidade hacktivista brasileira, o que pode fomentar esses grupos a aprofundarem suas ações no sentido do TTP russo.

Temos, portanto, dois atores nacionais como os mais prováveis a engajar nesse tipo de TTP: partidos políticos imersos na disputa eleitoral e hackers e/ou grupos hacktivistas brasileiros.

Partidos Políticos

Presume-se que partidos políticos, caso desejem praticar ataques cibernéticos necessários para obter acesso a informações sensíveis de campanhas de candidatos oponentes, contratem mão-de-obra especializada para tanto.

Caso decidam por essa forma de atuação, não encontrariam dificuldade em contratar hackers e/ou grupos brasileiros ou grupos estrangeiros que atuem mediante pagamento.

Nesse caso toda a complexidade advinda da condução do ataque cibernético seria abstraída. O interessado apenas indicaria o alvo, enquanto o mercenário cibernético conduziria o ataque para obter dados e informações relevantes.

O custo associado para contratação de equipes especializadas em ataques cibernéticos pode ser tranquilamente amortizado pelas campanhas eleitorais para Presidência da República, conhecidas por movimentar cifras milionárias.

Grupos Hacktivistas

Hackers e/ou grupos hacktivistas brasileiros demonstraram reiteradamente ampla capacidade técnica ofensiva, o que os credenciaria a realizar ataques cibernéticos necessários para obter acesso a informações sensíveis das campanhas dos candidatos nas Eleições 2018.

A atuação hacktivista com objetivos de influenciar no processo eleitoral já foi objeto de análise aqui no Lab. Publicamos artigos sobre a Operação #votoimpressoJa  (segundo link) e outros dois sobre a Operação #AResistencia (segundo link), campanhas que já estão em andamento e são classificadas como hacktivistas dada as jusitifitivas expostas pelos grupos que as criaram.

Para além desses dois exemplos, não há dificuldade para comunidade hacktivista brasileira em ampliar suas ações e, por exemplo, iniciar campanhas de spear phishing dirigida contra integrantes de campanhas eleitorais e/ou membros do MP/Magistratura.

A julgar pelo baixo nível de segurança operacional (OpSec) demonstrada pelos políticos brasileiros, não parece desafiadora a tarefa de criar um phishing atrativo para os membros dos nosso parlamento (veja casos em que parlamentares assistiam pornografia em celulares no plenário do Congresso).

Outro vetor que poderia ser explorado seriam os ataques dirigidos contra a infraestrutura de TI dos partidos políticos. Exemplos da exploração de vulnerabilidades conhecidas foram objeto do nosso Lab, onde relatamos casos de desfigurações como manifestação político-ideológica, desfiguração do site nacional do PSDB, do site do PSDB-RJ e do site do PT-DF.

Parece claro, portanto, que o hackers e/ou grupos hacktivistas brasileiros tem condições técnicas de realizar ataques cibernéticos contra partidos políticos/comitês eleitorais e/ou MP/Magistratura para obter dados e informações sensíveis. Além disso, em vários casos de desfiguração e de vazamentos, os invasores têm deixado ameaças de intensificação de suas ações no período eleitoral. Exemplo disso pode ser visto na matéria sobre a invasão do MIT.

De posse dessas informações, hackers e/ou grupos hacktivistas brasileiros difundiriam esses dados para protestar, beneficiar determinado candidato ou tumultuar o debate eleitoral.

Basta contemplar o cenário em que comunicação por meio de correio eletrônico de um comitê de campanha é interceptada por um grupo hacktivista brasileiro. De posse de uma troca de mensagens com conteúdo comprometedor, bastaria a divulgação na grande mídia ou em redes sociais para que o processo eleitoral fosse influenciado.

Vale ressaltar que a segunda etapa do TTP russo já é praticada por hacktivistas brasileiros. Nos casos em que expuseram dados pessoais de políticos notórios e provocaram o vazamento de dados de partidos como o vazamento de dados do PTdo PCdoB, esses grupos já tentaram influenciar a opinião pública por meio do vazamento de dados de acesso restrito.

Ademais, a Fundação Getúlio Vargas – FGV, realizou estudo em que apresentou evidências do uso de robôs em redes sociais para influenciar os debates políticos no Brasil. O que demonstra a “maturidade” nacional para condução da segunda etapa do TTP.

Partidos Políticos e Vulnerabilidades

No geral, observamos baixíssimo nível de maturidade de segurança nos sites dos partidos políticos. Uma análise superficial foi suficiente já permite essa conclusão. Nós analisamos a implementação, ou inexistência dela, de camada de criptografia (https) para a proteção do trânsito pela Internet de dados potencialmente sigilos, como dados pessoais ou credenciais de acesso (usuário e senha). Escolhemos esse quesito de segurança porque ele é uma baliza elementar para se verificar o mínimo de preocupação por parte do administrador do site quanto a privacidade e segurança dos dados trafegados entre o servidor web e os seus respectivos usuários.

A implementação correta de camada de criptografia SSL/TLS é essencial para a proteção contra-ataques como SSLStrip, SSLSplit, Man-in-the-middle e outros. Além disso, conforme já informamos na Parte 1 e Parte 2 do Mapeamento Global do HTTPS, a partir de julho de 2018, os sites que utilizam HTTP sem camada de criptografia serão indicados como “não seguros” pelo navegador Chrome.

Foram analisados como uma amostragem os partidos: Partido Progressista (PP), Partido dos Trabalhadores (PT), Partido da Social Democracia Brasileira (PSDB), Movimento Democrático Brasileiro (MDB), Partido Republicano da Ordem Social (PROS), Democratas (DEM) e Partido Democrático Trabalhista (PDT).

PP:

Webmail, ficha de filiação e formulário de contato sem suporte a https:

http://webmail.pp.org.br
http://pp.org.br/2056/Filiacao/PaginaCadastro
http://pp.org.br/2056/FaleConosco

PT:

Cadastro de usuário, ficha de filiação e autenticação de usuário sem suporte a https:

http://www.pt.org.br/area-pt/?secao=#/cadastro
http://www.pt.org.br/filiacao/
http://www.pt.org.br/area-pt/?secao=#/pagina-login

PSDB:

Cadastro de usuário, formulário de contato e autenticação de área administrativa do site sem suporte a https:

http://www.psdb.org.br/participe/cadastre-se
http://www.psdb.org.br/fale-conosco
http://www.psdb.org.br/wp-login.php

MDB:

Formulário de contato e autenticação de área administrativa do site sem suporte a https:

http://pmdb-rj.org.br/fale-conosco
http://pmdb-rj.org.br/wp-login.php

PROS

Formulário de contato, ficha de filiação e tela de autenticação do site sem suporte a https:

http://www.pros.org.br
http://www.pros.org.br/fale-conosco
http://sgp.pros.org.br/login

DEM

Ficha de filiação sem suporte a https:

http://democratas.org.br/filiacao/index.php?cadastre=sim

PDT

Autenticação de área administrativa do site e formulário de contato sem suporte a https:

http://www.pdt.org.br/wp-login.php
http://www.pdt.org.br/index.php/contato

Conclusão

O cenário em que as Eleições 2018 serão alvo de manipulação de eleitores é mais provável que a manipulação de votos por meio de ataques à infraestrutura eleitoral (votação e apuração).

Os atores que aparentam maior motivação para essa investida são os próprios partidos políticos envolvidos nas Eleições 2018 e atores hacktivistas nacionais.

Esse cenário pressupõe duas etapas de execução: a primeira, partidos políticos/comitês de campanha e/ou MP/Magistratura são alvos de ataques cibernéticos para coleta de dados, e, na segunda, são publicadas informações – verídicas ou modificadas – para conturbar o debate político e/ou beneficiar/prejudicar determinado candidato.

Vimos que existem pontos vulneráveis entre os partidos políticos brasileiros entre seus ativos de informação. Ademais, a realização de spear phishing contra políticos brasileiros, considerando seu baixo grau de OpSec, não será difícil para esses atores, que, em muitos casos relatados aqui no Lab, já demonstraram alta capacidade técnica ofensiva.