​Como Um Informante do FBI Ordenou os Ataques Cibernéticos ao Jornal 'The Sun'
Ilustração: Clark Stoeckley

FYI.

This story is over 5 years old.

​Como Um Informante do FBI Ordenou os Ataques Cibernéticos ao Jornal 'The Sun'

O ataque ao tabloide britânico foi feito por um grupo de hackers anônimos. Com o detalhe de que um de seus líderes era um informante do FBI.
20.10.14

Em julho de 2011, o site do tabloide britânico The Sun anunciou que o magnata da mídia Rupert Murdoch havia sido encontrado "morto em seu jardim".

Tratava-se de uma mentira, é claro; uma matéria falsa plantada por hackers que passaram uma semana entrando e saindo dos servidores do jornal. O ciberataque foi parte de uma campanha contra o império midiático britânico de Rupert Murdoch em meio ao escândalo de hacks telefônicos do News of the World.

Publicidade

O ataque fora perpetrado, como muitos destes, por um grupo de hackers anônimos. Com o detalhe de que um de seus líderes era um informante do FBI.

*****

Hector Xavier Monsegur, também conhecido na rede como "Sabu" foi pego pelo FBI em junho de 2011 por uma série de crimes online e, dentro de horas, passou a cooperar com as autoridades na esperança de receber uma pena mais leve.

Agora, registros nunca antes publicados do FBI e entrevistas exclusivas detalham como o informante juntava outros hackers para atacar vários veículos de comunicação, incluindo o The Sun, na mesma época em que o FBI declarou estar monitorando as atividades de Monsegur na rede.

12 acusações diferentes contra Monsegur lhe renderiam uma pena máxima de 124 anos na cadeia, mas ele logo se declarou culpado e passou a colaborar com os federais. A juíza norte-americana Loretta Preska citou a "cooperação extraordinária" do informante ao deixa-lo sair da corte em Manhattan livre na audiência de sua sentença em maio deste ano.

O auxílio de Monsegur foi benéfico para que o Departamento de Justiça dos EUA pudesse encerrar um punhado de casos relacionados à crimes digitais. Porém, enquanto trabalhava para o FBI, Monsegur voltou ao seu círculo de membros do Anonymous para começar a planejar ataques contra uma série de alvos globais.

Documentos confidenciais da acusação do governo norte-americano contra Jimmy Hammond que foram vazados para jornalistas do Motherboard e Daily Dot este ano detalham como Monsegur liderou ataques cibernéticos contra fornecedores do FBI e servidores em dezenas de países estrangeiros, incluindo aí sites do governo brasileiro, tudo sob a constante supervisão de operativos da lei.

Publicidade

De acordo com os documentos obtidos pelo Motherboard, ele estava a par da campanha anti-Murdoch empreendida pelo Anonymous.

O ataque bem-sucedido envolvia o LulzSec, ramificação do Anonymous liderada por Monsegur, que obteve acesso ao site do tabloide, publicando então um obituário falso anunciando a morte de Murdoch, e então redirecionando-o para o perfil no Twitter do LulzSec.

Print dos documentos do FBI obtidos pelo Motherboard.

<&Sabu> olá cavalheiros

<&Sabu> temos que destruir o império de Murdoch

Um programa instalado no computador de Monsegur dava ao FBI acesso em tempo real às salas de chat onde o ataque contra o The Sun e os outros eram planejados. Não está claro se o plano foi algo que saiu do controle ou se o FBI sabia que um de seus informantes havia organizado um ataque contra um jornal estrangeiro.

Enquanto o FBI negou diversos pedidos para comentar detalhes específicos do caso, o Departamento de Justiça e procuradores dos Estados Unidos declaram, durante o julgamento de Monsegur, que as atividades online do informante estavam sendo monitoradas constantemente, e que agentes do FBI foram interrogados após cada uma de suas maratonas de chat. Tanto o Gabinete do Procurador do Distrito Sul de Nova York e um representante de Rupert Murdoch se negaram a comentar o caso.

Um representante do The Sun familiarizado com o ataque disse que o jornal nunca foi alertado pelas autoridades norte-americanas do fato de seu site estar sendo atacado por uma semana, ou que um indivíduo sob a supervisão do FBI era o responsável pelos ataques. "Não foi o FBI que nos avisou da invasão", disse um porta-voz do The Sun ao Motherboard durante uma ligação telefônica.

Publicidade

"Em 2011, a equipe online não era muito grande", explicou o porta-voz, adicionando que o departamento de TI do tabloide soube do ataque através de seu próprio monitoramento, e também graças à rápida propagação do obituário falso por meio das redes sociais. O The Sun se negou a comentar mais o assunto em termos de danos, auditorias de segurança ou gastos decorrentes do ataque do LulzSec.

"O que acho mais interessante é como FBI, o Departamento de Justiça norte-americano e talvez outros envolvidos usaram Monsegur, ou 'Sabu', para pegarem outros hackers", afirmou Michael Ratner, advogado do WikiLeaks familiarizado com o caso, em entrevista telefônica cedida ao Motherboard. "Quem deveria ser julgado aqui não é Hammond nem Sabu, mas o governo federal que usou este grupo de hackers para invadir outros sites bem como países estrangeiros."

*****

Ex-membros do Anonymous corroboraram ao Motherboard que um ativista cibernético solitário descobriu uma falha na rede do The Sun no começo de julho de 2011 e logo buscou outros Anons para saber se o grupo deveria agir coletivamente.

Em um canal de IRC adequadamente chamado #!sunnydays, chats salvos pelo computador fornecido pelo FBI usado por Monsegur mostravam que o informante tinha a intenção de maximizar o impacto do ataque: ele não só expressou o desejo de envergonhar Murdoch, mas de forma periférica, também sabotar a credibilidade de diversos veículos ao espalhar informações errôneas a um punhado de jornalistas ávidos por notícias.

Publicidade

Os ativistas começaram seu planejamento no #!sunnydays em 12 de julho de 2011, entrando e saindo do servidor do The Sun por quase uma semana antes da operação atingir seu ápice com a publicação do obituário falso de Murdoch no dia 18 de julho. Apenas alguns poucos Anons estavam online no #!sunnydays aquela noite, e a invasão talvez nunca tivesse acontecido se um deles não tivesse decidido por si só publicar a notícia falsa antes do grupo perder acesso ao site.

"O sol está se pondo no Reino Unido agora. O que faremos?", perguntou um dos Anon às 20h08 daquela noite, fazendo um trocadilho com o título do tabloide, de acordo com a marcação de horário nos chats detalhados de Monsegur.

O grupo ainda não havia preparado nenhuma declaração a respeito da invasão e já haviam de certa forma estragado a operação antes, ao ficarem presos do lado de fora dos servidores do The Sun.

Meia hora depois, Monsegur começou a participar da conversa e sugeriu que o grupo "fodesse com Murdoch". Dentro de minutos, as contas de Twitter associadas ao ao Anonymous com maior número de seguidores, anunciaram o ataque.

Crédito: Twitter

"Nós somos felizes e nos divertimos, vamos zoar o Sun de Murdoch", tuítou o perfil @AnonymousIRC. "Oi Rupert! Divirta-se amanhã no Parlamento! #AntiSec"

"Não é tão divertido ser hackeado, não é Sr. Murdoch? Ficou PUTO? Fora isso, por que você usou #palladium?" fora tuítado por outra conta.

Chats do #!sunnyday sugerem que Monsegur ficou chateado logo de cara pela invasão ter sido revelada tão rapidamente para o público com um tuíte improvisado, mas logo tomou as rédeas da operação. (Nota: as identidades dos outros usuários foram removidas para proteger a identidade destes que corroboraram com o conteúdo dos chats para o Motherboard e que tem temem repercussões legais.)

Publicidade

censurado – http://twitter.com/#!/AnonymousIRC/status/93060966039818240

<@Sabu>  porra

<@Sabu>  por que vocês fizeram isso :o

 por que estávamos ficando sem tempo?

 além do que

 os admins estavam dormindo

 bem pelo menos agora ele vão dormir um tempinho

 preciso disso rodando enquanto é tarde da noite

<@Sabu>  acho que sim deixa vamos ver o que mais a gente pode fazer

O falso obituário se espalhou rapidamente pela internet, e logo foi exibido em um noticiário ao vivo na CNN. Enquanto Monsegur pensava em qual seu seria seu próximo passo, o obituário era lido ao redor do mundo.

"Murdoch, 80 anos de idade, supostamente ingeriu uma grande quantidade de palladium antes de cair em seu jardim topiário, na noite passada, chegando a falecer nas primeiras horas da manhã", constava em um trecho do artigo falso. "Policiais presentes no local relataram uma taça quebrada, uma caixa de vinhos antiga, e o que parecia ser um álbum de família espalhado por todo o chão, com fotos de dias que se foram; algumas delas sendo retratos pintados à mão de Murdoch na juventude, de cartola e monóculo."

O obituário sem-noção era tão crível quanto sutil, e a inclusão de dois nomes de usuários do LulzSec – "topiary", vulgo Jake Davis, e "palladium", vulgo Donncha O'Cearbhaill, de acordo com os processos criminais – levou a maioria daqueles que acompanhavam os feitos do LulzSec a concluírem que o braço do Anonymous havia sido ressuscitado semanas após ter mudado para AntiSec.

Publicidade

Monsegur e seus camaradas não poderiam ter escolhido momento melhor para envergonhar o executivo: Murdoch, coincidentemente, era esperado no Parlamento britânico horas depois para dar seu testemunho em relação ao escândalo de escutas telefônicas que levaram ao fechamento do News of The World após 168 anos no mercado editorial.

"É a hora certa", escreveu um dos Anon no #!sunnydays. "A mídia saberá disso amanhã quando falarem da audiência. É o momento perfeito."

Além disso, uma tirinha porcamente desenhada divulgada pelo LulzSec também reconhecia a autoria do último ataque do grupo de forma um tanto quanto aberta.

Mesmo assim, Monsegur tentava fazer os esforços do grupo parecerem mais do que realmente foram.

Logo, o informante passou a dar declarações grandiosas no Twitter, anunciando que o Anonymous havia surrupiado uma grande quantidade de correspondências do News of The World e sugerindo que ninguém da News Corp. estava a salvo dos ativistas cibernéticos.

Dias antes, um Anon infiltrado nos servidores do The Sun encontrou uma senha criptografada de um usuário do site que no final das contas era Rebekah Brooks, editora do News of the World. Por mais que suas credenciais não tenham sido descobertas por completo, e assim sendo, inúteis, Monsegur queria fazer com que os possíveis danos da operação contra Murdoch parecessem ainda mais colossais. Após o ataque ter ido ao ar, Monsegur tuítou seus dados de login.

Publicidade

<@Sabu>  colem as senhas deles

<@Sabu>  temos o bastante para causar uma confusão das grandes

"Sun/ News of the World OWNED. Temos seus emails. O press release sai amanhã", tuítou Monsegur, como Sabu. "Enquanto isso, confiram: new-times.co.uk/sun/ #antisec."

Com sua conta no Twitter extremamente ativa, o informante planejava no #!sunnydays sobre o que fazer em seguida, e abordou privadamente diversos jornalistas para levá-los a cobrir o assunto.

<@Sabu> foda-se vamos foder a cabeça deles

<@Sabu> aposto que a equipe de Murdoch vai ver tudo isso

<@Sabu> e se borrar

<@Sabu> ei ___ me dá o hash da senha da rebekka

<@Sabu> pra eu poder tuítar

"Aí vai o rebosteio", digitou Monsegur no #!sunnydays após postar as credenciais criptografadas de Brooke no Twitter. "Vamos aterrorizar esses putos."

<@Sabu> vocês tão ligados

<@Sabu>  murdoch já era

<@Sabu> depois de todos esses escândalos

<@Sabu> e agora infiltração total

Por mais que aparentemente Monsegur não tenha feito nada diretamente durante esta operação, entrevistas e chats mostram que ele forneceu assistência técnica e orquestrou em grande parte a comunicação de todo o ato.

<@Sabu> me avisa quando tiver na mão

<@Sabu> não vamos deixar muito tráfego nos logs

<@Sabu> temos que fazer isso com cuidado

pode deixar

Além de anunciar o ataque a seus seguidores no Twitter, Monsegur seguiu afirmando que sua equipe de hackers havia obtido uma série de emails relacionados a Murdoch.

Publicidade

Por dias Monsegur provocou jornalistas com a promessa de lhes de entregar emails comprometedores relacionados ao  News of The World. Na verdade ele estava às voltas com a ideia de sabotar jornalistas aos lhe oferecer evidências falsas: emails relacionados à OTAN que a equipe havia obtido anteriormente em ataque realizado a um fornecedor do FBI, a empresa de segurança ManTech.

Em uma das conversas, Monsegur mencionava um jornalista específico a ser atingido por uma campanha de desinformação, Kevin Rawlinson, do The Independent, que havia escrito sobre a liberação do grupo das credenciais de Rebekah Brooks.

basicamente o lance é que

eu disse que temos controle total da rede de Murdoch

tomamos emails

 e

 agora vamos atacar o sun

 aí vocês tão sentados aí e hmm

 esses caras nos pegaram

errado

 ainda conseguimos fazer o defacement

 e

 criar emails falsos, forçando o independent a escrever um artigo enorme sobre nosso lance com o sun/news of the world

 publicando os emails falsos

 e então se expondo como uma fonte de notícias de merda que não investiga

 golpe duplo

 escândalo em dobro

 ficaram empolgados já? ;)

parece divertido mesmo

mas

como criaremos material que pareça realista em pouco tempo?

conseguimos fazer umas coisas, mas…

vamos tomar o site/servidor em si

e daremos a kevin rawlingson emails exclusivos

e é isso

deixar ele se enforcar/publicar o artigo

e ignoraremos seus pedidos de mais emails

Publicidade

ou falar pra ele que mudamos de ideia

"Eu, como praticamente todo mundo, não sabia à época que Sabu estava trabalhando para o FBI", disse Rawlinson ao Motherboard, em um email. "Ele era evidentemente um tanto eficaz. Não sei se eu concordaria que ele se prestou a me humilhar ou prejudicar minha carreira."

"Como a maioria dos jornalistas, recebo informações de terceiros o tempo todo, muitas das quais não são tudo aquilo que parecem ser", adicionou. "Se ele tentasse me repassar emails falsos, eu os investigaria, e muito possivelmente, os identificaria como falsos. Sendo sincero, uma única ligação geralmente compromete um email falso."

*****

Por mais intrincados que fossem os planos do Anonymous, obter acesso aos servidores do The Sun não exigia muito esforço além de se valer de uma falha de segurança bem conhecida, disponível na caixa de ferramentas de qualquer hacker amador.

Os hackers usaram uma tática conhecida como Inclusão de Arquivos Locais, ou LFI, na sigla em inglês, para tomar proveito de uma falha no PHP, a linguagem de programação usada por mais de três quartos das aplicações online de acordo com um relatório de 2012 da empresa de segurança Imperva, tornando-o, nas palavras deles, "a plataforma favorita dos hackers".

Testadores de invasão novatos podem determinar com o uso de um software gratuito se alguém está usando versões vulneráveis do PHP e então podem tentar enganar a rede em vista a executar códigos maliciosos ao enviar ao seus servidores instruções que se aproveitem desta falha.

Publicidade

"LFI é um gargalo escancarado na segurança de um servidor web, causado pelo fato do programador ser um retardado do caralho", declarou ao Motherboard um dos hackers do Anonymous que se aproveitou da vulnerabilidade do The Sun. O hacker também fez um GIF, em que uma invasão com LFI é simulada, além de explicar o procedimento:

"Primeiro, o hacker identifica a vulnerabilidade (mostrada ao se pedir acesso ao arquivo /etc/passwd no navegador), então ele fornece a página e parâmetro vulneráveis ao script automático que testa vários métodos para colocar o hacker em um shell do servidor", disse a fonte. "Assim que a shell for obtida, o hacker pode executar comandos, elevar privilégios a root (super usuário/conta de administrador), roubar ou modificar dados no servidor, etc."

O Anonymous executou uma invasão LFI que lhes deu acesso ao servidor web do The Sun. Depois, o grupo fez o upload de scripts PHP, que, caso funcionassem, poderiam dar acesso ao sistema de publicação do tabloide.

eu ia fazer o upload de uma shell PHP

 e causar lulz

e aí senhores

vamos lá

<3

 Sabu, te passo o link

http://extras.thesun.co.uk/php/quiz/log.php

http://sky.page3.com/config.inc.php

 esses aí são C99

 ou similares

 que o ____ conseguiu fazer o LFI lá

 o lance é que, como usam SunOS

 está confundindo o fsck com a gente

 Oi Sabu!

 temos que tomar o servidor, para seguirmos à fase dois – podemos fazer o deface agora, mas temos que ter acesso root para fazer deface nas páginas do NOTW

Publicidade

 etc

 etc

o ___ pode te explicar melhor J

http://extras.thesun.co.uk/php/quiz/menu_4.php vocês removeram esta shell?

 sim

 ok beleza

 removemos o c99 e mudamos para uma shell menos detectável

 que deixa menos registros

ok ok

"Foram feitos os uploads de diversas shells", disse o Anon ao Motherboard, "como de costume". De acordo com o hacker, que pediu para não ser identificado por temer repercussões legais, os Anons subiram diversos scripts de PHP para o servidor na esperança de que, caso um administrador notasse um deles, outros passassem despercebidos. "É um truque padrão", disse o hacker. "Faça o acesso backdoor em lugares diferentes, espalhe estes acessos em tudo que é lugar."

Em determinado momento da campanha, porém, o Anonymous quase perdeu a chance de hackear o The Sun. De acordo com chats vazados, uma tentativa de obter acesso root ao servidor do tabloide resultou no grupo sendo deixado de fora do servidor por tempo indeterminado.

o que rolou com o thesun?

outra pessoa o invadiu ou o que?

*cutuca* :3

não a gente tentou fazer o root

e cagamos o acesso lol

"Vai voltar", digitou um otimista Monsegur no IRC no dia 13 de julho. "Vamos só ver o que temos. Digamos que não dê pra fazer o root. Temos acesso a o quê? Algum db [bancos de dados]? Intranet? Defacement?"

Após horas de pânico, as redes invadidas aparentemente haviam sido resetadas, com os acessos backdoor do grupo ainda intactos. Muitos dias depois, o obituário falso de Murdoch foi ao ar.

Publicidade

*****

<@Sabu> ______ bom trabalho ao invadir o sun de verdade isso vai ser foda. quero os mailspools deles

<@Sabu> foda-se o resto

A invasão foi uma das primeiras operações bem-sucedidas do AntiSec em que Monsegur teve o papel de informante. Durante dias ele tentou levar o projeto adiante, insistindo em tentar humilhar outras personalidades da mídia assim que Murdoch passasse seu tempo na mira coletiva.

Ninguém mais consegue perceber a ironia nestes jornalistas pedindo essa informação hackeada (emails de Murdoch) para fazer o NOTW parecer feio quando obter "evidências hackeadas" é exatamente a razão de todo este escândalo?

Tendo ajudado o FBI a prender integrantes do LulzSec e a condenar seu cibercriminoso mais procurado, Jeremy Hammond, Monsegur caiu nas graças de promotores federais e da juíza Loretta Preska por sua rápida decisão em tornar-se um informante, pelo fornecimento de "acesso sem precedentes ao LulzSec", e por ter ajudado a prevenir no mínimo 300 outros ataques em alvos norte-americanos e no exterior.

Apesar de ter usado registros do #!sunnydays para identificar suspeitos em uma série internacional de prisões ligadas ao LulzSec, o FBI não parece ter tomado nenhum cuidado para prevenir a invasão em si, bem como tantos outros ataques organizados por este informante.

Sem sombra de dúvidas, a rixa de Monsegur com Murdoch não terminou após a campanha contra o The Sun: quase um ano depois, em março de 2012, a Fox News seria o primeiro veículo de mídia a dar a notícia de que Jeremy Hammond e outros haviam sido presos com a ajuda de Monsegur, dando uma identidade a "Sabu" pela primeira vez.

<@Sabu> caras vou ali comer com a minha família

<@Sabu> se acontecer alguma coisa

<@Sabu> o ___ tem meu telefone me mandem uma msg

<@Sabu> volto em ~4 horas

<@Sabu> VOU TREPAR GALERA

divirta-se e tome cuidado sabu

te amo <3

<@Sabu> <3<3<3

*****

Tradução: Thiago "Índio" Silva