O Grupo Lazarus, a quem foram atribuídos os ciberataques de 2014 aos sistemas informáticos da Sony Pictures e de 2016 ao sistema bancário do Bangladesh, pode estar por trás do recente ataque com ransomware lançado na passada sexta-feira que fez mais de 200 mil vítimas em pelo menos 150 países, infetando 12 mil computadores em Portugal.
De acordo com especialistas em cibersegurança com base nos anteriores ataques, o grupo de hackers que opera a partir da China a mando da Coreia do Norte pode ser o responsável pelo mais recente ataque informático à escala global – mas ainda vai levar "semanas, senão meses" até se conseguir apurar responsabilidades de forma conclusiva, aponta o "New York Times".
As suspeitas estão a ser avançadas com base numa investigação preliminar de Neel Mehta, especialista da Google que detetou semelhanças entre o código do WannaCry – o software de ransomware usado no ataque deste fim de semana – e outros instrumentos de invasão de sistemas informáticos que terão sido criados e utilizados pelo Grupo Lazarus no passado.
"É uma mera amostra de provas, mas há outras pistas a considerar", refere a BBC esta terça-feira. Entre elas a hora registada no código original do WannaCry, no fuso horário UTC +9 da China, e o texto que surge nos ecrãs dos computadores atingidos para exigir o pagamento de um resgate pelos dados roubados (ransomware), que parece ter sido escrito por um chinês e traduzido por uma máquina para inglês.
"Como podem ver, é tudo circunstancial, mas merece ser investigado", aponta o especialista em cibersegurança Alan Woodward ao canal britânico. Essa investigação, garantem esta terça-feira vários media, já está em curso.
"A descoberta de Neel Mehta é a pista mais relevante até à data sobre as origens do WannaCry", sublinha a empresa russa de cibersegurança Kaspersky, embora ressalte que é necessário apurar mais informação sobre versões anteriores do software antes de se poderem tirar conclusões.
"Acreditamos ser importante que outros investigadores em todo o mundo analisem estas semelhanças e tentem descobrir mais factos sobre a origem do WannaCry", acrescenta a mesma empresa. "Olhando para trás, para o ataque no Bangladesh, nos primeiros dias havia muito poucos factos a ligar [esse ciberataque] ao Grupo Lazarus. Com o tempo, mais provas foram aparecendo que permitiram que nós e outros pudéssemos ligar os pontos com elevada confiança. É crucial que se aprofundem as investigações."
Atribuir ciberataques podem ser particularmente difícil. No caso do ataque à Sony Pictures, por exemplo, a Coreia do Norte nunca admitiu envolvimento e, apesar de muitos especialistas em cibersegurança e de o governo dos Estados Unidos terem quase a certeza dessa teoria, ninguém pode excluir a possibilidade de esse evento se ter tratado de uma operação false flag – ou seja, os hackers responsáveis podem simplesmente ter feito parecer que o ataque veio da Coreia do Norte recorrendo a técnicas semelhantes às que são usadas por hackers do hermético regime.
No caso do WannaCry, é possível que os responsáveis tenham simplesmente copiado o modelo de anteriores ataques executados pelo Grupo Lazarus. Apesar de tudo, e embora admita que é "possível" que este ciberataque tenha sido uma operação encoberta, a Kaspersky diz que tal é "improvável". "Há muitos 'ses' aqui", acrescenta Woodward. "Eu não iria a tribunal com isto. Mas merece ser mais investigado, com a consciência de que existe um preconceito contra a Coreia do Norte agora que [o país] foi identificado como possível [responsável]."
Até agora, esta é a teoria mais forte sobre as origens do WannaCry, que explora uma falha no sistema operativo Windows em computadores cujo software ainda não tinha sido atualizado; em março, e depois de a Agência de Segurança Nacional norte-americana (NSA) ter detetado falhas na versão mais recente do sistema informático, a Microsoft lançou uma atualização de segurança que muitos utilizadores ainda não tinham instalado, o que permitiu a propagação do vírus ao nível registado.
Apesar das suspeitas, há pormenores neste ciberataque que apontam para outros possíveis responsáveis que não a Coreia do Norte, entre eles o facto de a China ser um dos países que foi mais atingido e não de forma acidental – os hackers, aponta a BBC, fizeram questão que uma das versões do pedido de resgate fosse escrita em chinês. Parece pouco provável que Pyongyang quisesse antagonizar o seu aliado mais poderoso ou a Rússia, que também foi duramente afetada.
Para além disso, os ciberataques com origem na Coreia do Norte normalmente têm alvos muito mais definidos e específicos, quase sempre com um objetivo político em mente. Exemplo disso é o ataque de 2014 aos sistemas da Sony Pictures, em que os hackers tinham como objetivo impedir a estreia mundial do filme "Uma Entrevista de Loucos", uma sátira ao líder Kim Jong-un. O WannaCry, pelo contrário, parece não discriminar alvos, infeta tudo o que pode, e se tinha como objetivo angariar dinheiro não tem tido grande sucesso – até ver só foram pagos resgates num total de cerca de 60 mil dólares (54,6 mil euros) em bitcoins.
Uma outra possibilidade é que o Grupo Lazarus tenha avançado sozinho sem receber quaisquer instruções da Coreia do Norte ou que não esteja sequer ligado a Pyongyang. "Mais perguntas que respostas", aponta a BBC, quando em cenários de ciberguerra "os factos são extremamente difíceis de apurar".