A retomada das tensões entre Estados Unidos e Irã, no início de 2020, fez com que diversos analistas chamassem a atenção para a possibilidade de retaliação iraniana por meio de ações cibernéticas. Contudo, o interesse do país no desenvolvimento de capacidades cibernéticas não é novo. Desde a eclosão do Movimento Verde Iraniano, em 2009, o governo passou a investir em campanhas de desinformação a fim de promover seus objetivos de política externa. Em um primeiro momento, tais campanhas tinham como alvo países da região, como Bahrein e Síria, mas aos poucos passaram a abranger também países da América Latina – como Argentina, Cuba e Venezuela –, e os Estados Unidos. Além disso, fizeram uso de meios de comunicação tradicionais, especialmente a PressTV e a HispanTV, ambas filiadas à Islamic Republic of Iran Broadcasting (IRIB), empresa de mídia que detêm o monopólio dos serviços de rádio e televisão nacionais no Irã.

Adicionalmente, segundo reportagem da Reuters, o Irã mantém cerca de setenta sites, em diversos idiomas, voltados para a veiculação de notícias favoráveis ao regime, atingindo mais de meio milhão de pessoas por mês, em cerca de quinze países. Segundo a agência, os mesmos vinculam-se ao regime iraniano extraoficialmente por meio da International Union of Virtual Media (IUVM), que lhes fornece reportagens, vídeos e cartuns. Com sede em Teerã, a IUVM tem como um de seus objetivos “confrontar com extrema arrogância as atividades de governos ocidentais e sionistas”. Muitos dos sites vinculados à IUVM foram originalmente identificados pela FireEye, empresa de segurança digital localizada na Califórnia. Mais recentemente, a atuação iraniana tomou também as redes sociais. Em 2018, mais de seiscentas páginas voltadas para propagação de desinformação – tanto iranianas quanto russas – foram derrubadas do Facebook e Instagram. Em janeiro de 2019, Facebook e Twitter tiraram do ar centenas de perfis e de páginas vinculadas a ações de desinformação oriundas do Irã. Entre maio e outubro, mais perfis foram derrubados, também do Instagram.

Boa parte dos sites vinculados à IUVM oferecem endereços, telefones e e-mails de contato inexistentes e parecem mantidos com certo desleixo: muitas notícias estão repletas de erros gramaticais e ortográficos. Diversos sites também fazem uso de serviços de hospedagem localizados nos Estados Unidos, o que dificulta ainda mais a sua localização. Não obstante, nem todas as notícias veiculadas pelos sites da IUVM são falsas. Também são divulgadas mensagens do Líder Supremo do Irã, Aiatolá Ali Khamenei, e matérias que sustentam o antagonismo iraniano em relação a opositores do governo de Teerã, especialmente Arábia Saudita, Israel e Estados Unidos. Muitas matérias publicadas pela rede IUVM são copiadas de outros sites, sem qualquer tipo de atribuição de autoria, conforme atesta a análise realizada pelo Digital Forensic  Research Lab do Atlantic Council.

Segundo reportagem da CNN, as campanhas de desinformação do iranianas fizeram uso também da mídia impressa dos Estados Unidos, que publicou pelo menos treze “cartas ao editor” sugerindo o  fim do apoio estadunidense aos interesses da Arábia Saudita no Iêmen. Apesar disso, as atividades cibernéticas de desinformação do Irã, por ora, têm sido bem mais modestas do que aquelas perpetradas pela Rússia, por exemplo. Estima-se que, entre 2013 e 2018, cerca de mil perfis iranianos tenham gerado um milhão de tweets com mensagens políticas. No mesmo período, aproximadamente quatro mil perfis vinculados a Moscou transmitiram mais de nove milhões de tweets, de acordo com o próprio Twitter. Dessa sorte, o impacto das operações iranianas tem sido, naturalmente, menor. Ademais,  a ação iraniana tem repercussões, em geral, conjunturais, conforme ilustra um caso ocorrido em 2016, quando uma reportagem falsa veiculada pelo site AWDnews, da rede IUVM, levou o Ministro da Defesa do Paquistão a ameaçar o emprego de armas nucleares contra Israel.

Na medida em que as redes iranianas são descobertas, espera-se que as mesmas passem a adotar táticas cada vez mais complexas. No ano passado, o The Citizen Lab, da Universidade de Toronto, revelou a chamada operação Endless Mayfly, voltada para a disseminação de informações fraudulentas sobre Israel, Estados Unidos e, especialmente, Arábia Saudita. Além de reportagens e sites voltados para a desinformação, a operação também fazia uso de personas online responsáveis por aumentar o engajamento com tais publicações. As personas contatavam jornalistas, estudiosos e ativistas através de mensagens privadas em mídias sociais, a fim de ampliar o alcance de publicações fraudulentas, muitas das quais emulavam sites de instituições respeitadas, como o Belfer Center da Universidade Harvard e o The Guardian. Para tanto, a operação fez uso do chamado typosquatting, que consiste no registro de um nome de domínio com os erros tipográficos normalmente cometidos por usuários quando digitam o endereço de um site em um navegador. A técnica é comumente utilizada para atividades criminosas e phising, ainda que o registro de tais domínios não seja um crime em si. Além do typosquatting, a operação também se utilizou de punycode (que consiste na troca de letras por caracteres semelhantes a fim de criar domínios visualmente idênticos), do registro de diferentes domínios de topo (top-level domains [TLD]), e de ferramentas de redirecionamento.

Segundo o The Citizen Lab, a Endless Mayfly adotou a efemeridade como tática principal. Ou seja, uma vez que as notícias ganhavam amplitude eram propositadamente apagadas a fim de dificultar a atribuição. Atualmente, a maior parte do material já não está mais disponível online, salvo o que foi arquivado. A operação teve início em 2016 e envolveu 135 reportagens fraudulentas, 72 domínios, 11 personas, 160 persona bylines (artigos assinados por uma persona), e uma organização falsa.

Além disso, o laboratório identificou uma evolução tática na operação, ocorrida a partir de quatro fases sobrepostas, entre 2016 e 2018. Na primeira, seis personas vinculadas a uma organização chamada Peace, Security, and Justice Community (@PSJCommunity, atualmente desativada) promoviam reportagens fraudulentas com críticas à Arábia Saudita no Twitter.  Na segunda fase, novas personas foram incorporadas ao grupo. Desta vez, elas passaram a assinar seus próprios artigos, buscando estabelecer colaborações com jornalistas conhecidos. Muitos desses artigos foram publicados em sites não vinculados à operação, como o China Daily, Buzzfeed Community e Medium. Na terceira fase, a criação de personas e artigos originais diminuiu, sendo substituída pelo emprego de bots, que direcionavam tráfego para um texto fraudulento do The Atlantic e para a promoção da hashtag #ShameOnSaudiArabia. Finalmente, personas e artigos fraudulentos continuaram a ser criados, mais lentamente, e iniciaram-se contatos privados com jornalistas.

A análise do The Citizen Lab revelou que o Endless Mayfly buscava promover três meta-narrativas principais. Primeiro, que as relações da Arábia Saudita com seus aliados – por exemplo, Emirados Árabes Unidos, Qatar, França, Reino Unido e Estados Unidos – estariam tensionadas devido a manifestações hostis ou provocativas por parte de embaixadores, ministros, militares ou políticos. Segundo, que as relações entre Israel e uma série de estados árabes – Arábia Saudita e Bahrein, por exemplo, mas também Azerbaijão – estariam cada vez mais amistosas, denotando uma influência crescente do país na região. Terceiro, que o governo saudita apoiaria grupos terroristas islâmicos.

O The Citizen Lab também concluiu que o maior engajamento com o conteúdo veiculado pela operação ocorreu justamente na Arábia Saudita e nos Estados Unidos. Além disso, por três vezes notícias fraudulentas postadas em sites emulados foram erroneamente interpretadas como verdadeiras por canais midiáticos legítimos, levando a uma ampliação ainda maior do seu alcance. Em todos os casos, os canais tiveram de se retratar, enquanto os sites “pirateados” tiveram de esclarecer que não eram os responsáveis pelo conteúdo fraudulento.

Ainda que não seja possível afirmar categoricamente que a Endless Mayfly foi orquestrada pelo governo iraniano, é inegável que as narrativas propagadas pela operação reafirmam a retórica de Teerã de condenação ao governo saudita, bem como o discurso anti-Israel e anti-Estados Unidos. Também é possível que a operação tenha sido engendrada por um grupo desconhecido e sem filiação com o governo iraniano. Quando os primeiros artigos fraudulentos vieram à tona, especulou-se que os mesmos pudessem ter origem na Rússia, seja em virtude de seu conteúdo, seja em virtude das técnicas utilizadas para sua divulgação. Essa hipótese, contudo, é bastante improvável, dado o alinhamento dos conteúdos divulgados à política externa iraniana, por vezes contrária aos interesses russos.

A descoberta da rede IUVM e da Endless Mayfly ilustra não apenas o possível estado da arte das capacidades cibernéticas iranianas, mas também as táticas adotadas por campanhas de desinformação na Internet. De modo geral, tais campanhas buscam promover narrativas familiares e crenças enraizadas junto a seu público-alvo, incentivando temores preexistentes, fracionando a opinião pública e reforçando clivagens sociais. O sucesso e o impacto geopolítico da iniciativa são difíceis de medir, mas o caso demonstra que ainda existem desafios importantes em relação ao entendimento do fenômeno, especialmente no que diz respeito aos padrões de consumo e difusão de desinformação.

Após o assassinato de Qasem Soleimani, as redes sociais, em especial o Twitter, foram mais uma vez tomadas por mensagens de apoio ao governo iraniano e de vingança contra os Estados Unidos. Atualmente, apesar da reaproximação entre os dois governos, o temor é de que as operações iranianas possam escalonar, levando a ataques cibernéticos contra infraestruturas críticas ou empresas dentro dos Estados Unidos. Não obstante, por enquanto, o padrão de ataques oriundos do Irã tem se mantido inalterado, segundo reportagem da Forbes.

Mesmo que o Irã tenha desenvolvido certa capacidade de ataque, o país dificilmente colocará todas suas ferramentas em uso. Por ora, é mais vantajoso mantê-las em segredo ao invés de arriscar uma resposta possivelmente desproporcional. Um ataque cibernético deve ser planejado e executado com perfeição, seu sucesso depende da exploração de janelas de oportunidade pequenas, e os menores erros podem comprometer a viabilidade da missão. Além disso, qualquer retaliação cibernética poderia levar a uma retomada das hostilidades entre Washington e Teerã. O país sabe que o risco envolvido em uma operação deste tipo é muito alto e que a mesma demandaria, possivelmente, apoio de algum aliado. Por isso, o mais provável é que o Irã mantenha o modus operandi empregado até o momento, baseado em ataques de negação de serviços (denial-of-service [DoS]) e de defacement contra empresas privadas ou entidades governamentais locais.

Já em 2009, um relatório da inteligência dos Estados Unidos concluiu que o Irã tinha motivos para realizar um ataque cibernético contra o país, mas que naquele momento carecia de recursos para fazê-lo. Apenas três anos depois, o Irã foi acusado de conduzir um ataque contra a empresa petrolífera Saudi Aramco, comprometendo 75% dos dados armazenados em seus computadores. Além disso, entre 2011 e 2013 o país infligiu ataques de negação de serviço a diversas empresas estadunidenses, incluindo American Express, JPMorgan Chase, Wells Fargo, e AT&T, fazendo com que usuários ficassem impossibilitados de acessar os sistemas, às vezes, por muitas horas. Com a iminência da assinatura do acordo nuclear, em 2015, os ataques diminuíram, mas as ações de espionagem e de roubo de dados jamais cessaram.

Por tudo isso, o governo dos Estados Unidos está ciente das capacidades iranianas e igualmente engajado em suas próprias operações cibernéticas contra Teerã. O país mantém uma espécie de guerra cibernética silenciosa contra o Irã, com o objetivo de influenciar o padrão de comportamento do país sem iniciar uma guerra aberta ou fomentar retaliações. Em meados de 2019, por exemplo, os Estados Unidos derrubaram bancos de dados iranianos que ofereciam apoio a ações contra navios petroleiros no Golfo Pérsico. A mesma estratégia de “engajamento persistente” tem sido utilizada pelos Estados Unidos contra outros adversários.

Assim, a despeito do apelo midiático de um cenário de “apocalipse cibernético” causado pelo enfrentamento direto entre Estados Unidos e Irã, é importante analisar a situação com cautela. É mais provável que continuemos observando a ocorrência de operações mais pontuais, com o intuito de testar capacidades e desgastar a imagem pública de ambas as partes. Por ora, o controle do ciberespaço permanece sendo um multiplicador de força essencial, mas, nem por isso, autossuficiente.

Sobre o autor

Thiago Borne é Professor de Relações Internacionais da Universidade do Vale do Taquari (Univates) (tborne@gmail.com).

Como citar este artigo

Cite this article as: Editoria, "A Guerra Cibernética Silenciosa entre Estados Unidos e Irã, por Thiago Borne," in Revista Mundorama, 27/04/2020, https://mundorama.net/?p=26981.

Anúncios