Antes que o primeiro tiro fosse disparado no Mediterrâneo Oriental pelos navios do Ocidente, a primeira baixa já circulava na internet: o site do jornal americano New York Times foi derrubado na tarde de terça-feira (27/8). A autoria da ação é reivindicada pela conta do grupo hacker Twitter do Exército Eletrônico Sírio (SEA, na sigla em inglês). Por e-mail, o hacker Th3Pr0 confirma que a ação foi realizada pelo grupo, mas não dá detalhes ou motivos para a ação.
O jornal publicou uma mensagem na sua página no Facebook em que dizia que muitos usuários estavam tendo dificuldades para acessar o jornal em sua versão online. No who.is (portal que identifica a quem pertence cada site da internet), o New York Times estava registrado como propriedade do Syrian Arab Republic. Tecnicamente, a página do jornal americano continua ativa pelo endereço http://170.149.168.130/. “Estamos trabalhando para corrigir o problema. Nossa avaliação inicial é que a queda é provavelmente resultado de um ataque externo malicioso.”
O Exército Eletrônico Sírio afirmava na rede social ter alterado também o nome do registro do domínio do Twitter. A troca teria ocorrido nesta terça-feira e o registro do site ficou em posse do grupo por mais de uma hora. Quando O Globo checou a informação, por volta das 19h, o domínio do site já estava correto.
Três domínios
O grupo é o mesmo que atacou os perfis no Twitter de veículos de imprensa, como os britânicos The Guardian e a rede BBC, além do site do jornal The Washington Post. Os hackers são ativistas favoráveis ao regime do presidente Bashar al-Assad.
Até então, o SEA se restringia a ações de derrubada de sites por ataque de negação de serviço ou assumindo o controle de perfis do Twitter de veículos de comunicação. Agora, os hackers conseguiram acesso ao domínio dos alvos. “Se eles conseguiram mudar informações do registro do domínio, eles podem direcionar os acessos a esse endereço para qualquer servidor”, explica ao Globo Bruno Salgado, diretor da Clavis Segurança da Informação.
Não é possível saber como o ataque foi realizado. Salgado explica que ações deste tipo, na maioria das vezes, acontecem de duas maneiras: por força bruta, com o uso de computadores tentando diversas combinações de senha até que a correta seja encontrada, ou comprometendo a máquina de algum funcionário que tenha acesso às informações. O que chama atenção nesse caso é que os três domínios em questão foram registrados pelo mesmo serviço, o Melbourne IT, empresa com sede na Austrália.
******
André Lobato e Sergio Matsuura, do Globo