{"id":2093777,"date":"2025-02-26T06:00:57","date_gmt":"2025-02-26T11:00:57","guid":{"rendered":"https:\/\/gijn.org\/?p=2093777"},"modified":"2025-03-01T22:07:32","modified_gmt":"2025-03-02T03:07:32","slug":"guia-para-investigar-ameacas-digitais-infraestrutura","status":"publish","type":"post","link":"https:\/\/gijn.org\/pt-br\/recursos\/guia-para-investigar-ameacas-digitais-infraestrutura\/","title":{"rendered":"Investigando Amea\u00e7as Digitais: Infraestrutura Digital"},"content":{"rendered":"<p>Tal como acontece com um site online leg\u00edtimo, qualquer campanha de desinforma\u00e7\u00e3o ou ataque de spyware depende de uma infraestrutura digital que inclui um ou mais dom\u00ednios, servidores e aplica\u00e7\u00f5es. Qualquer coisa executada na Internet deixa alguns rastros que podem ser usados \u200b\u200bpara rastrear sua atividade e, em alguns casos, conectar diferentes infraestruturas. Este cap\u00edtulo apresenta uma introdu\u00e7\u00e3o \u00e0s ferramentas online que voc\u00ea pode usar para investigar a infraestrutura digital.<\/p>\n<h4><b>Como funciona a infraestrutura digital<\/b><\/h4>\n<p>O primeiro passo para rastrear a infraestrutura digital \u00e9 entender como ela funciona. Tomemos como exemplo o site da GIJN, <a href=\"http:\/\/gijn.org\">gijn.org<\/a>.<\/p>\n<p><b>Nome de dom\u00ednio<\/b><\/p>\n<p>Primeiro, ele usa o nome de dom\u00ednio gijn.org. Os nomes de dom\u00ednio foram estabelecidos nos prim\u00f3rdios da Internet para fornecer nomes f\u00e1ceis de usar para sites. Isso acontece para que as pessoas n\u00e3o precisem se lembrar de endere\u00e7os IP t\u00e9cnicos complexos como 174.24.134.42. O protocolo <a rel=\"noopener\" target=\"_blank\" href=\"https:\/\/en.wikipedia.org\/wiki\/Domain_Name_System\">Domain Name System<\/a> (DNS) \u00e9 usado para converter nomes de dom\u00ednio em endere\u00e7os IP. Existem diferentes tipos de registros para endere\u00e7os IP e o DNS \u00e9 usado para resolv\u00ea-los. Os registros MX s\u00e3o usados \u200b\u200bpara o servidor que ajuda a rotear e-mails para o endere\u00e7o correto vinculado a um dom\u00ednio (como info@gijn.org). Mas o principal registro usado no DNS \u00e9 o tipo A para endere\u00e7os IPv4 (o endere\u00e7o tradicional da Internet, como gijn.org) e AAAA para endere\u00e7os IPv6. (IPv6 \u00e9 um formato de endere\u00e7o mais recente que permite mais endere\u00e7os na Internet; a maioria dos sistemas ainda usa endere\u00e7os IPv4 e IPv6.) Seu navegador da web faz automaticamente o trabalho de resolver o nome de dom\u00ednio que voc\u00ea insere para seu endere\u00e7o IP quando voc\u00ea visita um site. Mas voc\u00ea pode usar uma ferramenta online como o <a rel=\"noopener\" target=\"_blank\" href=\"https:\/\/centralops.net\/co\/\">CentralOps<\/a> para fazer isso manualmente. Por exemplo, quando inserimos gijn.org no CentralOps, obtemos o endere\u00e7o IPv4 34.122.151.197 e nenhum endere\u00e7o IPv6.<\/p>\n<aside>Identifiquei que um dom\u00ednio usado para phishing foi registrado com o endere\u00e7o de e-mail b.adan1[@]walla.co.il. Acontece que o agressor n\u00e3o pensou em ativar a privacidade do Whois.<\/aside>\n<p>Os nomes de dom\u00ednio precisam ser adquiridos de <a rel=\"noopener\" target=\"_blank\" href=\"https:\/\/pt.wikipedia.org\/wiki\/Registrador_de_dom%C3%ADnios\">registradores<\/a>. Essas empresas gerenciam o registro de nomes de dom\u00ednio para clientes e atuam como intermedi\u00e1rios com <a rel=\"noopener\" target=\"_blank\" href=\"https:\/\/pt.wikipedia.org\/wiki\/Domain_name_registry\">registros que gerenciam dom\u00ednios de primeiro n\u00edvel (TLD) como .com, .org ou .fr<\/a>. Os registros mant\u00eam um banco de dados de informa\u00e7\u00f5es sobre os dom\u00ednios existentes para seu TLD, chamado de banco de dados Whois. \u00c9 poss\u00edvel realizar uma busca Whois por informa\u00e7\u00f5es sobre dom\u00ednios atuais usando ferramentas web como <a rel=\"noopener\" target=\"_blank\" href=\"http:\/\/centralops\">CentralOps<\/a>. Em alguns casos, sua pesquisa Whois fornecer\u00e1 informa\u00e7\u00f5es sobre o propriet\u00e1rio de um dom\u00ednio, incluindo nome, n\u00famero de telefone, endere\u00e7o de e-mail e endere\u00e7o f\u00edsico. Mas os dados pessoais dos propriet\u00e1rios de dom\u00ednios s\u00e3o frequentemente ocultados dos bancos de dados Whois por motivos de privacidade. As pessoas podem pagar para ocultar essas informa\u00e7\u00f5es dos resultados da pesquisa Whois, e muitas pessoas e empresas optam por faz\u00ea-lo. Mesmo nesses casos, ainda \u00e9 poss\u00edvel saber a data do registro, a data da renova\u00e7\u00e3o e o registrador utilizado. Por exemplo, aqui est\u00e1 o que obtemos pela pesquisa Whois em gijn.org.<\/p>\n<div id=\"attachment_1192432\" style=\"width: 878px\" class=\"wp-caption alignnone\"><a href=\"https:\/\/gijn.org\/wp-content\/uploads\/2023\/04\/DeepinScreenshot_select-area_20230305225742.png\"><img loading=\"lazy\" decoding=\"async\" aria-describedby=\"caption-attachment-1192432\" class=\"wp-image-1192432 size-full\" src=\"https:\/\/gijn.org\/wp-content\/uploads\/2023\/04\/DeepinScreenshot_select-area_20230305225742.png\" alt=\"\" width=\"868\" height=\"515\" srcset=\"https:\/\/gijn.org\/wp-content\/uploads\/2023\/04\/DeepinScreenshot_select-area_20230305225742.png 868w, https:\/\/gijn.org\/wp-content\/uploads\/2023\/04\/DeepinScreenshot_select-area_20230305225742-336x199.png 336w, https:\/\/gijn.org\/wp-content\/uploads\/2023\/04\/DeepinScreenshot_select-area_20230305225742-771x457.png 771w, https:\/\/gijn.org\/wp-content\/uploads\/2023\/04\/DeepinScreenshot_select-area_20230305225742-768x456.png 768w\" sizes=\"auto, (max-width: 868px) 100vw, 868px\" \/><\/a><p id=\"caption-attachment-1192432\" class=\"wp-caption-text\">Entrada Whois para gijn.org em mar\u00e7o de 2023. Imagem: Captura de tela, Whois<\/p><\/div>\n<p>Mesmo que as informa\u00e7\u00f5es do registrante tenham sido ocultadas, podemos ver que o dom\u00ednio foi comprado atrav\u00e9s da empresa GoDaddy (o registrador) em 24 de junho de 2009 pela primeira vez e, desde ent\u00e3o, renovado regularmente.<\/p>\n<p><b>Servidor<\/b><\/p>\n<p>Um site precisa estar hospedado em algum lugar. Trata-se de um computador f\u00edsico denominado servidor, onde todos os arquivos associados ao site s\u00e3o armazenados e disponibilizados sempre que algu\u00e9m solicita uma p\u00e1gina do site atrav\u00e9s do navegador. A maioria dos servidores hoje s\u00e3o hospedados por provedores de hospedagem profissionais, como OVH ou Digital Ocean, ou mesmo provedores de nuvem como Amazon Web Services ou Google Cloud.<\/p>\n<p>Os servidores est\u00e3o ligados \u00e0 Internet atrav\u00e9s de um ou v\u00e1rios endere\u00e7os IP (na maioria das vezes atrav\u00e9s de um endere\u00e7o IPv4 e um endere\u00e7o IPv6). Esses endere\u00e7os IP s\u00e3o delegados pelos <a rel=\"noopener\" target=\"_blank\" href=\"https:\/\/pt.wikipedia.org\/wiki\/Registro_Regional_da_Internet\">Registros Regionais da Internet<\/a> a empresas ou organiza\u00e7\u00f5es, que os utilizam em seus sistemas. Uma empresa de hospedagem ter\u00e1 muitos endere\u00e7os IP e os atribuir\u00e1 a seus diversos servidores, que s\u00e3o usados \u200b\u200bpara hospedar sites individuais.<\/p>\n<p>Cada propriet\u00e1rio de endere\u00e7o IP tamb\u00e9m precisa informar \u00e0s diferentes redes conectadas \u00e0 internet os IPs que gerencia, para que possam enviar tr\u00e1fego em sua dire\u00e7\u00e3o. Isto requer o registro de um <a rel=\"noopener\" target=\"_blank\" href=\"https:\/\/pt.wikipedia.org\/wiki\/Sistema_aut%C3%B4nomo_(Internet)\">Sistema Aut\u00f4nomo<\/a> (SA), entidade administrativa reconhecida por todas as redes de Internet e identificada por um n\u00famero \u00fanico. Por exemplo, AS1252 \u00e9 o n\u00famero do UNMC-AS, o Centro M\u00e9dico da Universidade de Nebraska. <a rel=\"noopener\" target=\"_blank\" href=\"https:\/\/www.bgplookingglass.com\/list-of-autonomous-system-numbers\">Existe online uma lista bastante abrangente de n\u00fameros AS<\/a>. A maioria das empresas de hospedagem possui um ou v\u00e1rios ASs.<\/p>\n<p>Uma ferramenta como o <a rel=\"noopener\" target=\"_blank\" href=\"https:\/\/ipinfo.io\/\">ipinfo.io<\/a> permite identificar o AS de um endere\u00e7o IP, a empresa por tr\u00e1s dele e uma estimativa da localiza\u00e7\u00e3o do servidor ao qual o IP est\u00e1 conectado. Observe que essas informa\u00e7\u00f5es de geolocaliza\u00e7\u00e3o<a rel=\"noopener\" target=\"_blank\" href=\"https:\/\/www.theguardian.com\/technology\/2016\/aug\/09\/maxmind-mapping-lawsuit-kansas-farm-ip-address\"> n\u00e3o s\u00e3o perfeitamente precisas<\/a>. Para o endere\u00e7o 34.122.151.197 da GIJN, vemos que ele faz parte do <a rel=\"noopener\" target=\"_blank\" href=\"https:\/\/bgp.he.net\/AS396982\">AS396982<\/a> que pertence ao Google e parece estar localizado no <a rel=\"noopener\" target=\"_blank\" href=\"https:\/\/www.google.com\/about\/datacenters\/locations\/council-bluffs\/\">data center do Google em Iowa<\/a>. As pesquisas Whois tamb\u00e9m fornecem um endere\u00e7o IP, que \u00e0s vezes fornece informa\u00e7\u00f5es mais precisas do que apenas o AS, mas n\u00e3o neste exemplo. Uma ferramenta como o ipinfo.io fornecer\u00e1 os resultados mais completos.<\/p>\n<p><b>Certificado HTTPS<\/b><\/p>\n<p><a rel=\"noopener\" target=\"_blank\" href=\"https:\/\/en.wikipedia.org\/wiki\/HTTPS\">Hypertext Transfer Protocol Secure<\/a> (HTTPs) \u00e9 um protocolo seguro usado para comunica\u00e7\u00e3o entre um navegador da web e o servidor que hospeda o site. Ele permite que o navegador verifique a identidade do servidor usando um certificado criptogr\u00e1fico. Isso ajuda a garantir que o navegador esteja carregando o site gijn.org real, e n\u00e3o um servidor usurpando sua identidade. Cada certificado criptogr\u00e1fico \u00e9 emitido por uma autoridade de certifica\u00e7\u00e3o terceirizada reconhecida pelos diferentes navegadores e sistemas operacionais. Esses certificados s\u00e3o emitidos por um per\u00edodo limitado (geralmente entre tr\u00eas meses e um ano) e precisam ser renovados regularmente. Para visualizar um certificado, voc\u00ea pode clicar no \u00edcone de cadeado na barra do navegador e selecionar \u201ca conex\u00e3o \u00e9 segura\u201d e \u201cmais informa\u00e7\u00f5es\u201d. Aqui est\u00e1 o que obtemos para o site da GIJN.<\/p>\n<div id=\"attachment_1192498\" style=\"width: 825px\" class=\"wp-caption alignnone\"><a href=\"https:\/\/gijn.org\/wp-content\/uploads\/2023\/04\/DeepinScreenshot_select-area_20230305224448.png\"><img loading=\"lazy\" decoding=\"async\" aria-describedby=\"caption-attachment-1192498\" class=\"wp-image-1192498 size-full\" src=\"https:\/\/gijn.org\/wp-content\/uploads\/2023\/04\/DeepinScreenshot_select-area_20230305224448.png\" alt=\"\" width=\"815\" height=\"786\" srcset=\"https:\/\/gijn.org\/wp-content\/uploads\/2023\/04\/DeepinScreenshot_select-area_20230305224448.png 815w, https:\/\/gijn.org\/wp-content\/uploads\/2023\/04\/DeepinScreenshot_select-area_20230305224448-336x324.png 336w, https:\/\/gijn.org\/wp-content\/uploads\/2023\/04\/DeepinScreenshot_select-area_20230305224448-771x744.png 771w, https:\/\/gijn.org\/wp-content\/uploads\/2023\/04\/DeepinScreenshot_select-area_20230305224448-768x741.png 768w\" sizes=\"auto, (max-width: 815px) 100vw, 815px\" \/><\/a><p id=\"caption-attachment-1192498\" class=\"wp-caption-text\">O certificado HTTPs para gijn.org em fevereiro de 2023. Imagem: Captura de tela, Let\u2019s Encrypt<\/p><\/div>\n<p>Vemos que este certificado foi fornecido pela autoridade de certifica\u00e7\u00e3o gratuita <a rel=\"noopener\" target=\"_blank\" href=\"https:\/\/letsencrypt.org\/\">Let\u2019s Encrypt<\/a> em 20 de fevereiro de 2023 e ficou v\u00e1lido at\u00e9 21 de maio. Se o \u00edcone de cadeado na barra do seu navegador estiver aberto ou se n\u00e3o houver \u00edcone de cadeado e a men\u00e7\u00e3o \u201cn\u00e3o seguro\u201d, significa que voc\u00ea est\u00e1 navegando em um site usando o protocolo HTTP inseguro que n\u00e3o criptografa a comunica\u00e7\u00e3o com o servidor e verifica sua autenticidade.<\/p>\n<p>Aqui est\u00e1 um diagrama que resume os diferentes aspectos desta infraestrutura.<\/p>\n<div id=\"attachment_1192454\" style=\"width: 958px\" class=\"wp-caption alignnone\"><a href=\"https:\/\/gijn.org\/wp-content\/uploads\/2023\/04\/imageLikeEmbed.png\"><img loading=\"lazy\" decoding=\"async\" aria-describedby=\"caption-attachment-1192454\" class=\"wp-image-1192454 size-full\" src=\"https:\/\/gijn.org\/wp-content\/uploads\/2023\/04\/imageLikeEmbed.png\" alt=\"\" width=\"948\" height=\"546\" srcset=\"https:\/\/gijn.org\/wp-content\/uploads\/2023\/04\/imageLikeEmbed.png 948w, https:\/\/gijn.org\/wp-content\/uploads\/2023\/04\/imageLikeEmbed-336x194.png 336w, https:\/\/gijn.org\/wp-content\/uploads\/2023\/04\/imageLikeEmbed-771x444.png 771w, https:\/\/gijn.org\/wp-content\/uploads\/2023\/04\/imageLikeEmbed-768x442.png 768w\" sizes=\"auto, (max-width: 948px) 100vw, 948px\" \/><\/a><p id=\"caption-attachment-1192454\" class=\"wp-caption-text\">Diagrama de infraestrutura digital da web. Imagem: Cortesia do autor<\/p><\/div>\n<p>Vamos resumir o que aprendemos sobre o site <a href=\"http:\/\/gijn.org\">gijn.org<\/a>:<\/p>\n<ul>\n<li style=\"font-weight: 400;\" aria-level=\"1\">Ele usa o dom\u00ednio gijn.org que foi comprado inicialmente no GoDaddy em 24 de junho de 2009.<\/li>\n<li style=\"font-weight: 400;\" aria-level=\"1\">Est\u00e1 hospedado em um servidor com endere\u00e7o IP 34.122.151.197 que faz parte do AS396982, que pertence ao Google Cloud.<\/li>\n<li style=\"font-weight: 400;\" aria-level=\"1\">Ele usa um certificado HTTPs, fornecido pela Let\u2019s Encrypt em 20 de fevereiro de 2023.<\/li>\n<\/ul>\n<h4><b>Fontes de dados<\/b><\/h4>\n<p>Agora que entendemos os fundamentos de uma infraestrutura digital, vamos ver como podemos analis\u00e1-la mais detalhadamente. Existem v\u00e1rias fontes de dados que podem ser usadas para uma investiga\u00e7\u00e3o mais aprofundada. Algumas dessas ferramentas s\u00e3o gratuitas e outras exigem acesso pago. (Algumas plataformas oferecem acesso gratuito \u00e0 pesquisa para jornalistas, por isso vale a pena entrar em contato para perguntar.)<\/p>\n<p><b>Whois e Whois hist\u00f3rico<\/b><\/p>\n<p>Como vimos anteriormente, os registros de dom\u00ednio Whois podem exibir informa\u00e7\u00f5es como nome, n\u00famero de telefone, e-mail ou endere\u00e7o, mas essas informa\u00e7\u00f5es costumam ser ocultadas por motivos de privacidade. (O Regulamento Geral de Prote\u00e7\u00e3o de Dados da UE \u2013 GDPR \u2013 acelerou esta tend\u00eancia.) A boa not\u00edcia \u00e9 que v\u00e1rias plataformas comerciais recolhem dados Whois h\u00e1 anos e podem fornecer acesso a essas bases de dados. Isso \u00e9 \u00fatil de v\u00e1rias maneiras. Primeiro, ao usar dados hist\u00f3ricos, voc\u00ea pode voltar no tempo at\u00e9 o momento em que o propriet\u00e1rio do dom\u00ednio n\u00e3o tinha nenhuma prote\u00e7\u00e3o de privacidade e encontrar suas informa\u00e7\u00f5es. Isso \u00e9 \u00fatil principalmente para sites que est\u00e3o online h\u00e1 muito tempo, ou seja, pelo menos alguns anos ou mais. Voc\u00ea tamb\u00e9m pode usar essas informa\u00e7\u00f5es de propriedade como ponto central para encontrar dom\u00ednios adicionais registrados pela mesma pessoa ou entidade.<\/p>\n<p>Por exemplo, em 2019, eu estava investigando uma <a rel=\"noopener\" target=\"_blank\" href=\"https:\/\/www.amnesty.org\/en\/latest\/research\/2020\/03\/targeted-surveillance-attacks-in-uzbekistan-an-old-threat-with-new-techniques\/\">campanha de phishing e spyware dirigida a ativistas do Uzbequist\u00e3o<\/a>. Usando registros hist\u00f3ricos de dom\u00ednio, identifiquei que um dom\u00ednio usado para phishing foi registrado com o endere\u00e7o de e-mail b.adan1[@]walla.co.il. Acontece que o agressor n\u00e3o pensou em ativar a privacidade do Whois.<\/p>\n<p><div id=\"attachment_1192388\" style=\"width: 875px\" class=\"wp-caption alignnone\"><a href=\"https:\/\/gijn.org\/wp-content\/uploads\/2023\/04\/DeepinScreenshot_select-area_20230307235134.png\"><img loading=\"lazy\" decoding=\"async\" aria-describedby=\"caption-attachment-1192388\" class=\"wp-image-1192388 size-full\" src=\"https:\/\/gijn.org\/wp-content\/uploads\/2023\/04\/DeepinScreenshot_select-area_20230307235134.png\" alt=\"\" width=\"865\" height=\"584\" srcset=\"https:\/\/gijn.org\/wp-content\/uploads\/2023\/04\/DeepinScreenshot_select-area_20230307235134.png 865w, https:\/\/gijn.org\/wp-content\/uploads\/2023\/04\/DeepinScreenshot_select-area_20230307235134-336x227.png 336w, https:\/\/gijn.org\/wp-content\/uploads\/2023\/04\/DeepinScreenshot_select-area_20230307235134-771x521.png 771w, https:\/\/gijn.org\/wp-content\/uploads\/2023\/04\/DeepinScreenshot_select-area_20230307235134-768x519.png 768w\" sizes=\"auto, (max-width: 865px) 100vw, 865px\" \/><\/a><p id=\"caption-attachment-1192388\" class=\"wp-caption-text\">Entrada Whois para my-id[.]top em outubro de 2019 no RiskIQ. Imagem: Captura de tela, RiskIQ<\/p><\/div>Ao pesquisar outros dom\u00ednios registados com o mesmo endere\u00e7o de email, consegui identificar muitos mais dom\u00ednios relacionados com esta campanha online.<\/p>\n<p><div id=\"attachment_1192410\" style=\"width: 1180px\" class=\"wp-caption alignnone\"><a href=\"https:\/\/gijn.org\/wp-content\/uploads\/2023\/04\/DeepinScreenshot_select-area_20230306222312.png\"><img loading=\"lazy\" decoding=\"async\" aria-describedby=\"caption-attachment-1192410\" class=\"wp-image-1192410 size-full\" src=\"https:\/\/gijn.org\/wp-content\/uploads\/2023\/04\/DeepinScreenshot_select-area_20230306222312-1170x488.png\" alt=\"\" width=\"1170\" height=\"488\" srcset=\"https:\/\/gijn.org\/wp-content\/uploads\/2023\/04\/DeepinScreenshot_select-area_20230306222312-1170x488.png 1170w, https:\/\/gijn.org\/wp-content\/uploads\/2023\/04\/DeepinScreenshot_select-area_20230306222312-336x140.png 336w, https:\/\/gijn.org\/wp-content\/uploads\/2023\/04\/DeepinScreenshot_select-area_20230306222312-771x322.png 771w, https:\/\/gijn.org\/wp-content\/uploads\/2023\/04\/DeepinScreenshot_select-area_20230306222312-768x320.png 768w, https:\/\/gijn.org\/wp-content\/uploads\/2023\/04\/DeepinScreenshot_select-area_20230306222312-1536x641.png 1536w, https:\/\/gijn.org\/wp-content\/uploads\/2023\/04\/DeepinScreenshot_select-area_20230306222312.png 1817w\" sizes=\"auto, (max-width: 1170px) 100vw, 1170px\" \/><\/a><p id=\"caption-attachment-1192410\" class=\"wp-caption-text\">Lista de dom\u00ednios registrados por b.adan1[@]walla.co.il no RiskIQ. Imagem: Captura de tela, RiskIQ<\/p><\/div>As plataformas comerciais que fornecem informa\u00e7\u00f5es hist\u00f3ricas incluem <a rel=\"noopener\" target=\"_blank\" href=\"https:\/\/community.riskiq.com\/\">RiskIQ<\/a>, <a rel=\"noopener\" target=\"_blank\" href=\"https:\/\/www.domaintools.com\/\">DomainTools<\/a>, <a rel=\"noopener\" target=\"_blank\" href=\"https:\/\/www.recordedfuture.com\/\">Recorded Future<\/a> e <a rel=\"noopener\" target=\"_blank\" href=\"https:\/\/umbrella.cisco.com\/\">Cisco Umbrella<\/a>. Servi\u00e7os como <a rel=\"noopener\" target=\"_blank\" href=\"https:\/\/www.whoxy.com\/\">Whoxy.com<\/a> e <a rel=\"noopener\" target=\"_blank\" href=\"https:\/\/whoisology.com\/\">Whoisology.com<\/a>, que possuem um n\u00edvel gratuito, \u00e0s vezes tamb\u00e9m fornecem trechos de registros hist\u00f3ricos.<\/p>\n<p><b>Informa\u00e7\u00f5es de DNS passivo\u00a0<\/b><\/p>\n<p>Conforme detalhado anteriormente, o protocolo DNS permite encontrar o endere\u00e7o IP do servidor de um dom\u00ednio em um determinado momento. Para acompanhar a evolu\u00e7\u00e3o da infraestrutura, pessoas e empresas, colete registros de consultas e respostas DNS para registrar o hist\u00f3rico de respostas DNS. Este tipo de dados \u00e9 denominado DNS passivo. \u00c9 o equivalente a um registro hist\u00f3rico Whois para DNS.<\/p>\n<p>O DNS passivo \u00e9 uma ferramenta importante para rastrear infraestrutura. Muitos sites maliciosos s\u00e3o tempor\u00e1rios e podem ficar ativos apenas por alguns dias ou semanas. Assim, ter dados hist\u00f3ricos permite-nos compreender muito melhor os dom\u00ednios e servidores utilizados. Tamb\u00e9m permite rastrear a infraestrutura digital durante um longo per\u00edodo de tempo, ajudando-nos a compreender quando a atividade maliciosa come\u00e7ou.<\/p>\n<p>Os dados de DNS passivo s\u00e3o normalmente apresentados na forma de IP, dom\u00ednio, data de in\u00edcio e data de t\u00e9rmino. A maioria das plataformas permite a pesquisa por IP ou dom\u00ednio, e algumas plataformas incluem mais tipos de DNS do que apenas A\/AAAA.<\/p>\n<p>Para continuar com o exemplo da campanha de phishing citado acima, um dos primeiros e-mails de phishing identificados tinha um link para o dom\u00ednio <i>mail.gmal.con.my-id[.]top<\/i>. Para identificar os servidores utilizados, podemos pesquisar todas as resolu\u00e7\u00f5es IP deste dom\u00ednio em um banco de dados DNS passivo como o Farsight DNSDB.<\/p>\n<p><div id=\"attachment_1192520\" style=\"width: 1159px\" class=\"wp-caption alignnone\"><a href=\"https:\/\/gijn.org\/wp-content\/uploads\/2023\/04\/DeepinScreenshot_select-area_20230306225324.png\"><img loading=\"lazy\" decoding=\"async\" aria-describedby=\"caption-attachment-1192520\" class=\"wp-image-1192520 size-full\" src=\"https:\/\/gijn.org\/wp-content\/uploads\/2023\/04\/DeepinScreenshot_select-area_20230306225324.png\" alt=\"\" width=\"1149\" height=\"608\" srcset=\"https:\/\/gijn.org\/wp-content\/uploads\/2023\/04\/DeepinScreenshot_select-area_20230306225324.png 1149w, https:\/\/gijn.org\/wp-content\/uploads\/2023\/04\/DeepinScreenshot_select-area_20230306225324-336x178.png 336w, https:\/\/gijn.org\/wp-content\/uploads\/2023\/04\/DeepinScreenshot_select-area_20230306225324-771x408.png 771w, https:\/\/gijn.org\/wp-content\/uploads\/2023\/04\/DeepinScreenshot_select-area_20230306225324-768x406.png 768w\" sizes=\"auto, (max-width: 1149px) 100vw, 1149px\" \/><\/a><p id=\"caption-attachment-1192520\" class=\"wp-caption-text\">Resolu\u00e7\u00f5es IPv4 do dom\u00ednio mail.gmal.con.my-id[.]top no Farsight DNSDB. Imagem: Captura de tela, Farsight DNSDB<\/p><\/div>Podemos ent\u00e3o procurar dom\u00ednios hospedados neste mesmo endere\u00e7o IP no momento do ataque.<\/p>\n<div id=\"attachment_1192542\" style=\"width: 1117px\" class=\"wp-caption alignnone\"><a href=\"https:\/\/gijn.org\/wp-content\/uploads\/2023\/04\/DeepinScreenshot_select-area_20230306225341.png\"><img loading=\"lazy\" decoding=\"async\" aria-describedby=\"caption-attachment-1192542\" class=\"wp-image-1192542 size-full\" src=\"https:\/\/gijn.org\/wp-content\/uploads\/2023\/04\/DeepinScreenshot_select-area_20230306225341.png\" alt=\"\" width=\"1107\" height=\"556\" srcset=\"https:\/\/gijn.org\/wp-content\/uploads\/2023\/04\/DeepinScreenshot_select-area_20230306225341.png 1107w, https:\/\/gijn.org\/wp-content\/uploads\/2023\/04\/DeepinScreenshot_select-area_20230306225341-336x169.png 336w, https:\/\/gijn.org\/wp-content\/uploads\/2023\/04\/DeepinScreenshot_select-area_20230306225341-771x387.png 771w, https:\/\/gijn.org\/wp-content\/uploads\/2023\/04\/DeepinScreenshot_select-area_20230306225341-768x386.png 768w\" sizes=\"auto, (max-width: 1107px) 100vw, 1107px\" \/><\/a><p id=\"caption-attachment-1192542\" class=\"wp-caption-text\">Amostra de resolu\u00e7\u00f5es de dom\u00ednio para o IP 139.60.163.29 no Farsight DNSDB. Imagem: Captura de tela, Farsight DNSDB<\/p><\/div>\n<p>Os provedores de DNS passivo incluem <a rel=\"noopener\" target=\"_blank\" href=\"https:\/\/www.farsightsecurity.com\/solutions\/dnsdb\/\">Farsight DNSDB<\/a>, <a rel=\"noopener\" target=\"_blank\" href=\"https:\/\/www.domaintools.com\/\">DomainTools<\/a>, <a rel=\"noopener\" target=\"_blank\" href=\"https:\/\/community.riskiq.com\/\">Risk IQ<\/a>, <a rel=\"noopener\" target=\"_blank\" href=\"https:\/\/www.circl.lu\/services\/passive-dns\/\">Circl<\/a>, <a rel=\"noopener\" target=\"_blank\" href=\"https:\/\/zetalytics.com\/\">Zetalytics<\/a>, <a rel=\"noopener\" target=\"_blank\" href=\"https:\/\/www.recordedfuture.com\/\">Recorded Future<\/a>, <a rel=\"noopener\" target=\"_blank\" href=\"https:\/\/umbrella.cisco.com\/\">Cisco Umbrella<\/a> e <a rel=\"noopener\" target=\"_blank\" href=\"https:\/\/securitytrails.com\/\">Security Trails<\/a>. Diferentes provedores t\u00eam diferentes fontes de dados para coleta passiva de dados de DNS, portanto a maioria dos conjuntos de dados s\u00e3o incompletos e complementares. O ideal \u00e9 usar v\u00e1rios servi\u00e7os para obter uma imagem mais completa. O mesmo se aplica aos registros hist\u00f3ricos do Whois.<\/p>\n<p><b>Bancos de dados de transpar\u00eancia de certificados<\/b><\/p>\n<p>Assim como todo site tem um nome de dom\u00ednio e endere\u00e7o(s) IP, a maioria tamb\u00e9m usa um certificado HTTPs. Isso significa que podemos usar informa\u00e7\u00f5es sobre certificados como parte de uma investiga\u00e7\u00e3o de infraestrutura. Os certificados est\u00e3o dispon\u00edveis para auditoria gra\u00e7as a um padr\u00e3o de seguran\u00e7a denominado <a rel=\"noopener\" target=\"_blank\" href=\"https:\/\/en.wikipedia.org\/wiki\/Certificate_Transparency\">Transpar\u00eancia de Certificados<\/a>, que cria registros p\u00fablicos para todos os certificados emitidos pelas autoridades. Plataformas como <a rel=\"noopener\" target=\"_blank\" href=\"https:\/\/search.censys.io\/\">Censys<\/a> ou <a rel=\"noopener\" target=\"_blank\" href=\"https:\/\/crt.sh\/\">Crt.sh<\/a> fornecem acesso gratuito a esses dados. Os certificados n\u00e3o fornecem muitos detalhes sobre quem os criou, mas voc\u00ea pode confirmar se um dom\u00ednio ou subdom\u00ednio foi usado por um certificado espec\u00edfico e examinar um cronograma para a utiliza\u00e7\u00e3o de tais dom\u00ednios.<\/p>\n<p>A campanha de phishing direcionada a ativistas no Uzbequist\u00e3o usou spyware para Android que se comunicava com o dom\u00ednio <i>garant-help[.]com<\/i>. Uma pesquisa r\u00e1pida em <a rel=\"noopener\" target=\"_blank\" href=\"http:\/\/crt.sh\">Crt.sh<\/a> nos d\u00e1 uma linha do tempo de quando esse dom\u00ednio (e, portanto, o spyware) foi realmente usado ativamente pelos operadores da campanha.<\/p>\n<p><div id=\"attachment_1192564\" style=\"width: 1035px\" class=\"wp-caption alignnone\"><a href=\"https:\/\/gijn.org\/wp-content\/uploads\/2023\/04\/DeepinScreenshot_select-area_20230306230817.png\"><img loading=\"lazy\" decoding=\"async\" aria-describedby=\"caption-attachment-1192564\" class=\"wp-image-1192564 size-full\" src=\"https:\/\/gijn.org\/wp-content\/uploads\/2023\/04\/DeepinScreenshot_select-area_20230306230817.png\" alt=\"\" width=\"1025\" height=\"275\" srcset=\"https:\/\/gijn.org\/wp-content\/uploads\/2023\/04\/DeepinScreenshot_select-area_20230306230817.png 1025w, https:\/\/gijn.org\/wp-content\/uploads\/2023\/04\/DeepinScreenshot_select-area_20230306230817-336x90.png 336w, https:\/\/gijn.org\/wp-content\/uploads\/2023\/04\/DeepinScreenshot_select-area_20230306230817-771x207.png 771w, https:\/\/gijn.org\/wp-content\/uploads\/2023\/04\/DeepinScreenshot_select-area_20230306230817-768x206.png 768w\" sizes=\"auto, (max-width: 1025px) 100vw, 1025px\" \/><\/a><p id=\"caption-attachment-1192564\" class=\"wp-caption-text\">Pesquisa de certificados para garant-help[.]com em Crt.sh. Imagem: Captura de tela, Crt.sh<\/p><\/div><b>Verifica\u00e7\u00e3o em toda a Internet<\/b><\/p>\n<p>A Internet consiste em alguns bilh\u00f5es de sistemas interconectados. Por exemplo, existem no m\u00e1ximo pouco mais de quatro bilh\u00f5es de endere\u00e7os IPv4. Com a largura de banda dispon\u00edvel hoje, \u00e9 poss\u00edvel verificar regularmente uma grande parte dos sistemas da Internet. V\u00e1rias empresas est\u00e3o fazendo esse tipo de varredura regularmente na Internet e fornecendo acesso a bancos de dados com os resultados.<\/p>\n<div id=\"attachment_1192594\" style=\"width: 1180px\" class=\"wp-caption alignnone\"><a href=\"https:\/\/gijn.org\/wp-content\/uploads\/2023\/04\/DeepinScreenshot_select-area_20230306232242.png\"><img loading=\"lazy\" decoding=\"async\" aria-describedby=\"caption-attachment-1192594\" class=\"wp-image-1192594 size-full\" src=\"https:\/\/gijn.org\/wp-content\/uploads\/2023\/04\/DeepinScreenshot_select-area_20230306232242-1170x539.png\" alt=\"\" width=\"1170\" height=\"539\" srcset=\"https:\/\/gijn.org\/wp-content\/uploads\/2023\/04\/DeepinScreenshot_select-area_20230306232242-1170x539.png 1170w, https:\/\/gijn.org\/wp-content\/uploads\/2023\/04\/DeepinScreenshot_select-area_20230306232242-336x155.png 336w, https:\/\/gijn.org\/wp-content\/uploads\/2023\/04\/DeepinScreenshot_select-area_20230306232242-771x355.png 771w, https:\/\/gijn.org\/wp-content\/uploads\/2023\/04\/DeepinScreenshot_select-area_20230306232242-768x354.png 768w, https:\/\/gijn.org\/wp-content\/uploads\/2023\/04\/DeepinScreenshot_select-area_20230306232242-1536x708.png 1536w, https:\/\/gijn.org\/wp-content\/uploads\/2023\/04\/DeepinScreenshot_select-area_20230306232242.png 1896w\" sizes=\"auto, (max-width: 1170px) 100vw, 1170px\" \/><\/a><p id=\"caption-attachment-1192594\" class=\"wp-caption-text\">Informa\u00e7\u00f5es Shodan para o endere\u00e7o IP que hospeda gijn.org. Imagem: Captura de tela, Shodan<\/p><\/div>\n<p>As varreduras t\u00eam limita\u00e7\u00f5es, pois nem todos os servi\u00e7os s\u00e3o escaneados por essas plataformas, e elas fazem apenas solicita\u00e7\u00f5es padr\u00e3o, que n\u00e3o dariam, por exemplo, informa\u00e7\u00f5es sobre todos os sites instalados em um determinado servidor. Mas fornece uma importante fonte de informa\u00e7\u00e3o em investiga\u00e7\u00f5es digitais. Primeiro, permite que voc\u00ea veja rapidamente o que est\u00e1 sendo executado em um servidor que pode ser suspeito e tenha uma ideia da configura\u00e7\u00e3o da infraestrutura. Alguns bancos de dados tamb\u00e9m possuem dados hist\u00f3ricos que permitem explorar o que estava sendo executado anteriormente em um servidor. Finalmente, pode ser usado para desenvolver consultas complexas a fim de encontrar infraestruturas relacionadas usando a mesma configura\u00e7\u00e3o espec\u00edfica. Este \u00faltimo recurso pode ser cr\u00edtico para a pesquisa \u2013 o Amnisty Tech Lab utilizou-o para rastrear a <a rel=\"noopener\" target=\"_blank\" href=\"https:\/\/www.amnesty.org\/en\/latest\/research\/2021\/07\/forensic-methodology-report-how-to-catch-nso-groups-pegasus\/\">infraestrutura Pegasus do Grupo NSO<\/a> ao longo de v\u00e1rios anos. Como jornalista, pode ser \u00fatil colaborar com especialistas t\u00e9cnicos para executar esse acompanhamento e an\u00e1lise.<\/p>\n<p>As duas principais plataformas para varreduras em toda a Internet s\u00e3o <a rel=\"noopener\" target=\"_blank\" href=\"https:\/\/www.shodan.io\/\">Shodan<\/a> e <a rel=\"noopener\" target=\"_blank\" href=\"https:\/\/search.censys.io\/\">Censys<\/a>, mas outras plataformas como <a rel=\"noopener\" target=\"_blank\" href=\"https:\/\/www.zoomeye.org\/\">ZoomEye<\/a>, <a rel=\"noopener\" target=\"_blank\" href=\"https:\/\/www.binaryedge.io\/\">BinaryEdge<\/a> ou <a rel=\"noopener\" target=\"_blank\" href=\"https:\/\/www.onyphe.io\/\">Onyphe<\/a> tamb\u00e9m podem ser usadas. A maioria fornece acesso gratuito aos dados, mas cobra por dados hist\u00f3ricos e consultas complexas.<\/p>\n<p><b>Bancos de dados de atividades maliciosas\u00a0<\/b><\/p>\n<p>Existem muitas plataformas para identificar, rastrear ou indexar infraestruturas maliciosas conhecidas. Elas s\u00e3o amplamente utilizadas pela ind\u00fastria de seguran\u00e7a cibern\u00e9tica. Estas plataformas tamb\u00e9m podem ter informa\u00e7\u00f5es sobre infraestruturas n\u00e3o maliciosas ou maliciosas adjacentes (como desinforma\u00e7\u00e3o), o que as torna \u00fateis para jornalistas. Aqui est\u00e1 uma olhada em algumas dessas plataformas.<\/p>\n<p><a rel=\"noopener\" target=\"_blank\" href=\"https:\/\/www.virustotal.com\/gui\/\"><b>VirusTotal<\/b><\/a>. Esta famosa plataforma antiv\u00edrus <a rel=\"noopener\" target=\"_blank\" href=\"https:\/\/pt.wikipedia.org\/wiki\/VirusTotal\">foi criada h\u00e1 quase 20 anos<\/a> na Espanha e posteriormente adquirida pelo Google. Ele permite que qualquer pessoa envie um arquivo e fa\u00e7a com que ele seja verificado por mais de 70 scanners antiv\u00edrus e servi\u00e7os de lista de bloqueio de URL\/dom\u00ednio. O VirusTotal \u00e9 o maior reposit\u00f3rio mundial de arquivos leg\u00edtimos e maliciosos e fornece acesso a esse banco de dados interno de v\u00edrus para muitas empresas de seguran\u00e7a cibern\u00e9tica. Se voc\u00ea estiver trabalhando em uma investiga\u00e7\u00e3o de spyware, o VirusTotal \u00e9 um bom lugar para procurar programas semelhantes ou infraestrutura relacionada. Se voc\u00ea usar o VirusTotal para verificar se um arquivo recebido \u00e9 malicioso, lembre-se de que os documentos enviados estar\u00e3o dispon\u00edveis para milhares de pessoas em todo o mundo. Portanto, enviar um documento privado \u00e9 uma m\u00e1 ideia. \u00c9 uma boa ideia entrar em contato com especialistas para ajudar nesse tipo de an\u00e1lise.<\/p>\n<p><a rel=\"noopener\" target=\"_blank\" href=\"https:\/\/urlscan.io\/\"><b>URLScan<\/b><\/a>. URLScan \u00e9 uma plataforma aberta que permite aos usu\u00e1rios consultar uma URL espec\u00edfica e ver detalhes sobre a infraestrutura e o site de forma segura. Esta plataforma \u00e9 \u00fatil quando voc\u00ea identifica um link suspeito e deseja verific\u00e1-lo de forma segura. Ele tamb\u00e9m pode encontrar URLs relacionados que outra pessoa possa ter enviado \u00e0 plataforma. As verifica\u00e7\u00f5es podem ser p\u00fablicas ou privadas, embora as verifica\u00e7\u00f5es privadas s\u00f3 sejam permitidas para usu\u00e1rios com acesso pago.<\/p>\n<div id=\"attachment_1192623\" style=\"width: 1180px\" class=\"wp-caption alignnone\"><a href=\"https:\/\/gijn.org\/wp-content\/uploads\/2023\/04\/DeepinScreenshot_select-area_20230306233915.png\"><img loading=\"lazy\" decoding=\"async\" aria-describedby=\"caption-attachment-1192623\" class=\"wp-image-1192623 size-full\" src=\"https:\/\/gijn.org\/wp-content\/uploads\/2023\/04\/DeepinScreenshot_select-area_20230306233915-1170x863.png\" alt=\"\" width=\"1170\" height=\"863\" srcset=\"https:\/\/gijn.org\/wp-content\/uploads\/2023\/04\/DeepinScreenshot_select-area_20230306233915-1170x863.png 1170w, https:\/\/gijn.org\/wp-content\/uploads\/2023\/04\/DeepinScreenshot_select-area_20230306233915-336x248.png 336w, https:\/\/gijn.org\/wp-content\/uploads\/2023\/04\/DeepinScreenshot_select-area_20230306233915-771x569.png 771w, https:\/\/gijn.org\/wp-content\/uploads\/2023\/04\/DeepinScreenshot_select-area_20230306233915-768x567.png 768w, https:\/\/gijn.org\/wp-content\/uploads\/2023\/04\/DeepinScreenshot_select-area_20230306233915.png 1183w\" sizes=\"auto, (max-width: 1170px) 100vw, 1170px\" \/><\/a><p id=\"caption-attachment-1192623\" class=\"wp-caption-text\">Exemplo de consulta no URLScan de gijn.org. Imagem: Captura de tela, URLScan<\/p><\/div>\n<p><a rel=\"noopener\" target=\"_blank\" href=\"https:\/\/otx.alienvault.com\/\"><b>AlienVault OTX<\/b><\/a>. Este \u00e9 um banco de dados gratuito que cont\u00e9m uma quantidade significativa de dados sobre infraestruturas identificadas como maliciosas. Voc\u00ea nem precisa de uma conta para pesquisar seu banco de dados, basta inserir um dom\u00ednio ou endere\u00e7o IP na barra de pesquisa. Uma busca pelo dom\u00ednio malicioso <i>garant-help[.]com<\/i>, por exemplo, levou imediatamente a uma publica\u00e7\u00e3o relacionada.<\/p>\n<p><div id=\"attachment_1192645\" style=\"width: 1180px\" class=\"wp-caption alignnone\"><a href=\"https:\/\/gijn.org\/wp-content\/uploads\/2023\/04\/DeepinScreenshot_select-area_20230306234523.png\"><img loading=\"lazy\" decoding=\"async\" aria-describedby=\"caption-attachment-1192645\" class=\"wp-image-1192645 size-full\" src=\"https:\/\/gijn.org\/wp-content\/uploads\/2023\/04\/DeepinScreenshot_select-area_20230306234523-1170x482.png\" alt=\"\" width=\"1170\" height=\"482\" srcset=\"https:\/\/gijn.org\/wp-content\/uploads\/2023\/04\/DeepinScreenshot_select-area_20230306234523-1170x482.png 1170w, https:\/\/gijn.org\/wp-content\/uploads\/2023\/04\/DeepinScreenshot_select-area_20230306234523-336x139.png 336w, https:\/\/gijn.org\/wp-content\/uploads\/2023\/04\/DeepinScreenshot_select-area_20230306234523-771x318.png 771w, https:\/\/gijn.org\/wp-content\/uploads\/2023\/04\/DeepinScreenshot_select-area_20230306234523-768x317.png 768w, https:\/\/gijn.org\/wp-content\/uploads\/2023\/04\/DeepinScreenshot_select-area_20230306234523-1536x633.png 1536w, https:\/\/gijn.org\/wp-content\/uploads\/2023\/04\/DeepinScreenshot_select-area_20230306234523.png 1848w\" sizes=\"auto, (max-width: 1170px) 100vw, 1170px\" \/><\/a><p id=\"caption-attachment-1192645\" class=\"wp-caption-text\">Pesquisa por garant-help[.]com no AlienVault OTX. Imagem: Captura de tela, AlienVault OTX<\/p><\/div>O diagrama abaixo resume os tipos de ferramentas que voc\u00ea pode usar para examinar cada parte de uma infraestrutura digital.<\/p>\n<div id=\"attachment_1192680\" style=\"width: 1180px\" class=\"wp-caption alignnone\"><a href=\"https:\/\/gijn.org\/wp-content\/uploads\/2023\/04\/imageLikeEmbed-2.png\"><img loading=\"lazy\" decoding=\"async\" aria-describedby=\"caption-attachment-1192680\" class=\"wp-image-1192680 size-full\" src=\"https:\/\/gijn.org\/wp-content\/uploads\/2023\/04\/imageLikeEmbed-2-1170x624.png\" alt=\"\" width=\"1170\" height=\"624\" srcset=\"https:\/\/gijn.org\/wp-content\/uploads\/2023\/04\/imageLikeEmbed-2-1170x624.png 1170w, https:\/\/gijn.org\/wp-content\/uploads\/2023\/04\/imageLikeEmbed-2-336x179.png 336w, https:\/\/gijn.org\/wp-content\/uploads\/2023\/04\/imageLikeEmbed-2-771x411.png 771w, https:\/\/gijn.org\/wp-content\/uploads\/2023\/04\/imageLikeEmbed-2-768x409.png 768w, https:\/\/gijn.org\/wp-content\/uploads\/2023\/04\/imageLikeEmbed-2.png 1242w\" sizes=\"auto, (max-width: 1170px) 100vw, 1170px\" \/><\/a><p id=\"caption-attachment-1192680\" class=\"wp-caption-text\">Metodologias de pesquisa e fontes para investiga\u00e7\u00e3o de infraestrutura digital. Imagem: Diagrama, Cortesia do autor<\/p><\/div>\n<h4><b>Estudos de caso<\/b><\/h4>\n<p><a rel=\"noopener\" target=\"_blank\" href=\"https:\/\/www.mandiant.com\/sites\/default\/files\/2021-09\/mandiant-apt1-report.pdf\"><b>Relat\u00f3rio Mandiant sobre o grupo de amea\u00e7as APT1<\/b><\/a>. Em 2013, a empresa norte-americana Mandiant atribuiu a atividade de um ator amea\u00e7ador chamado APT1 \u00e0 <a rel=\"noopener\" target=\"_blank\" href=\"https:\/\/en.wikipedia.org\/wiki\/PLA_Unit_61398\">Unidade 61398 do Ex\u00e9rcito de Liberta\u00e7\u00e3o do Povo Chin\u00eas<\/a>. Este grupo militar chin\u00eas estava ativo desde pelo menos 2006 e esteve na origem do comprometimento de pelo menos 141 organiza\u00e7\u00f5es.<\/p>\n<p><a rel=\"noopener\" target=\"_blank\" href=\"https:\/\/interaktiv.br.de\/ocean-lotus\/en\/\"><b>Investiga\u00e7\u00e3o do grupo vietnamita Ocean Lotus<\/b><\/a>. Jornalistas da emissora p\u00fablica alem\u00e3 Bayerischer Rundfunk e Zeit Online fizeram um excelente trabalho investigando a infraestrutura usada pelo Ocean Lotus, um grupo de amea\u00e7a geralmente considerado como sendo ligado \u00e0s autoridades vietnamitas. Esta investiga\u00e7\u00e3o misturou fontes humanas com a investiga\u00e7\u00e3o t\u00e9cnica dos dom\u00ednios e servidores utilizados pelo grupo.<\/p>\n<p><a rel=\"noopener\" target=\"_blank\" href=\"https:\/\/citizenlab.ca\/2020\/12\/running-in-circles-uncovering-the-clients-of-cyberespionage-firm-circles\/\"><b>Relat\u00f3rio do Citizen Lab sobre a empresa de vigil\u00e2ncia Circles<\/b><\/a>. Ao usar uma varredura personalizada em toda a Internet, o Citizen Lab conseguiu identificar a configura\u00e7\u00e3o usada pela Circles para atender seus clientes. Permitiu que o Citizen Lab identificasse 25 governos que eram clientes da empresa de vigil\u00e2ncia israelense.<\/p>\n<p><a rel=\"noopener\" target=\"_blank\" href=\"https:\/\/www.amnesty.org\/en\/documents\/afr57\/4756\/2021\/en\/\"><b>Togo: Hackers de aluguel na \u00c1frica Ocidental<\/b><\/a>. Em Outubro de 2021, o Laborat\u00f3rio de Seguran\u00e7a da Anistia Internacional publicou um relat\u00f3rio sobre um ataque de spyware contra um ativista do Togo. Este ataque foi ent\u00e3o ligado a uma empresa indiana chamada Innefu Labs. A atribui\u00e7\u00e3o aqui \u00e9 um exemplo interessante de como usar erros t\u00e9cnicos cometidos na infraestrutura do invasor para identificar o ator por tr\u00e1s de um ataque.<\/p>\n<hr \/>\n<p><b><i><\/i><\/b><b><i><a href=\"https:\/\/gijn.org\/wp-content\/uploads\/2023\/04\/Screen-Shot-2023-04-10-at-3.23.26-PM-2.png\"><img loading=\"lazy\" decoding=\"async\" class=\"wp-image-1192725 size-thumbnail alignleft\" src=\"https:\/\/gijn.org\/wp-content\/uploads\/2023\/04\/Screen-Shot-2023-04-10-at-3.23.26-PM-2-140x140.png\" alt=\"\" width=\"140\" height=\"140\" srcset=\"https:\/\/gijn.org\/wp-content\/uploads\/2023\/04\/Screen-Shot-2023-04-10-at-3.23.26-PM-2-140x140.png 140w, https:\/\/gijn.org\/wp-content\/uploads\/2023\/04\/Screen-Shot-2023-04-10-at-3.23.26-PM-2-60x60.png 60w\" sizes=\"auto, (max-width: 140px) 100vw, 140px\" \/><\/a>Etienne \u201cTek\u201d Maynier<\/i><\/b><i> \u00e9 um pesquisador de seguran\u00e7a no Laborat\u00f3rio de Seguran\u00e7a da Anistia Internacional. Ele vem investigando ataques digitais contra a sociedade civil desde 2016 e publicou muitas investiga\u00e7\u00f5es sobre phishing, spyware e campanhas de desinforma\u00e7\u00e3o. Ele pode ser encontrado <\/i><a rel=\"noopener\" target=\"_blank\" href=\"https:\/\/randhome.io\/\"><i>em seu site<\/i><\/a><i> ou no <\/i><a rel=\"noopener\" target=\"_blank\" href=\"http:\/\/mastodon\"><i>Mastodon<\/i><\/a><i>.<\/i><\/p>\n","protected":false},"excerpt":{"rendered":"<p>Este cap\u00edtulo do Guia do Rep\u00f3rter para Investigar Amea\u00e7as Digitais, da GIJN, aborda a infraestrutura digital e oferece ferramentas e recursos para investiga\u00e7\u00e3o online.<\/p>\n","protected":false},"author":3031175,"featured_media":1193093,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"_price":"","_stock":"","_tribe_ticket_header":"","_tribe_default_ticket_provider":"","_tribe_ticket_capacity":"0","_ticket_start_date":"","_ticket_end_date":"","_tribe_ticket_show_description":"","_tribe_ticket_show_not_going":false,"_tribe_ticket_use_global_stock":"","_tribe_ticket_global_stock_level":"","_global_stock_mode":"","_global_stock_cap":"","_tribe_rsvp_for_event":"","_tribe_ticket_going_count":"","_tribe_ticket_not_going_count":"","_tribe_tickets_list":"[]","_tribe_ticket_has_attendee_info_fields":false,"republication-tracker-tool-hide-widget":false,"footnotes":"","_tec_slr_enabled":"","_tec_slr_layout":""},"categories":[23167,23166,23164],"tags":[25707,25706,25694,19859,25708,24883,22466,25709],"gijn_topic":[],"series":[],"gijn_language":[],"gijn_region":[],"class_list":["post-2093777","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-capitulo","category-guia","category-recursos","tag-https-pt-br","tag-infraestrutura-digital","tag-investigacoes-ciberneticas","tag-investigacoes-online-pt-pt","tag-malware-pt-br","tag-pegasus-pt-br","tag-seguranca-digital-pt-pt","tag-spyware-pt-br"],"acf":[],"ticketed":false,"_links":{"self":[{"href":"https:\/\/gijn.org\/pt-br\/wp-json\/wp\/v2\/posts\/2093777","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/gijn.org\/pt-br\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/gijn.org\/pt-br\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/gijn.org\/pt-br\/wp-json\/wp\/v2\/users\/3031175"}],"replies":[{"embeddable":true,"href":"https:\/\/gijn.org\/pt-br\/wp-json\/wp\/v2\/comments?post=2093777"}],"version-history":[{"count":6,"href":"https:\/\/gijn.org\/pt-br\/wp-json\/wp\/v2\/posts\/2093777\/revisions"}],"predecessor-version":[{"id":2101764,"href":"https:\/\/gijn.org\/pt-br\/wp-json\/wp\/v2\/posts\/2093777\/revisions\/2101764"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/gijn.org\/pt-br\/wp-json\/wp\/v2\/media\/1193093"}],"wp:attachment":[{"href":"https:\/\/gijn.org\/pt-br\/wp-json\/wp\/v2\/media?parent=2093777"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/gijn.org\/pt-br\/wp-json\/wp\/v2\/categories?post=2093777"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/gijn.org\/pt-br\/wp-json\/wp\/v2\/tags?post=2093777"},{"taxonomy":"gijn_topic","embeddable":true,"href":"https:\/\/gijn.org\/pt-br\/wp-json\/wp\/v2\/gijn_topic?post=2093777"},{"taxonomy":"series","embeddable":true,"href":"https:\/\/gijn.org\/pt-br\/wp-json\/wp\/v2\/series?post=2093777"},{"taxonomy":"gijn_language","embeddable":true,"href":"https:\/\/gijn.org\/pt-br\/wp-json\/wp\/v2\/gijn_language?post=2093777"},{"taxonomy":"gijn_region","embeddable":true,"href":"https:\/\/gijn.org\/pt-br\/wp-json\/wp\/v2\/gijn_region?post=2093777"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}