EnglishPortugueseSpanish
publicidade

Sistemas de infraestrutura de nuvem e gerenciamento de identidades da VMware estão sob ataque de hackers russos patrocinados pelo governo, de acordo com a Agência Nacional de Segurança (NSA, na sigla em inglês) dos Estados Unidos. O comunicado emitido pelas autoridades informa que os invasores estão se valendo de uma vulnerabilidade já corrigida por atualização, mas diversos usuários e clientes da empresa ainda não a aplicaram em seus sistemas.

As plataformas afetadas estão diretamente ligadas a serviços de gestão remota de trabalho, setor que viu um crescimento fora do normal desde março de 2020, devido à pandemia da Covid-19 – que forçou empresas a remanejarem seus funcionários para trabalharem de casa.

publicidade

A mudança repentina estabeleceu novas práticas de segurança e conformidade, mas mesmo assim houve crescimento no número de casos de invasão, roubo de identidades e informações sigilosas.

vmware hackers russos
Plataformas como o Workspace One Access da VMware tiveram vulnerabilidade corrigida para protegerem-se de ataques hacker, mas alguns usuários ainda não aplicaram atualização. Imagem: VMware/Divulgação

“É uma daquelas situações onde a mensagem é tão notável quanto o seu mensageiro”, disse Ben Read, gerente sênior de análise de ciberespionagem da empresa de segurança FireEye, à WIRED. “É uma vulnerabilidade que permite a execução remota de um código, algo que as pessoas definitivamente vão querer corrigir, mas essas coisas acontecem. A NSA estar tornando isso em algo gigante se dá pelo fato de que isso vem sendo explorado por agentes russos e, presumidamente, contra um alvo que a agência está se preocupando”.

Explorando falhas em VPNs

Falhas em ferramentas como redes virtuais privadas (VPNs) têm sido um alvo preferencial de hackers, já que, por meio delas, eles conseguem acessar redes de empresas privadas. Uma série de vulnerabilidades foi identificada na VPN Pulse Secure, por exemplo, em abril de 2019.

A NSA e outras agências de segurança emitiram comunicado de alerta em outubro do mesmo ano e, novamente, em janeiro e abril de 2020, avisando que hackers ainda estavam explorando os problemas, simplesmente porque empresas usuárias desta rede privada ainda não haviam aplicado o patch de atualização que corrigiu tais falhas.

publicidade

No caso das invasões promovidas por hackers russos aos sistemas da VMware, produtos como Workspace One Access e seu predecessor, o Identity Manager, bem como a VMware Cloud Foundation, ainda são afetados pela vulnerabilidade, que a NSA informa que pode ser explorada “para que um invasor tome controle de um sistema afetado”. A empresa não comentou o caso, mas a NSA classificou a ameaça como “Importante”, a segunda na ordem de importância de problemas monitorados pela empresa, logo abaixo de “Crítica”.

Vale reforçar que as plataformas em si têm uma atualização que corrige as falhas, mas elas não são instaladas automaticamente nas estruturas dos clientes. Desta forma, muitos dos problemas apontados pela NSA não se dão por falha da VMware, mas sim por usuários que estão rodando plataformas desatualizadas.

Phishing é um dos vilões

hackers russos vmware
Ataques de phishing podem ser empregados no roubo de credenciais de acesso a sistemas empresariais e, consequentemente, à obtenção de informações sigilosas. Imagem: MicroOne/Shutterstock

Isso porque, embora as vulnerabilidades sejam notáveis e perigosas, o hacker invasor ainda precisa acessar um sistema com credenciais validadas de login. Em outras palavras: ele não pode fazer nada sem conseguir um usuário e senha aprovados pelo sistema – algo que pode ser adquirido em ataques de phishing e engenharia social, por exemplo. Este tipo de ataque teve uma alta considerável durante a pandemia, e, em especial, durante a Black Friday.

Como passos de correção, a NSA recomenda o uso de senhas únicas, longas e com vários caracteres diferentes, ou configurar a rede privada para que ela não seja acessível pelo domínio público da internet.

Hackers russos a serviço do governo não são exatamente uma novidade, mas eles se tornaram mais ativos em 2020 – cortesia da pandemia e do remanejamento emergencial de sistemas para o ambiente remoto. Recentemente, foi descoberto que o grupo hacker conhecido como Turla, implicado em invasões feitas ao Pentágono e à Nasa (ao final dos anos 1990) e o Comando Central norte-americano (2010) vinha armazenando informações sigilosas roubadas de seus alvos em contas gerenciadas por ele no Dropbox.

Fonte: WIRED