Um alerta emitido a todos os ministérios do Governo Federal pelo Gabinete de Segurança Institucional (GSI) informou que perfis legítimos de administrador foram usados em alguns dos casos de “invasão” que ocorreram nos últimos dias.

A informação, antecipada pelo jornal O Globo, aponta para indícios de que os ataques ocorreram com o uso de login e senha oficiais de funcionários do governo.

publicidade

No comunicado emitido pelo GSI, também há recomendações relacionadas à segurança cibernética do governo. Dentre elas, o bloqueio imediato de senha de servidores e colaboradores que estejam de férias ou de licença, adoção de política de privilégios mínimos a usuários, exigência do uso de ferramentas de autenticação mais rigorosas e reavaliação de políticas de backup.

Ontem à noite (13/12), o GSI divulgou uma nota informando sobre a ocorrência de novos ataques contra órgãos do governo. O órgão comandado pelo ministro Augusto Heleno afirmou que os incidentes cibernéticos ocorreram em ambiente de nuvem.

Polícia Federal não encontrou ransomware do “hacker da Saúde”

Ontem, no começo do dia, o Ministério da Saúde havia emitido uma nota informando que havia desligado os sistemas internos da rede e que havia apenas uma “manutenção preventiva nas redes internas da pasta”. A assessoria de imprensa negou enfaticamente ter ocorrido uma invasão no dia anterior. De noite, o próprio ministro Marcelo Queiroga, com o GSI, deu outra versão, que o desligamento ocorrera por novo ataque.

Tecnicamente, o ministério não mentiu ao negar invasão no domingo. Porque, por essa versão, a do uso de login oficial, não teve mesmo invasão nenhuma. Usar login e senha de outra pessoa para vandalizar um site não configura invasão, mas possivelmente roubo de credenciais. É um mero acesso ilícito, ainda que uma invasão possa ser a origem dessas credenciais usadas por quem vandalizou os sites do governo.

Quanto ao ataque ransomware propagado na página vandalizada, é quase certamente blefe. A Polícia Federal também abriu inquérito para apurar as ocorrências, concluindo que os sistemas não foram criptografados. O que ocorreu na sexta passada, segundo a PF, foi uma reconfiguração do Amazon Web Services criando um redirecionamento dos domínios do Ministério da Saúde.

Ninguém precisa ser hacker para fazer algo assim. Basta comprar tabelas de logins e senhas que vazaram e são vendidos na darkweb. Em março passado, mais de 68 mil senhas do governo brasileiro vazaram.

Se um ou mais servidores públicos usassem o mesmo e-mail e senha que vazaram então para acessar o Amazon Web Services como administradores, qualquer um com acesso ao vazamento poderia ter causado o tipo de estrago que estamos vendo sem sequer acessar a rede do governo brasileiro.

O “hacker da Saúde” pode nem saber programar. E isso teria sido uma falha de segurança primária, ainda mais para administradores de sistema. (Sem mencionar a possibilidade ainda mais grotesca de essas senhas terem sido compartilhadas deliberadamente com o “hacker” por um funcionário com intenção maliciosa.)

Apesar de estar tudo indicando para uma ação primitiva, ainda estão fora do ar vários sistemas, e o próprio site no endereço original saude.gov.br. Dentre os sistemas afetados estão o e-SUS Notifica (voltado para casos de Covid), Sistema de Informação do Programa Nacional de Imunização (SI-PNI) e o ConecteSUS. Funcionalidades, como a emissão do Certificado Nacional de Vacinação Covid-19 e da Carteira Nacional de Vacinação Digital também apresentaram problemas.

Fora do Ministério da Saúde, foram afetadas páginas da Escola Virtual e da Agência Nacional de Transportes (ANTT), vinculados ao Ministério da Economia.

Leia mais:

Já assistiu aos nossos novos vídeos no YouTube? Inscreva-se no nosso canal.

Imagem: TheDigitalArtist/Pixabay/CC