Arte: Matheus CastroNo ataque ao STJ, os hackers "sequestraram" centenas de processos

Peneira cibernética

A invasão hacker dos sistemas do Superior Tribunal de Justiça escancara a vulnerabilidade das instituições na internet
13.11.20

No dia 20 de outubro, a VMWare, desenvolvedora de um dos programas usados pelos sistemas do Superior Tribunal de Justiça, avisou que foram encontradas “múltiplas vulnerabilidades” no serviço, em uma mensagem de nível crítico para a segurança dos usuários do sistema. “Atualizações estão disponíveis para remediar essas vulnerabilidades”, alertou a empresa.

Duas semanas depois, em 3 de novembro, o segundo mais importante tribunal do país estava completamente fora do ar, sem acesso aos mais de 250 mil processos judiciais digitais que lá tramitam. Um vírus do tipo ransomware — que pode se instalar com um simples clique em um spam — havia criptografado todos os arquivos do STJ. Era uma espécie de sequestro digital. Em pouco tempo, soube-se que o mesmo ataque foi identificado nos servidores de diversos órgãos oficiais, incluindo o governo do Distrito Federal, Ministério da Saúde, o Conselho Nacional de Justiça e tribunais estaduais.

Apenas no último sábado, quatro dias depois do ataque ao STJ, o Centro de Tratamento e Resposta a Incidentes Cibernéticos de Governo, vinculado ao Gabinete de Segurança Institucional da Presidência da República, publicou seu primeiro alerta “sobre uma campanha nacional de ataques de ransomware direcionados a sistemas VMware e Windows, que se caracteriza por ações maliciosas para criptografar arquivos ou bancos de dados de instituições, a fim de exigir resgate em troca da descriptografia dos arquivos cifrados”. O episódio foi o mais grave incidente de cibersegurança da República, expondo as entranhas de uma verdadeira peneira cibernética no coração dos Três Poderes.

“Aparentemente foram feitos ataques no atacado, contra vários órgãos do governo. Isso sugere que haja um interesse por trás, alguém com um interesse um pouco diferente do que normalmente move atacantes nessa área. O atacante quando descobre alguma vulnerabilidade, ele vai tentar obter lucro a partir disso”, analisa Paulo Licio de Geus, especialista em segurança cibernética do Instituto de Computação da Unicamp. No caso do STJ, houve uma falha no software de virtualização, o VMWare, e outra no sistema Windows. “As duas parecem ter sido exploradas”, acredita o professor.

De acordo com pesquisa divulgada recentemente pela empresa de segurança digital Veracode, 80% dos aplicativos e ferramentas normalmente usadas pelo setor público têm falhas de segurança. Para eliminar não todas, mas apenas a metade dessas vulnerabilidades, os governos levam em média 233 dias. As falhas de alta gravidade contaminam 23% dos softwares usados pelo órgãos oficiais.

Divulgação/PFDivulgação/PFA PF abriu um inquérito para tentar levar os invasores ao banco dos réus
Na quarta-feira, 11, o GSI expediu um novo documento segundo o qual uma das vulnerabilidades que têm sido exploradas pelos criminosos foi identificada pela Microsoft em 11 de agosto de 2020 e, desde então, já tinha uma atualização de segurança disponível. A brecha possibilita um ataque por meio de um código simples que dá ao hacker acesso à conta de administrador de um servidor. “A exploração dessa vulnerabilidade pode causar infecção massiva por ransomware na rede”, alerta um relatório da Rede Nacional de Pesquisa que circula entre técnicos do governo federal. O parecer alerta ainda que outra falha identificada pela desenvolvedora do VMWare, em dezembro do ano passado, também tem sido porta de entrada para os hackers.

“O erro primário é humano e talvez de recursos. Nesse caso do STJ, a vulnerabilidade foi divulgada em outubro. O que aconteceu com o administrador de rede, que tendo toda a infraestrutura dependente desse sistema, não aplicou as correções que deve? O mínimo que se pode fazer é acompanhar os fóruns de segurança, e quando se ouve falar de uma vulnerabilidade divulgada pela empresa responsável, a correção tem que ser aplicada com a máxima urgência possível. Isso é coisa básica: manter sistemas atualizados para evitar problemas de segurança”, adverte Paulo de Geus. Em fóruns de discussão na dark web, o submundo da internet, hackers dizem que encontraram em máquinas do STJ algumas vulnerabilidades antigas e bem conhecidas no universo dos crimes cibernéticos. Tudo indica que a falha primordial foi um apagão na gestão de TI da corte superior. Em nota, o STJ não informou se a vulnerabilidade foi corrigida, pois os “dados estão restritos para preservar o sucesso da investigação da Polícia Federal, que corre sob sigilo”.

Outra ameaça também ronda a cúpula do Poder Judiciário. No dia 3 de novembro, o FBI expediu um alerta sobre a plataforma SonarQube, que é usada em servidores do sistema do Supremo Tribunal Federal. Nos Estados Unidos, uma vulnerabilidade na ferramenta fez com que, desde abril, hackers tivessem acesso ao código-fonte de programas e bancos de dados de agências governamentais federais e empresas privadas. A Crusoé, a corte informou que “a ferramenta não armazena nenhuma informação crítica do Tribunal e ressalta que não houve invasão ao ambiente virtual do Supremo”. De qualquer forma, a plataforma foi tirada do ar pelo STF.

No Ministério da Saúde, a invasão foi detectada rapidamente. Diversos servidores foram desconectados para impedir que o ataque se alastrasse. Máquinas afetadas pelo vírus foram desativadas. À diferença do STJ, o ataque ao ministério não comprometeu arquivos de backup, o que fez com que os sistemas voltassem a operar mais rapidamente, enquanto o tribunal teve de recuperar arquivos armazenados em – atenção – fitas. “Há indícios de que o hacker do tribunal estava lá havia mais tempo, visto que ele ultrapassou várias barreiras até chegar ao perímetro do backup”, diz Alex Rabello, professor de privacidade do Ibmec e especialista em proteção de dados. Tudo isso passou despercebido pela equipe de suporte à infraestrutura de tecnologia da informação da corte, um serviço prestado pela empresa Globalweb, da família de Cristina Boner, ex-mulher do notório advogado Frederick Wassef.

“Isso não é só uma responsabilidade do serviço público. A empresa de TI, como operadora de uma situação dessa, de acordo com a Lei Geral de Proteção de Dados, responde solidariamente. Pela LGPD, essas prestadoras de serviço são responsáveis pelos dados. É claro que o STJ tem sua parcela de culpa, mas a lei diz que as duas partes são responsáveis”, diz Rabello.

Divulgação/Exército Brasileiro/CibernéticaDivulgação/Exército Brasileiro/CibernéticaO centro de guerra cibernética do Exército: pedido de socorro foi tardio
“O fator humano é primordial para disseminar um vírus, mas o fator tecnológico e de processo dentro de uma instituição é que vai dizer quanto essa negligência humana afetará o parque tecnológico de uma instituição”, afirma Leandro Avanço, pesquisador do Centro de Tecnologia da Informação do Instituto de Pesquisas Tecnológicas de São Paulo. “A partir do acesso de um vírus ao seu sistema, se a sua equipe de suporte de infraestrutura não se preparou para se proteger dessas vulnerabilidades, aí sim pode haver uma disseminação da invasão dentro da rede”, acrescenta.

Um levantamento feito por Crusoé mostra que a Globalweb é a quinta maior fornecedora de serviços de suporte à infraestrutura de TI nas três esferas do poder federal, com 24,9 milhões de reais reservados para custear os contratos em 2020. É justamente esse serviço de suporte que realiza o monitoramento de ataques aos servidores. A empresa atende também o Ministério do Desenvolvimento Regional, o MEC e a Receita Federal.

“O serviço público peca porque não faz uma atualização constante da sua equipe. No Judiciário, isso é até diferente, porque ocorrem capacitações de dois em dois anos, mas no Executivo é um pouco mais delicado, já existe um espaço maior (para ataques)”, diz Rabello.

Depois de a porta ser arrombada, a reação das instituições de estado aos ataques dos últimos dias passou a contar com uma artilharia de peso. O STJ, por exemplo, além de recorrer aos préstimos da Polícia Federal para investigar a invasão, pediu auxílio ao centro de guerra cibernética do Exército. Ainda na semana passada, o presidente Jair Bolsonaro chegou a anunciar que o hacker responsável pelo ataque ao tribunal já havia sido identificado. Até a noite desta quinta-feira, 12, porém, não havia notícia de nenhuma prisão relacionada à invasão.

Os comentários não representam a opinião do site. A responsabilidade é do autor da mensagem. Em respeito a todos os leitores, não são publicados comentários que contenham palavras ou conteúdos ofensivos.

500
Mais notícias
Assine agora
TOPO