Arte: Matheus CastroNo ataque ao STJ, os hackers "sequestraram" centenas de processos

Peneira cibernética

A invasão hacker dos sistemas do Superior Tribunal de Justiça escancara a vulnerabilidade das instituições na internet
13.11.20

No dia 20 de outubro, a VMWare, desenvolvedora de um dos programas usados pelos sistemas do Superior Tribunal de Justiça, avisou que foram encontradas “múltiplas vulnerabilidades” no serviço, em uma mensagem de nível crítico para a segurança dos usuários do sistema. “Atualizações estão disponíveis para remediar essas vulnerabilidades”, alertou a empresa.

Duas semanas depois, em 3 de novembro, o segundo mais importante tribunal do país estava completamente fora do ar, sem acesso aos mais de 250 mil processos judiciais digitais que lá tramitam. Um vírus do tipo ransomware — que pode se instalar com um simples clique em um spam — havia criptografado todos os arquivos do STJ. Era uma espécie de sequestro digital. Em pouco tempo, soube-se que o mesmo ataque foi identificado nos servidores de diversos órgãos oficiais, incluindo o governo do Distrito Federal, Ministério da Saúde, o Conselho Nacional de Justiça e tribunais estaduais.

Apenas no último sábado, quatro dias depois do ataque ao STJ, o Centro de Tratamento e Resposta a Incidentes Cibernéticos de Governo, vinculado ao Gabinete de Segurança Institucional da Presidência da República, publicou seu primeiro alerta “sobre uma campanha nacional de ataques de ransomware direcionados a sistemas VMware e Windows, que se caracteriza por ações maliciosas para criptografar arquivos ou bancos de dados de instituições, a fim de exigir resgate em troca da descriptografia dos arquivos cifrados”. O episódio foi o mais grave incidente de cibersegurança da República, expondo as entranhas de uma verdadeira peneira cibernética no coração dos Três Poderes.

“Aparentemente foram feitos ataques no atacado, contra vários órgãos do governo. Isso sugere que haja um interesse por trás, alguém com um interesse um pouco diferente do que normalmente move atacantes nessa área. O atacante quando descobre alguma vulnerabilidade, ele vai tentar obter lucro a partir disso”, analisa Paulo Licio de Geus, especialista em segurança cibernética do Instituto de Computação da Unicamp. No caso do STJ, houve uma falha no software de virtualização, o VMWare, e outra no sistema Windows. “As duas parecem ter sido exploradas”, acredita o professor.

De acordo com pesquisa divulgada recentemente pela empresa de segurança digital Veracode, 80% dos aplicativos e ferramentas normalmente usadas pelo setor público têm falhas de segurança. Para eliminar não todas, mas apenas a metade dessas vulnerabilidades, os governos levam em média 233 dias. As falhas de alta gravidade contaminam 23% dos softwares usados pelo órgãos oficiais.

Divulgação/PFDivulgação/PFA PF abriu um inquérito para tentar levar os invasores ao banco dos réus
Na quarta-feira, 11, o GSI expediu um novo documento segundo o qual uma das vulnerabilidades que têm sido exploradas pelos criminosos foi identificada pela Microsoft em 11 de agosto de 2020 e, desde então, já tinha uma atualização de segurança disponível. A brecha possibilita um ataque por meio de um código simples que dá ao hacker acesso à conta de administrador de um servidor. “A exploração dessa vulnerabilidade pode causar infecção massiva por ransomware na rede”, alerta um relatório da Rede Nacional de Pesquisa que circula entre técnicos do governo federal. O parecer alerta ainda que outra falha identificada pela desenvolvedora do VMWare, em dezembro do ano passado, também tem sido porta de entrada para os hackers.

“O erro primário é humano e talvez de recursos. Nesse caso do STJ, a vulnerabilidade foi divulgada em outubro. O que aconteceu com o administrador de rede, que tendo toda a infraestrutura dependente desse sistema, não aplicou as correções que deve? O mínimo que se pode fazer é acompanhar os fóruns de segurança, e quando se ouve falar de uma vulnerabilidade divulgada pela empresa responsável, a correção tem que ser aplicada com a máxima urgência possível. Isso é coisa básica: manter sistemas atualizados para evitar problemas de segurança”, adverte Paulo de Geus. Em fóruns de discussão na dark web, o submundo da internet, hackers dizem que encontraram em máquinas do STJ algumas vulnerabilidades antigas e bem conhecidas no universo dos crimes cibernéticos. Tudo indica que a falha primordial foi um apagão na gestão de TI da corte superior. Em nota, o STJ não informou se a vulnerabilidade foi corrigida, pois os “dados estão restritos para preservar o sucesso da investigação da Polícia Federal, que corre sob sigilo”.

Outra ameaça também ronda a cúpula do Poder Judiciário. No dia 3 de novembro, o FBI expediu um alerta sobre a plataforma SonarQube, que é usada em servidores do sistema do Supremo Tribunal Federal. Nos Estados Unidos, uma vulnerabilidade na ferramenta fez com que, desde abril, hackers tivessem acesso ao código-fonte de programas e bancos de dados de agências governamentais federais e empresas privadas. A Crusoé, a corte informou que “a ferramenta não armazena nenhuma informação crítica do Tribunal e ressalta que não houve invasão ao ambiente virtual do Supremo”. De qualquer forma, a plataforma foi tirada do ar pelo STF.

No Ministério da Saúde, a invasão foi detectada rapidamente. Diversos servidores foram desconectados para impedir que o ataque se alastrasse. Máquinas afetadas pelo vírus foram desativadas. À diferença do STJ, o ataque ao ministério não comprometeu arquivos de backup, o que fez com que os sistemas voltassem a operar mais rapidamente, enquanto o tribunal teve de recuperar arquivos armazenados em – atenção – fitas. “Há indícios de que o hacker do tribunal estava lá havia mais tempo, visto que ele ultrapassou várias barreiras até chegar ao perímetro do backup”, diz Alex Rabello, professor de privacidade do Ibmec e especialista em proteção de dados. Tudo isso passou despercebido pela equipe de suporte à infraestrutura de tecnologia da informação da corte, um serviço prestado pela empresa Globalweb, da família de Cristina Boner, ex-mulher do notório advogado Frederick Wassef.

“Isso não é só uma responsabilidade do serviço público. A empresa de TI, como operadora de uma situação dessa, de acordo com a Lei Geral de Proteção de Dados, responde solidariamente. Pela LGPD, essas prestadoras de serviço são responsáveis pelos dados. É claro que o STJ tem sua parcela de culpa, mas a lei diz que as duas partes são responsáveis”, diz Rabello.

Divulgação/Exército Brasileiro/CibernéticaDivulgação/Exército Brasileiro/CibernéticaO centro de guerra cibernética do Exército: pedido de socorro foi tardio
“O fator humano é primordial para disseminar um vírus, mas o fator tecnológico e de processo dentro de uma instituição é que vai dizer quanto essa negligência humana afetará o parque tecnológico de uma instituição”, afirma Leandro Avanço, pesquisador do Centro de Tecnologia da Informação do Instituto de Pesquisas Tecnológicas de São Paulo. “A partir do acesso de um vírus ao seu sistema, se a sua equipe de suporte de infraestrutura não se preparou para se proteger dessas vulnerabilidades, aí sim pode haver uma disseminação da invasão dentro da rede”, acrescenta.

Um levantamento feito por Crusoé mostra que a Globalweb é a quinta maior fornecedora de serviços de suporte à infraestrutura de TI nas três esferas do poder federal, com 24,9 milhões de reais reservados para custear os contratos em 2020. É justamente esse serviço de suporte que realiza o monitoramento de ataques aos servidores. A empresa atende também o Ministério do Desenvolvimento Regional, o MEC e a Receita Federal.

“O serviço público peca porque não faz uma atualização constante da sua equipe. No Judiciário, isso é até diferente, porque ocorrem capacitações de dois em dois anos, mas no Executivo é um pouco mais delicado, já existe um espaço maior (para ataques)”, diz Rabello.

Depois de a porta ser arrombada, a reação das instituições de estado aos ataques dos últimos dias passou a contar com uma artilharia de peso. O STJ, por exemplo, além de recorrer aos préstimos da Polícia Federal para investigar a invasão, pediu auxílio ao centro de guerra cibernética do Exército. Ainda na semana passada, o presidente Jair Bolsonaro chegou a anunciar que o hacker responsável pelo ataque ao tribunal já havia sido identificado. Até a noite desta quinta-feira, 12, porém, não havia notícia de nenhuma prisão relacionada à invasão.

Os comentários não representam a opinião do site. A responsabilidade é do autor da mensagem. Em respeito a todos os leitores, não são publicados comentários que contenham palavras ou conteúdos ofensivos.

500
  1. Tem um tal de Ney nos comentários que não sabe somente discordar, xinga. Como se relinchar e mostrar falta de educação aumentassem a credibilidade do argumento. No mais, urnas eletrônicas podem estar segregadas da internet (ou seja, somente estão conectadas em uma rede própria/isolada) e, assim, não ser possível um ataque pela internet, mas basta conseguir se infiltrar nessa rede (ou “plantar” malwares nas máquinas/servidores de contabilização/agregação) para se “dar o tombo”...

  2. O Backup em fita é muito eficiente é seguro. Tem um excelente custo/beneficio, e é extremamente durável. Se tivessem mais backup em fitas, o serviço nao teria sido desligado. Resumindo, por incrível que possa parecer, mas o backup em fita é o melhor que existe para grandes empresas e corporações.

  3. Não acredito que em pleno 2020 não tenha ninguém da inteligência brasileira 24hs na Dark web, global web empresa da família wassef gente isso é brincadeira

  4. O aparelhamento, a corrupção e a incompetência generalizada das instituições públicas deste país nos trouxe rumo ao caos.

  5. Conclusão: deve existir uma razão peremptória pros americanos serem tão vetustos no q concerne as eleições, e serem tão avançados no MAIS. Votar por Correio? Por carta? Cédulas escritas e passíveis de serem identificadas? Isso é atraso. São os norte-americanos atrasados? Responde aí, Ministros do STF? Votei no PR, não voto nunca mais pot causa de seus filhos, mas o cara tá certo. Somos maricas. Safados querem dominar o país através das urnas eletrônicas. E do medo. Tá c/ medo, pra q veio?

  6. As urnas eletrônicas das eleições são invioláveis, quem dar essa garantia é uma situação de reflexão, esse sistema em questão de transparência é uma incógnita, uma medida de mais controle de eficácia comprovada pelo eleitor seria a impressão do voto.

    1. Sim, sendo o que é e fazendo o que faz está dito. Este é o Coringa que Hollywood nem imagina que existe. Vai ser uma" ficção " à Brasileira .

  7. E é a ex do Wassef que cuida de parte da segurança? "Tem pai que é cego." Estrategicamente, não se desconfia de NADA. SOmos "maricas" - aqui, sim.

  8. Por que será que essa ex de Wassef tem tantos contratos contemplando várias instituições dos Três Poderes? Wassef já vinha rodeando Bolsonaro há tempos...

    1. A Cristina Boner ex de Wassef já presta serviços ao poderes públicos federais e estaduais desde aproximadamente 2000. Pense o quanto ela já faturou. Houve uma época que ela tinha, pasme, exclusividade para vender contratos de grande volume de software concedidos pelas gigantes da tecnologia em Brasília. Tem vídeo dessa mulher no YouTube dando dinheiro a políticos nos governos anteriores. Entregaram a chave do cofre há muitos anos atrás.

  9. independente de conotações políticas a verdade é que somos um país de terceiro mundo....tudo é meia boca...e nunca aparece o responsável!!

  10. Deem uma lida, qdo puderem: https://en.wikipedia.org/wiki/Advanced_persistent_threat Isso já deve estar "rolando" a muito tempo... abs

  11. Tem mas é que cancelar o contrato com essa ex do Wassef e contratar uma mais capacitada. Já pensaram se o Wassef consegue acesso aos processos nos TJ superiores?

  12. Tudo isso fruto de contratos com empresas de familiares ou de amigos (claro que com alguma contra-partida). Está na hora de TERCEIRIZAR esses serviços com empresas de ponta. Uma IBM, UNISYS, Microsoft ou outra qq desse nível, daria um serviço melhor e mais barato, desde que não fosse exigido, como é comum nesse país, alguma contra-partida ilícita. Basta colocar uma cláusula de multa astronômica $$$$$$ para caso isso aconteça e nenhuma delas aceitaria esse tipo de chantagem.

  13. olha que engraçado, um monte de profissionais extremamente capacitados desempregados, e um punhado de incompetentes recebendo um bom salário...

Mais notícias
Assine agora
TOPO