Desde a última sexta-feira (10), agentes do Gabinete de Segurança Institucional (GSI) da Presidência da República e da Polícia Federal (PF) investigam a origem dos vários ataques cibernéticos cometidos contra órgãos do governo federal.
Segundo informações do jornal O Globo, nesta terça-feira (14) o GSI teria emitido um alerta a todos os Ministérios comunicando que existem indícios de que o “Lapsu$”, grupo hacker que assumiu a invasão aos sistemas do Ministério da Saúde e da Economia, teria acessado a nuvem dos provedores a partir do login e senha de um funcionário do governo.
No comunicado enviada às pastas, o GSI informa que “alguns casos de instrusão têm ocorrido com o uso de perfis legítimos de administrador” e faz uma série de recomendações aos órgãos, como: bloquear, de forma imediata, senha de servidores e colaborados em férias ou recesso; adotar uma política de privilégios mínimos a usuários do governo; exigir o uso de ferramentas de autenticação mais rigorosas; e reavaliar as políticas de backup.
Apesar dos indícios levantados, os investigadores ainda não identificaram de quem seria a conta utilizada pelos hackers e trabalham com a possibilidade de roubo do login e senha.
Ataques
A primeira invasão aos sistemas do governo ocorreu na última sexta-feira (10) no sistema do ConecteSUS e em plataformas do Programa Nacional de Imunização (PNI), ambos do Ministério da Saúde. Em seguida, foi a vez das páginas da Escola Virtual e da Agência Nacional de Transportes (ANTT), vinculadas ao Ministério da Economia.
Leia mais: Como conciliar o combate à desinformação na internet com a proteção de dados pessoais?
Além dos dois Ministérios, a Controladoria-Geral da União (CGU) e o Instituto Federal do Paraná (IFPR) também foram alvos de ataques cibernéticos na tarde de sexta-feira. No caso da CGU, foi registrada uma tentativa de invasão do serviço de computação em nuvem, mas não houve perda de dados. Já no caso do IFPR, segundo a instituição “o ataque consistiu na exclusão de todos os sistemas, arquivos e dados” do ambiente de nuvem. Em nota ao UOL, o IFPR explicou que desde sexta-feira a equipe do instituto tem trabalhado para restabelecer os sistemas o mais rápido possível, mas que ainda pode haver instabilidades.
Na última segunda-feira (13), o ministro da Saúde Marcelo Queiroga admitiu que os sistemas da pasta sofreram nova invasão na madrugada de domingo para segunda-feira, o que adiou o retorno do acesso aos sistemas.
Suspeitas
Nas primeiras horas após a primeira intrusão ao Ministério da Saúde, o “Lapsu$ Group” divulgou uma mensagem em que dizia que os sistemas da pasta teriam sido alvos de um “ransomware”, tipo de ataque em que os dados de um sistema ou arquivo são bloqueados ou criptografados para extorquir dinheiro dos proprietários. De acordo com o grupo, mais de 50 terabytes de dados governamentais teriam sido “sequestrados” e só seriam devolvidos mediante “pagamento do resgate”. O valor do referido resgate, entretanto, não constava no texto.
Leia mais: “Apagão” global de redes sociais reacende debate sobre monopólio na internet
Ainda na sexta-feira, uma célula brasileira do Anonymous (EterSec) averiguou o caso e informou que o ataque não se tratava de um “ransomware” conforme divulgado. De acordo com o grupo de ativistas, “o fato que realmente aconteceu é que o site ocorreu um redirecionamento de DNS (que é como o seu serviço de internet resolve o caminho dos sites)”. Ou seja, os dados do Ministério da Saúde não teriam sido criptografados. A ação dos hackers apenas redirecionava os usuários do sistema a outra página onde, de fato, não constam os dados. A hipótese do Anonymous foi confirmada horas depois em perícia da Polícia Federal, aumentando as dúvidas em relação ao caso.
Foi comunicada a ocorrência de incidente de segurança cibernético no ambiente de nuvem pública (AWS), com comprometimento de sistemas de notificação de casos de Covid, do Programa Nacional de Imunização e do ConectSUS.
— Polícia Federal (@policiafederal) December 10, 2021
A suposta invasão aos sistemas do Ministério da Saúde ocorreu no dia seguinte à publicação da portaria do governo federal que estabelecia que passageiros que chegassem de avião ao país precisariam apresentar comprovante de vacinação contra Covid-19 e teste negativo para a doença.
Leia também: Ministros do STF e ex-presidentes do TSE rebatem acusações de Bolsonaro sobre fraudes nas eleições
Com o ataque, o Ministério adiou por uma semana a implementação das novas regras. No domingo (12), antes de sofrer o segundo ataque cibernético, o ministro Marcelo Queiroga garantiu que os dados dos brasileiros vacinados foram recuperados sem danos, mas disse que ainda não há previsão de quando os dados serão disponibilizados aos usuários novamente.
Edição: Jaqueline Deister
Repórter da Agência Pulsar Brasil.