EUA: agência suspeita que ataque cibernético russo foi maior do que o imaginado

Um novo alerta surpreendente emitido pelo braço cibernético do Departamento de Segurança Interna (DHS) dos EUA  revelou que hackers russos são suspeitos de uma campanha massiva de invasão contínua em agências governamentais, empresas privadas e entidades de infraestrutura crítica. Os métodos usados são compostos por uma variedade de táticas não identificadas e mais de um único software comprometido.

Especificamente, a Agência de Segurança Cibernética e Infraestrutura (CISA, na sigla em inglês) disse que descobriu que a vulnerabilidade do software SolarWinds Orion divulgada no início desta semana não é a única maneira pela qual os hackers comprometeram uma variedade de redes online. Em alguns casos, as vítimas parecem ter sofrido invasão, embora nunca tenham usado o software problemático.

Leia e assista também:
Joe e Jill Biden receberão vacina da Pfizer na próxima segunda-feira
Zoom suspende limite de tempo de reuniões durante festas de fim de ano

A notícia provavelmente só aumentará as preocupações já crescentes sobre a escala e o escopo da violação de dados, que a CISA disse na quinta-feira (17) que “representa um grave risco” para as redes tanto do setor público quanto do privado.

“A CISA determinou que esta ameaça representa um grave risco para o governo federal e governos estaduais, locais, tribais e territoriais, bem como entidades de infraestrutura crítica e outras organizações do setor privado”, afirmou o alerta emitido pela agência. “A CISA acredita que a remoção desse ator de ameaça em ambientes comprometidos seja altamente complexa e desafiadora para as organizações” enfatiza.

A agência também reconheceu que os hackers usaram “táticas, técnicas e procedimentos que ainda não foram descobertos”, acrescentando que continua investigando se e como outros métodos invasivos podem ter sido usados desde o início do ataque, há meses atrás.

A análise ocorre enquanto a lista de agências, empresas privadas e outras entidades norte-americanas afetadas pela campanha de hacking continua aumentando. 

Horas após o alerta da CISA ter sido divulgado, o Departamento de Energia (DOE) dos EUA disse ter evidências de que hackers acessaram algumas de suas redes usando o mesmo malware associado à violação de dados em andamento, que já afetava quase meia dúzia de agências federais.

O departamento afirma que o impacto foi “isolado às redes de negócios” e “não afetou as funções essenciais de segurança nacional da missão do Departamento, incluindo a Administração de Segurança Nuclear Nacional (NNSA)”, que supervisiona o estoque de armas nucleares do país.

A porta-voz do Departamento de Energia, Shaylyn Hynes, também disse que uma vez que o departamento identificou seu software vulnerável, “uma ação imediata foi tomada para suavizar o risco, e todos os softwares identificados como vulneráveis a este ataque foram desconectados da rede do Departamento de Energia”.

A Microsoft identificou mais de 40 de seus clientes em todo o mundo que tiveram versões problemáticas de um programa de gerenciamento de TI de terceiros instalado e que foram especificamente atingidos pela suposta campanha de hacking russa divulgada esta semana, segundo a empresa confirmou em um blog . A empresa de tecnologia disse que 80% dessas vítimas estão nos Estados Unidos, o restante em outros sete países: Canadá, México, Bélgica, Espanha, Reino Unido, Israel e Emirados Árabes Unidos.

“É certo que o número e a localização das vítimas continuarão crescendo”, confirmou o presidente da Microsoft, Brad Smith, acrescentando que a empresa tem trabalhado para notificar as organizações afetadas.

Acusações

A invasão ampla e extraordinária lançou uma missão de busca técnica entre as principais autoridades cibernéticas do governo e especialistas externos sobre como esta campanha cibernética contínua de meses conseguiu passar despercebida por tanto tempo.

Na noite de quarta-feira (16), as principais agências de segurança do governo dos EUA reconheceram formalmente em um comunicado conjunto que a campanha cibernética em andamento ainda estava ativa. As revelações vêm em um momento particularmente tenso durante uma transição presidencial divisiva e depois de uma eleição que havia sido, segundo todos os relatos, livre de interferência estrangeira.

A declaração conjunta do FBI, da comunidade de inteligência e do braço cibernético do Departamento de Segurança Interna serviu parcialmente como uma admissão de suas próprias deficiências, afirmando claramente que os encarregados de proteger a nação de ameaças cibernéticas estrangeiras apenas souberam da invasão maciça quando haviam se passado “vários dias”.

Embora as autoridades dos EUA tenham dito que só souberam da violação de dados nos últimos dias, um primeiro indicador dos problemas de segurança da SolarWinds surgiu no ano passado, depois que um pesquisador independente contatou a empresa dizendo que havia encontrado um de seus servidores de atualização na internet pública.

O servidor estava protegido por uma senha fraca: “solarwinds123”, de acordo com o pesquisador Vinoth Kumar. Os emails analisados pela CNN sobre a troca de Kumar mostraram que a SolarWinds corrigiu o problema de acesso. Entretanto, Kumar disse à CNN que descobriu que o servidor estava acessível ao público pelo menos desde junho de 2018. A SolarWinds não quis comentar o caso.

Segundo a CISA, a campanha cibernética em andamento começou em março deste ano. Mas especialistas afirmaram à CNN que os hackers provavelmente acessaram redes governamentais antes disso.

“Parece que os russos tiveram de seis a nove meses de ‘acesso persistente’ a algumas redes do Departamento de Segurança Interna”, disse Tony Lawrence, CEO e fundador da Light Rider, uma empresa de segurança cibernética que tem clientes nos setores público e privado. “Se foi esse o caso, isso significa que os russos tinham a capacidade de navegar em todas as redes e controlar redes de segurança interna dos EUA selecionadas durante esse período”.

Desde então, várias fontes confirmaram que o governo dos EUA não sabia da violação até o final da semana passada ou quando a CISA tornou o caso público na noite de domingo (13), alimentando preocupações sobre como os hackers conseguiram escapar da detecção dessas agências por vários meses.

“É complicado por causa da forma como nosso governo está organizado; nem mesmo está claro, dada a estrutura existente neste país, qual agência teria realmente a jurisdição primária sobre todo este assunto”, disse o senador republicano Marco Rubio, da Flórida, presidente em exercício do Comitê de Inteligência do Senado.

Especialistas em segurança também suscitaram preocupações sobre a eliminação, pelo governo Trump, da posição de coordenador cibernético no Conselho de Segurança Nacional. À época, a CNN informou que a demissão, que ocorreu apenas algumas semanas após o fim do mandato do ex-conselheiro de segurança nacional John Bolton, foi parte de um esforço para “simplificar a autoridade dos diretores seniores do Conselho de Segurança Nacional”.

“Não há uma pessoa cujo trabalho seja coordenar toda a resposta do governo neste momento neste governo”, disse Carrie Cordero, pesquisadora sênior e conselheira geral do Centro para uma Nova Segurança Americana e analista legal e de segurança nacional da CNN. “Apesar dos bons esforços de trabalho futuros em todas as agências, isso não é um substituto para a liderança de alto nível, que eu não acho que existirá até o próximo governo”.

Os Comitês de Inteligência da Câmara e do Senado foram informados sobre o assunto na quarta-feira, mas os legisladores desde então deixaram claro que ainda há mais perguntas do que respostas. Os Comitês de Supervisão da Câmara e de Segurança Interna enviaram uma carta às principais autoridades de segurança nacional do país na quinta-feira solicitando mais informações sobre a investigação em andamento.

Autoridades e especialistas em segurança cibernética norte-americanos estão alertando que o incidente deve servir como um alerta tanto para o governo federal (incluindo o próximo governo Biden) quanto para empresas do setor privado, já que atores estrangeiros sem dúvida realizarão ataques semelhantes e melhorarão suas táticas no futuro.

O que vem depois?

No futuro, é provável que haja uma maior investigação do sistema EINSTEIN do Departamento de Segurança Interna, que se destina a prevenir intrusões e detectar tráfego malicioso em redes federais de computadores.

O sistema é baseado na descoberta de atividades maliciosas conhecidas e funciona bem se souber o que está procurando, de acordo com um ex-funcionário sênior do DHS.

“Se você não sabe o que está procurando, é um problema”, disse a fonte, acrescentando que isso provavelmente aumentará as preocupações entre os legisladores que alocaram bilhões de dólares para o programa. O próximo governo Biden precisará dar “uma boa olhada no EINSTEIN”, disse o ex-funcionário.

Em 2018, o Escritório de Responsabilidade Governamental (GAO), que atua como fiscalizador do Congresso, concluiu que  ainda havia limitações ao sistema que gere o EINSTEIN, apesar de algumas melhorias.

No entanto, não está claro se os sistemas atuais em vigor teriam capturado o hack mais recente.

“Mesmo se tudo fosse altamente eficaz na segurança cibernética do governo, é bem provável que essa violação não tivesse sido detectada”, opinou Vijay A. D’Souza, diretor no GAO da equipe de tecnologia da informação e cibersegurança, com base em pesquisas externas feitas sobre o incidente. O GAO ainda não fez uma análise independente sobre o caso.

“As agências terão que continuar a fazer mais para construir todas as peças do quebra-cabeça, e saberem se forem hackeados e como descobrirão o que aconteceu e como limparão depois, caso não consigam pegar algo”.

D’Souza disse que as agências carecem de seus recursos de “registro”, ou seja, a capacidade de voltar e olhar para uma rede e descobrir o que ocorreu na sequência de uma violação.

“Nosso trabalho geralmente descobriu que as agências não mantêm dados suficientes. Elas não têm a capacidade nem de fazer isso juntas, nem de descobrir esse tipo de pesquisa precisam”, disse.

(Texto traduzido, clique aqui para ler o original em inglês).