Hackers exploraram uma lacuna de segurança em um software da Microsoft usado no mundo inteiro para lançar uma ofensiva contra agências governamentais e empresas nos últimos dias, invadindo órgãos federais e estaduais dos Estados Unidos, universidades (incluindo uma brasileira que não teve o nome divulgado) e empresas, de combinação com autoridades e pesquisadores.
O governo dos EUA e parceiros no Canadá e na Austrália investigam o comprometimento dos servidores locais do SharePoint, plataforma para compartilhar e gerenciar documentos na nuvem. Dezenas de milhares desses servidores estão em risco, segundo especialistas.
O ataque foi identificado na sexta-feira (18) por uma empresa de cibersegurança com sede na Holanda chamada Eye Security. Ainda não há informações sobre a organização responsável pelo ataque nem sobre seu objetivo.
A Microsoft emitiu um alerta sobre “ataques ativos” ao software no sábado (19) e disse que as vulnerabilidades se aplicam unicamente aos servidores do SharePoint usados dentro das organizações. Ela informou que o SharePoint Online no Microsoft 365, que está na nuvem, não foi atingido pelos ataques.
No alerta, a Microsoft disse que uma vulnerabilidade “permite que um invasor autorizado realize spoofing em uma rede”, e emitiu recomendações para impedir que os invasores a explorem.
Em um ataque de spoofing, um agente pode manipular os mercados ou agências financeiras ocultando a identidade do agente e aparentando ser uma pessoa, organização ou site confiável.
“Estamos coordenando de perto com a Cisa [Agência de Segurança Cibernética e Infraestrutura dos EUA], o Comando de Resguardo Cibernética do DOD e os principais parceiros de segurança cibernética em todo o mundo durante toda a nossa resposta”, disse um porta-voz da Microsoft.
A empresa afirma que emitiu atualizações de segurança e pediu aos clientes que as instalassem imediatamente. De combinação com a Microsoft, os usuários devem fazer as modificações nos programas do servidor SharePoint ou simplesmente desconectá-los da internet para sofrear a violação.
O FBI disse no domingo (20) que está cônscio dos ataques e está trabalhando em estreita colaboração com seus parceiros federais e do setor privado, mas não forneceu outros detalhes.
ATAQUE “DIA ZERO”
De combinação com o jornal Washington Post, o ataque chamado de “Dia Zero” —denominado desta forma porque visava uma vulnerabilidade desconhecida— permitiu que espiões invadissem servidores vulneráveis e, potencialmente, criassem uma porta de ingressão para prometer aproximação contínuo às organizações vítimas.
Com aproximação a esses servidores, que frequentemente se conectam ao email Outlook, Teams e outros serviços essenciais, uma violação pode levar ao roubo de dados sensíveis, muito porquê à coleta de senhas, observou a Eye Security.
Os pesquisadores alertaram ainda que os hackers obtiveram aproximação a chaves que podem permitir que eles recuperem a ingressão mesmo depois que um sistema tenha sido revisto.
Segundo especialistas em cibersegurança, a lacuna pode ter comprometido milhares de dados. “Qualquer pessoa que tenha um servidor SharePoint hospedado tem um problema”, afirmou Adam Meyers, vice-presidente sênior da empresa de cibersegurança CrowdStrike. “É uma vulnerabilidade significativa.”
“Identificamos dezenas de organizações comprometidas abrangendo setores comerciais e governamentais”, afirmou Pete Renals, gerente sênior da Unit 42 da Palo Basta Networks.
A Eye Security e a Instauração Shadowserver, duas empresas de cibersegurança que ajudaram a identificar o ataque, afirmaram que o número de organizações atingidas chegou a centena. A Shadowserver afirmou que a maioria dos afetados estava nos EUA e na Alemanha.
Especialistas em cibersegurança ouvidos pelo Washington Post mencionaram que uma universidade no Brasil e uma filial governamental na Espanha também foram atacadas. As organizações atingidas não tiveram a identidade revelada, porém as duas empresas alertaram as autoridades de cada país.
De combinação com Vaisha Bernard, líder de hack da Eye Security, uma campanha de invasão direcionada a um de seus clientes foi invenção na sexta-feira (18). Foram adotadas medidas para sofrear o ataque, mas a empresa disse não saber o que pode ter sido feito durante esse pausa.
“Quem sabe o que outros adversários têm feito desde portanto para colocar outras ‘backdoors'”, comentou Bernard em entrevista à filial de notícias Reuters. Um pesquisador ouvido pelo The Washington Post alertou que a morosidade da Microsoft para exprimir o alerta pode ter comprometido mais a situação.
Segundo o Washington Post, não está simples quem foi o responsável do ataque e qual é seu objetivo final. Uma empresa de pesquisa privada descobriu que os hackers estavam mirando servidores na China, muito porquê uma legislatura estadual no leste dos Estados Unidos.
A Eye Security disse que rastreou tapume de 100 violações, incluindo em uma empresa de vigor em um grande estado dos EUA e várias agências governamentais europeias.
Pelo menos duas agências federais dos EUA tiveram seus servidores violados, segundo pesquisadores, que disseram que acordos de confidencialidade com as vítimas os impedem de nomear os alvos.
Um funcionário estadual no leste dos EUA disse que os atacantes “sequestraram” um repositório de documentos fornecidos ao público para ajudar os residentes a entender porquê seu governo funciona. A filial envolvida não pode mais acessar o material, mas não estava simples se ele foi excluído.
Tais ataques de “limpeza” são raros, e oriente deixou funcionários alarmados em outros estados à medida que a notícia se espalhou. Algumas empresas de segurança disseram que não viram exclusões nos ataques ao SharePoint, unicamente o roubo de chaves criptográficas que permitiriam aos hackers reentrar nos servidores.
No Arizona, funcionários de cibersegurança estavam se reunindo com autoridades estaduais, locais e tribais para estimar possíveis vulnerabilidades e compartilhar informações. Uma pessoa ouvida pelo Washington Post com aproximação ao caso disse que foi estabelecida uma “correria louca” em todo os EUA para resolver o problema.
As violações ocorreram depois que a Microsoft corrigiu uma lacuna de segurança oriente mês. Os hackers perceberam que poderiam usar uma vulnerabilidade semelhante, de combinação com a Cisa (Escritório de Cibersegurança e Segurança de Infraestrutura) do Departamento de Segurança Interna.
A porta-voz da Cisa, Marci McCarthy, disse que a filial foi alertada sobre o problema na sexta-feira por uma empresa de pesquisa cibernética e imediatamente contatou a Microsoft.
A Microsoft foi criticada no pretérito por exprimir correções muito estreitamente projetadas e deixar caminhos semelhantes abertos para ataques.
Um dos maiores fornecedores de tecnologia para governos, a big tech teve outros grandes problemas nos últimos dois anos, incluindo violações de suas próprias redes corporativas e emails de executivos. Uma lacuna de programação em seus serviços de nuvem também permitiu que hackers apoiados pela China roubassem emails de funcionários federais.
Na sexta-feira, a Microsoft disse que deixaria de usar engenheiros baseados na China para estribar programas de computação em nuvem do Departamento de Resguardo em seguida um relatório do veículo investigativo ProPublica revelar a prática, levando o Secretário de Resguardo Pete Hegseth a ordenar uma revisão dos acordos de nuvem do Pentágono.
O Núcleo sem fins lucrativos para Segurança na Internet, que mantém um grupo de compartilhamento de informações para governos estaduais e locais nos EUA, notificou tapume de centena organizações que estavam vulneráveis e potencialmente comprometidas, afirmou Randy Rose, vice-presidente da organização. Entre os alertados estavam escolas públicas e universidades.
O processo levou seis horas na noite de sábado —muito mais tempo do que levaria normalmente, porque as equipes de lucidez de ameaças e resposta a incidentes foram reduzidas em 65% à medida que a Cisa cortou o financiamento, avaliou Rose.
Apesar de a Cisa ser liderada por um diretor interino, já que o indicado Sean Plankey não foi confirmado, funcionários da filial têm “trabalhado ininterruptamente” no problema, disse a porta-voz da entidade. “Ninguém esteve dormindo no volante.”
Além das empresas nos EUA e na Alemanha e a universidade brasileira, uma filial governamental na Espanha também foi fim do ataque, segundo pesquisadores de cibersegurança ouvidos pelo Washington Post.
O Núcleo Vernáculo de Segurança Cibernética do Reino Uno disse em uma enunciação que tinha conhecimento de “um número restringido” de alvos no Reino Uno.
