Ataque Impresa: como um sistema vulnerável destrói parte da memória cultural de um país

Domingo, 2 de janeiro de 2022. A entrada num novo ano não estabilizou a turbulência no panorama da cibersegurança – desde o início da pandemia, o volume de ataques aumentou na ordem dos três dígitos. Como um dos maiores grupos de comunicação social em Portugal, o ataque colocou em baixo o site do jornal Expresso, do canal de televisão SIC e da SIC Notícias, da plataforma de streaming Opto, da página de fotografia Olhares, da revista cultural Blitz, mas também de órgãos exteriores ao grupo, como o site de um jornal ribatejano, que apesar de não pertencer à Impresa, está alojado nos servidores do grupo desde 2016.

Cerca de três dias depois, regressaram com um site provisório, exceto o Olhares e a Blitz (que, agora, ocupa um pequeno espaço no site do Expresso). Em comunicado, o Expresso disse que “enquanto fazemos todos os esforços para recuperar o que é nosso (o que é seu), decidimos criar um site temporário”.

Desde logo, o grupo adiantou que estava a tomar medidas para resolver o incidente e a trabalhar ativamente para ultrapassar o ataque junto da Polícia Judiciária e do Centro Nacional de Cibersegurança, “tendo criado uma task force para gestão do mesmo, e acionado todas as medidas técnicas e procedimentos legais aplicáveis”, e que iria avançar com uma queixa-crime.

Apesar de uma declaração inicial do grupo alegar que o ataque se tratava de um “atentado à liberdade de expressão”, o ataque reflete a crescente massificação dos ciberataques e de uma “economia de cibercrime” que se está a gerar, como dizia Manuel Dias, CTO da Microsoft Portugal, em entrevista à IT Security de dezembro. Passado quase um mês desde o ataque ao grupo Impresa, o mediatismo acalmou, mas ainda há questões a serem respondidas.

“Lapsus$ é oficialmente o novo presidente de Portugal”

A autoria foi reivindicada pelo Lapsus$ Group, que, não só enviou ao início da noite de domingo um email aos subscritores das newsletters do Expresso, como deixou uma mensagem visível nos sites visados, pedindo um resgate. A mensagem foi posteriormente substituída por uma nota de indisponibilidade.

Apesar do pedido de resgate apresentado no portal do site e de essa ser uma das caraterísticas da atividade do Lapsus$ Group, pouco tempo depois do ataque, o grupo Impresa comunicou que não se tratava, na realidade, de ransomware. “Este ataque não foi da tipologia ransomware, não tendo sido efetuado qualquer pedido de pagamento. Tratou- -se, na verdade, de uma ação de destruição e sabotagem massiva e gratuita de informação, infraestrutura e sistemas do grupo Impresa”, disseram no comunicado. Mais, “tanto quanto foi possível saber, um grupo de atacantes realizou uma intrusão na rede interna e, utilizando credenciais válidas, obtidas de forma criminosa, tomaram controlo da conta cloud (AWS) do grupo Impresa e outros serviços”.

Segundo Marc Rivero, analista da equipa de Análise e Investigação Global da GReAT da Kaspersky, que desde logo rejeitou a ideia de se tratar de ransomware, “o resgate tornou-se em algo popular há já algum tempo. A indústria inteira está a falar disso e os atacantes estão a utilizar o tópico como uma alavanca para saltar para serem reconhecidos”, como forma de afirmação; “para tal, fazem a ameaça de extorsão”, completa o analista.

Por outro lado, “as empresas não querem que os clientes saibam que foram hackeados, porque significa que não está a tomar as medidas necessárias para proteger os seus ativos”. Nesse sentido, é comum “as empresas pagarem os resgates, para não ter a sua informação publicada” e esconder por uma questão reputacional.

“Este grupo iniciou a sua atividade em dezembro”, afirmou Marc Rivero. O grupo “parece usar técnicas de hacking para comprometer as suas vítimas”, e executa ransomware no servidor, podendo apenas ser “uma questão de chamar à atenção”. Segundo o analista, o grupo faz “upload de parte da informação recolhida num grupo de Telegram”, como plataforma de promoção das suas atividades. Na altura, o grupo enviou um link para a plataforma de mensagens com a legenda “Lapsus$ é oficialmente o novo presidente de Portugal”.

Segundo Marc Rivero, o Lapsus$ utiliza diferentes técnicas para infiltrar as empresas. Num primeiro lugar, enumeram os serviços utilizados fora da organização, tentam encontrar a versão em que os serviços correm e tentam explorá-los, “uma das técnicas mais comuns utilizada pelo grupo”. Por outro lado, recorrem a password spraying, que “é mais comum do que pensamos”, e, por fim, outro vetor é o phishing”.

Neste caso, Marc Rivero acredita que o ataque tenha, provavelmente, surgido através de um erro humano, tendo “acesso aos serviços através de uma palavra-passe fraca”. “A maior parte das vezes, a segurança tem a ver com erros humanos, até porque as máquinas e os servidores estão a fazer aquilo que os preparamos para fazer”, refere o analista. Adicionalmente, explica que, “no final de contas, se [a empresa] tem uma conta que gere toda a infraestrutura e os atacantes têm acesso, podem fazer imensas coisas”, razão pela qual “a segurança funciona em camadas”, conclui o analista da Kaspersky.

Dados comprometidos

O email enviado pelos criminosos aos leitores já indicava que os dados teriam sido comprometidos – mais tarde, a nota de esclarecimento enviada aos subscritores veio confirmar: “alguns dados pessoais foram acedidos pelos atacantes. Concretamente, os dados de identificação e contacto associados ao login, como o seu nome, email e contacto telefónico”. Contudo, disseram não ter evidências de que os atacantes tiveram acesso a palavras-passe (recomendando, contudo, a atualização das mesmas) ou informações como dados bancários (associados às subscrições).

Adicionalmente, esclareceram que os dados pessoais não teriam sido destruídos ou apagados das bases de dados do grupo e que “o procedimento criminal já se encontra a correr”, com conhecimento da Comissão Nacional de Proteção de Dados (CNPD). Para reparar a violação de dados, o grupo Impresa afirma que “foi, entre outras coisas, efetuada a recuperação de cópias de segurança, bem como a realização de análises de vulnerabilidades”.

A CNPD afirma estar a investigar o incidente, não tendo, neste momento “conhecimento completo do âmbito e consequências desta violação”, não só porque a “própria Impresa não consegue ainda dar todas as respostas necessárias”, como “pela quantidade e complexidade da informação a analisar pela CNPD”, referem num esclarecimento público. Contactada pela IT Security, a CNPD afirma estar a investigar o caso e recusou prestar declarações.

O ataque não se deverá tratar de uma ‘caça às bruxas’ das empresas de comunicação social, mas de uma procura pelas grandes empresas mais vulneráveis. Marc Rivero acredita que o grupo “descobriu que esta empresa em Portugal estava vulnerável, tentou e conseguiu”, mas “não acho que os meios de comunicação social em específico são o alvo mais famoso de ataque neste momento”. Contudo, é, naturalmente, um “alvo a considerar da parte dos atacantes, no sentido em que se o fizerem, toda a gente vai falar disso e é por isso que estamos a falar agora do tema”.

Passadas três semanas do ataque, sabe-se que resultou na destruição de todo o histórico de notícias armazenado nos servidores do grupo – apagando parte do acervo e património histórico cultural português. Contactado pela IT Security, o grupo Impresa não teceu comentários sobre o ataque e afirmou que o tema está sob segredo de justiça.

Investir na segurança dos sistemas é o mais importante: “os defensores têm de defender sempre, enquanto os atacantes só têm de ter sucesso uma vez”, afirma Marc Rivero. É de notar que uma organização pode demorar vários meses a recuperar de um ciberataque e o fim desta batalha ainda não foi anunciado.