Parar a comunicação num país

No dia 7 de fevereiro de 2022, os clientes da Vodafone Portugal ‘adormeceram’ sem os serviços da operadora. 12 horas depois, a própria empresa confirmou. “A Vodafone foi alvo de uma disrupção na sua rede, iniciada na noite de 7 de fevereiro de 2022 devido a um ciberataque deliberado e malicioso com o objetivo de causar danos e perturbações”, escreveu, em comunicado, a operadora.

O caso da Vodafone Portugal não é a primeira operadora a enfrentar um ciberataque, mas foi a primeira operadora portuguesa a ter este tipo de disrupção e a confirmar que a origem se deu a um ato cibercriminoso.

Quem está por detrás do ato, como é que efetivamente conseguiu acesso ou descobrir tudo o que foi afetado pode demorar meses – isto, claro, se alguma vez se descobrir.

“Os problemas técnicos que afetam a rede”

No dia 7 de fevereiro, por volta das 23h, a Vodafone emitiu um comunicado de imprensa a dar nota de que existiam problemas na rede, sendo que as suas equipas estavam “a trabalhar para identificar e solucionar os problemas técnicos que afetam a sua rede, essencialmente os serviços de telecomunicações móveis, mas também com potencial impacto no serviço de televisão”.

Na manhã seguinte, por volta das 8h, a operadora emitiu, então, o comunicado que confirmou que a empresa foi alvo de um “ciberataque deliberado e malicioso”. A empresa partilhou que “os esforços das equipas envolvidas possibilitaram a recuperação progressiva dos serviços de voz móvel a partir das 22h, embora se continuem a verificar algumas perturbações nas ligações com destino a outros operadores”. Vários clientes continuaram com problemas ao longo do dia 8 de fevereiro.

Numa conferência de imprensa no mesmo dia, Mário Vaz, CEO da Vodafone Portugal, indicou que o ciberataque se tratou de “um ato terrorista” e indicou que não foi pedido nenhum tipo de resgate. As comunicações feitas pela Vodafone Portugal durante esse dia indicavam, também, que não existiam “quaisquer indícios de que os dados de clientes tenham sido acedidos e/ou comprometidos”.

Ataque direcionado

Contactados pela IT Security no dia em que se ficou a conhecer o ataque, especialistas da Check Point e Kaspersky explicaram que, se 90% dos ataque são indiscriminados, onde o objetivo é, basicamente, roubar dinheiro, os outros 10% – onde se insere este ataque à Vodafone Portugal – são ameaças persistentes ou ameaças direcionadas, onde “o ator sabe muito bem o que quer e como proceder nas suas operações para roubar as informações”, explicou Daniel Creus, Lead Security Researcher do GReAT – a equipa global de pesquisa e análise da Kaspersky.

Numa fase inicial, Bruno Duarte, Senior Security Engineer da Check Point, indicou que parecia tratar-se de “um ataque de Denial-of-Service bastante grande. A Vodafone – assim como todas as operadoras – têm na sua infraestrutura mecanismos de proteção contra este tipo de ataques; para causar esta interrupção de serviço, terá de ter sido algo muito específico ou, em termos de dimensão, algo mesmo muito grande. Terá de ter sido algo muito específico para causar este tipo de interrupção”.

“Para mandar toda a infraestrutura de telemóvel e televisão abaixo, terá de ter sido um ataque de uma dimensão realmente grande, distribuído – com origem em vários sítios do globo, quase de certeza – e, agora, entra aqui a parte da análise forense e tentar perceber de onde vem este tipo de ataques”, acrescentou o representante da Check Point.

No LinkedIn, Mário Vaz escreveu numa publicação que “fomos objeto de um ciberataque sem precedentes, cuja origem e objetivos ainda estão a ser investigados, e que se traduziu na destruição intencional de vários elementos centrais das nossas redes, incluindo nos sistemas redundantes que temos preparados para ativar numa situação de falha de rede. A atuação maliciosa foi efetuada de forma cirúrgica denotando intenção de provocar um dano de grande profundidade e expressão”.

Mais de uma semana depois do ataque, Mário Vaz publicou uma carta aberta onde menciona que “não sabemos, e se calhar nunca vamos saber, porquê”, antevendo que a motivação poderá ter sido “destruir o que somos, aquilo que trabalhamos e construímos todos os dias, com colaboradores, clientes, parceiros, Estado e sociedade civil”.

Ligações à Rússia?

Algo que começou a ser noticiado pelos meios generalistas é de que o ataque poderá ter ligações à Rússia. A RTP, por exemplo, indicou que a Polícia Judiciária e o SIS terão recolhido indícios concretos como a rede da Vodafone foi invadida, nomeadamente através do roubo do login e da password de um colaborador da Vodafone Portugal.

A estação pública avançou, também, que terá sido utilizada uma técnica de SIM swap para ‘clonar’ o cartão de telemóvel desse funcionário e, assim, ultrapassar a dupla autenticação que estava ativa na rede.

Já o Expresso noticiou que, a 24 de janeiro, tinha sido publicado no fórum russo Exploit.in um ‘leilão’ para “acesso ao sistema informática de uma companhia de telecomunicações portuguesa com receitas entre os mil e os quatro mil milhões de dólares”, aceitando propostas a partir dos 2.500 dólares.

A 24 de fevereiro, o Lapsu$ Group ameaçou revelar informações do grupo Impresa, da Vodafone Portugal e da T-Mobile e questionou o que devia divulgar primeiro, indicando que o grupo que reivindicou o ataque à Impresa poderá ter estado, também, por detrás do ataque à Vodafone Portugal.