Hackers atacam software da Microsoft e invadem dezenas de empresas no mundo
Hackers exploram falha em software da Microsoft e invadem órgãos públicos, empresas e universidades nos EUA, Brasil, Alemanha e outros países
Escute essa reportagem
Hackers exploraram uma falha de segurança em um software da Microsoft usado no mundo inteiro para lançar uma ofensiva contra agências governamentais e empresas nos últimos dias, invadindo órgãos federais e estaduais dos Estados Unidos, universidades (incluindo uma brasileira que não teve o nome divulgado) e empresas, de acordo com autoridades e pesquisadores.
O governo dos EUA e parceiros no Canadá e na Austrália investigam o comprometimento dos servidores locais do SharePoint, plataforma para compartilhar e gerenciar documentos na nuvem. Dezenas de milhares desses servidores estão em risco, segundo especialistas.
O ataque foi identificado na sexta-feira (18) por uma empresa de cibersegurança com sede na Holanda chamada Eye Security. Ainda não há informações sobre a organização responsável pelo ataque nem sobre seu objetivo.
A Microsoft emitiu um alerta sobre "ataques ativos" ao software no sábado (19) e disse que as vulnerabilidades se aplicam apenas aos servidores do SharePoint usados dentro das organizações. Ela informou que o SharePoint Online no Microsoft 365, que está na nuvem, não foi atingido pelos ataques.
No alerta, a Microsoft disse que uma vulnerabilidade "permite que um invasor autorizado realize spoofing em uma rede", e emitiu recomendações para impedir que os invasores a explorem.
Em um ataque de spoofing, um agente pode manipular os mercados ou agências financeiras ocultando a identidade do agente e aparentando ser uma pessoa, organização ou site confiável.
"Estamos coordenando de perto com a Cisa [Agência de Segurança Cibernética e Infraestrutura dos EUA], o Comando de Defesa Cibernética do DOD e os principais parceiros de segurança cibernética em todo o mundo durante toda a nossa resposta", disse um porta-voz da Microsoft.
A empresa afirma que emitiu atualizações de segurança e pediu aos clientes que as instalassem imediatamente. De acordo com a Microsoft, os usuários devem fazer as modificações nos programas do servidor SharePoint ou simplesmente desconectá-los da internet para conter a violação.
O FBI disse no domingo (20) que está ciente dos ataques e está trabalhando em estreita colaboração com seus parceiros federais e do setor privado, mas não forneceu outros detalhes.
Ataque "Dia Zero"
De acordo com o jornal Washington Post, o ataque chamado de "Dia Zero" -denominado desta forma porque visava uma vulnerabilidade desconhecida- permitiu que espiões invadissem servidores vulneráveis e, potencialmente, criassem uma porta de entrada para garantir acesso contínuo às organizações vítimas.
Com acesso a esses servidores, que frequentemente se conectam ao email Outlook, Teams e outros serviços essenciais, uma violação pode levar ao roubo de dados sensíveis, bem como à coleta de senhas, observou a Eye Security.
Os pesquisadores alertaram ainda que os hackers obtiveram acesso a chaves que podem permitir que eles recuperem a entrada mesmo depois que um sistema tenha sido corrigido.
Segundo especialistas em cibersegurança, a falha pode ter comprometido milhares de dados. "Qualquer pessoa que tenha um servidor SharePoint hospedado tem um problema", afirmou Adam Meyers, vice-presidente sênior da empresa de cibersegurança CrowdStrike. "É uma vulnerabilidade significativa."
"Identificamos dezenas de organizações comprometidas abrangendo setores comerciais e governamentais", afirmou Pete Renals, gerente sênior da Unit 42 da Palo Alto Networks.
A Eye Security e a Fundação Shadowserver, duas empresas de cibersegurança que ajudaram a identificar o ataque, afirmaram que o número de organizações atingidas chegou a cem. A Shadowserver afirmou que a maioria dos afetados estava nos EUA e na Alemanha.
Especialistas em cibersegurança ouvidos pelo Washington Post mencionaram que uma universidade no Brasil e uma agência governamental na Espanha também foram atacadas. As organizações atingidas não tiveram a identidade revelada, porém as duas empresas alertaram as autoridades de cada país.
De acordo com Vaisha Bernard, líder de hack da Eye Security, uma campanha de invasão direcionada a um de seus clientes foi descoberta na sexta-feira (18). Foram adotadas medidas para conter o ataque, mas a empresa disse não saber o que pode ter sido feito durante esse intervalo.
"Quem sabe o que outros adversários têm feito desde então para colocar outras 'backdoors'", comentou Bernard em entrevista à agência de notícias Reuters. Um pesquisador ouvido pelo The Washington Post alertou que a demora da Microsoft para emitir o alerta pode ter comprometido mais a situação.
Segundo o Washington Post, não está claro quem foi o autor do ataque e qual é seu objetivo final. Uma empresa de pesquisa privada descobriu que os hackers estavam mirando servidores na China, bem como uma legislatura estadual no leste dos Estados Unidos.
A Eye Security disse que rastreou cerca de 100 violações, incluindo em uma empresa de energia em um grande estado dos EUA e várias agências governamentais europeias.
Pelo menos duas agências federais dos EUA tiveram seus servidores violados, segundo pesquisadores, que disseram que acordos de confidencialidade com as vítimas os impedem de nomear os alvos.
Um funcionário estadual no leste dos EUA disse que os atacantes "sequestraram" um repositório de documentos fornecidos ao público para ajudar os residentes a entender como seu governo funciona. A agência envolvida não pode mais acessar o material, mas não estava claro se ele foi excluído.
Tais ataques de "limpeza" são raros, e este deixou funcionários alarmados em outros estados à medida que a notícia se espalhou. Algumas empresas de segurança disseram que não viram exclusões nos ataques ao SharePoint, apenas o roubo de chaves criptográficas que permitiriam aos hackers reentrar nos servidores.
No Arizona, funcionários de cibersegurança estavam se reunindo com autoridades estaduais, locais e tribais para avaliar possíveis vulnerabilidades e compartilhar informações. Uma pessoa ouvida pelo Washington Post com acesso ao caso disse que foi estabelecida uma "correria louca" em todo os EUA para resolver o problema.
As violações ocorreram depois que a Microsoft corrigiu uma falha de segurança este mês. Os hackers perceberam que poderiam usar uma vulnerabilidade semelhante, de acordo com a Cisa (Agência de Cibersegurança e Segurança de Infraestrutura) do Departamento de Segurança Interna.
A porta-voz da Cisa, Marci McCarthy, disse que a agência foi alertada sobre o problema na sexta-feira por uma empresa de pesquisa cibernética e imediatamente contatou a Microsoft.
A Microsoft foi criticada no passado por emitir correções muito estreitamente projetadas e deixar caminhos semelhantes abertos para ataques.
Um dos maiores fornecedores de tecnologia para governos, a big tech teve outros grandes problemas nos últimos dois anos, incluindo violações de suas próprias redes corporativas e emails de executivos. Uma falha de programação em seus serviços de nuvem também permitiu que hackers apoiados pela China roubassem emails de funcionários federais.
Na sexta-feira, a Microsoft disse que deixaria de usar engenheiros baseados na China para apoiar programas de computação em nuvem do Departamento de Defesa após um relatório do veículo investigativo ProPublica revelar a prática, levando o Secretário de Defesa Pete Hegseth a ordenar uma revisão dos acordos de nuvem do Pentágono.
O Centro sem fins lucrativos para Segurança na Internet, que mantém um grupo de compartilhamento de informações para governos estaduais e locais nos EUA, notificou cerca de cem organizações que estavam vulneráveis e potencialmente comprometidas, afirmou Randy Rose, vice-presidente da organização. Entre os alertados estavam escolas públicas e universidades.
O processo levou seis horas na noite de sábado -muito mais tempo do que levaria normalmente, porque as equipes de inteligência de ameaças e resposta a incidentes foram reduzidas em 65% à medida que a Cisa cortou o financiamento, avaliou Rose.
Apesar de a Cisa ser liderada por um diretor interino, já que o indicado Sean Plankey não foi confirmado, funcionários da agência têm "trabalhado ininterruptamente" no problema, disse a porta-voz da entidade. "Ninguém esteve dormindo no volante."
Além das empresas nos EUA e na Alemanha e a universidade brasileira, uma agência governamental na Espanha também foi alvo do ataque, segundo pesquisadores de cibersegurança ouvidos pelo Washington Post.
O Centro Nacional de Segurança Cibernética do Reino Unido disse em uma declaração que tinha conhecimento de "um número limitado" de alvos no Reino Unido.
MATÉRIAS RELACIONADAS:
Tags
Comentários