Especialistas da Check Point e da Kaspersky comentam o que se sabe - ou o que é possível saber - sobre o ataque à Vodafone Portugal, que causou interrupções de serviço da operadora de telecomunicações
Depois de uma interrupção de serviço ainda na noite de 7 de fevereiro, que se prolongou para o dia seguinte, o dia 8 de fevereiro começou com um comunicado da Vodafone a confirmar que a operadora de telecomunicações sofreu um ciberataque e que os serviços ainda não estavam 100% operacionais. A meio do dia, Mário Vaz, presidente da Vodafone Portugal, disse, em conferência de imprensa, que o ataque foi um “ato terrorista”, “dirigido à rede”, onde o objetivo “foi claramente deixar indisponível o serviço”. Em declarações à IT Security (que pertence ao mesmo grupo da IT Insight) – ainda antes da conferência de imprensa da Vodafone Portugal – Daniel Creus, Lead Security Researcher do GReAT – a equipa global de pesquisa e análise da Kaspersky –, explicou que, “neste momento da investigação, ainda é cedo para dizer quem pode estar por detrás do ataque”. Se 90% dos ataques são indiscriminados, onde o objetivo é, basicamente, roubar dinheiro, os outros 10% – onde se insere este ataque à Vodafone Portugal – são ameaças persistentes ou ameaças direcionadas, onde “o ator sabe muito bem o que quer e como proceder nas suas operações para roubar as informações”. Também em declarações à IT Security, Bruno Duarte, Senior Security Engineer da Check Point, admite que, neste momento, apenas se pode “tentar adivinhar” o que se passou. “Parece-me que terá sido um ataque de Denial-of-Service bastante grande. A Vodafone – assim como todas as operadoras – tem na sua infraestrutura mecanismos de proteção contra este tipo de ataques; para causar esta interrupção de serviço, terá de ter sido algo muito específico ou, em termos de dimensão, algo mesmo muito grande. Terá de ter sido algo muito específico para causar este tipo de interrupção”, declara. “Para mandar toda a infraestrutura de telemóvel e televisão abaixo, terá de ter sido um ataque de uma dimensão realmente grande, distribuído – com origem em vários sítios do globo, quase de certeza – e, agora, entra aqui a parte da análise forense e tentar perceber de onde vem este tipo de ataques. Mas, com esta dimensão, quase de certeza que os atacantes conseguem mascarar a origem destes ataques, utilizar proxys e máquinas zombie para esconder o seu rasto. Mas, parece-me, estamos a ver algo gravíssimo; para afetar uma infraestrutura desta dimensão, terá de ter muita, muita, muita máquina a gerar muito tráfego para causar este tipo de danos numa infraestrutura crítica”, refere Bruno Duarte. Sem acesso aos dados dos clientesNo comunicado enviado pela Vodafone Portugal às redações ainda antes das 8 da manhã, a operadora afirmou que não existem “quaisquer indícios de que os dados de clientes tenham sido acedidos e/ou comprometidos”. Se vierem a existir indícios de que, afinal, os dados dos clientes da Vodafone Portugal foram acedidos, o Senior Security Engineer da Check Point diz que esses dados, provavelmente, “estariam relacionais com as redes móveis – como dados dos utilizadores, números de telefone, credenciais de acesso para a área de cliente da Vodafone que, depois, podem ser aproveitados para campanhas de phishing ou smishing. Na minha opinião, não foi esse o caso; terá sido mais de Denial-of-Service e não tanto para se apoderar de dados”. De qualquer maneira, importa relembrar, a Vodafone terá de comunicar às entidades competentes e aos seus clientes para que possam tomar alguma medida necessário se os dados tiverem sido acedidos. Bruno Duarte partilha que “acreditam que existam barreiras para proteger estas bases de dados e estes temas que, na prática, precisam de falar todos entre si, mas não deverão estar assim expostos”. Daniel Creus afirma que, “dependendo do nível de acesso, isto pode ser um grande drama” para os clientes, até porque “estes adversários são muito bons a olhar para a informação que pode causar mais danos às empresas, como coisas confidenciais”. Precauções dos clientes empresariais da Vodafone PortugalA Vodafone Portugal não tem apenas clientes domésticos, mas também empresariais. Quando uma fornecedora de serviços é alvo de um ciberataque, é importante que as organizações que recebem este tipo de serviços tenham atenção à sua rede. Bruno Duarte refere que os clientes empresariais da Vodafone Portugal – que utilizam serviços no data center ou usam a infraestrutura da Vodafone – “já deverão estar a ver e a analisar os logs para possíveis ataques, mas o principal problema que devem estar a sentir são as ligações para a Internet”. O Lead Security Researcher do GReAT acrescenta que é “importante abraçar novas disciplinas, como a ciberinteligência”, que permite “adaptar o programa de cibersegurança de uma empresa dependendo da real condição das ameaças e do risco”. Para Daniel Creus, esta é, na verdade, o caminho a seguir para além das medidas tradicionais, como “a proteção do perímetro ou a formação dos utilizadores”. Mais ataques contra empresas portuguesasSe nos últimos anos foram poucos os ciberataques conhecidos contra organizações portuguesas, só este ano já existiram vários – como ao grupo Impresa. Para Daniel Creus, “estas campanhas vão continuar porque os criminosos sabem que está a funcionar”. “Sabemos que há alguns ataques de ransomware que estão especificamente interessados em Portugal recentemente e sabemo-lo devido a ataques de elevado impacto”, explica o Lead Security Researcher do GReAT. “Se tivermos em conta a forma como o cibercrime funciona, às vezes é simples: um grupo terá roubado uma base de dados com muita informação sobre empresas portuguesas e estão a aproveitar isso para lançar estes ataques, mas agora não sabemos. O que sabemos é que grupos high profile estão a visar Portugal e sabemos que os ataques, de forma geral, não vão parar”, conclui. “A tendência é que existam mais ataques” contra empresas em Portugal, esclarece Bruno Duarte, da Check Point. “Estas vulnerabilidades descobertas recentemente – como o Log4j – são apenas a ponta do iceberg. Relembro que antes foi o ataque da SolarWinds e esse terá sido mesmo a ponta do iceberg e existem muitas coisas que ainda não se sabem e que, se calhar, ainda não foram explorados. A tendência é essa e com trabalho remoto e estas vulnerabilidades, acredito que o que estamos a vivenciar desde janeiro não vai melhorar”, conclui. |