Ataque cibernético contra o CICV: o que sabemos até agora

Ataque cibernético contra o CICV: o que sabemos até agora

Artigo 16 fevereiro 2022 Suíça

Atualização: 16 de fevereiro de 2022, 14h00 CET - Já passou quase um mês desde que determinámos que servidores que alojam dados pessoais pertencentes a mais de 515.000 pessoas em todo o mundo foram alvo de um sofisticado ataque cibernético. Estamos agora em posição de partilhar algumas conclusões da nossa análise a esta falha de segurança de dados.

Sentimos que é da nossa responsabilidade enquanto organização humanitária responsável perante os nossos parceiros e as pessoas a quem servimos, partilhar as informações que pudermos sobre este acesso ilícito.

O que devo fazer se me parecer que os meus dados poderão ter sido acedidos no ataque cibernético

Se não tiver notícias nossas e estiver preocupado, recomendamos que contacte a sua sociedade local da Cruz Vermelha ou do Crescente Vermelho ou a delegação do CICV do seu país. Aqui encontra uma lista dos contactos. Também desenvolvemos um artigo de perguntas e respostas com mais informações para as pessoas que foram afetadas. Sabemos que nos confiaram informações e detalhes pessoais sobre acontecimentos muitas vezes traumáticos nas vossas vidas. Não assumimos esta responsabilidade de ânimo leve. Queremos que saibam que estamos a fazer todos os possíveis para restabelecer os serviços que tanto nos orgulhamos de oferecer em todo o mundo. Trabalharemos arduamente para manter a V/ confiança e poder continuar a servir-vos.

O que tornou este ataque altamente sofisticado e direcionado?

Os hackers fizeram uso de recursos consideráveis para aceder aos nossos sistemas e utilizaram táticas que a maioria das ferramentas de deteção não teria captado. As informações seguintes demonstram a natureza sofisticada e direcionada do ataque:

  • Os atacantes usaram um conjunto muito específico de ferramentas avançadas de hacking concebidas para a segurança ofensiva. Estas ferramentas são principalmente usadas por grupos de ameaça persistente avançada*, não estão disponíveis publicamente e, por conseguinte, estão fora do alcance de outros autores.
  • Os atacantes usaram técnicas sofisticadas de ofuscação para esconder e proteger os seus programas maliciosos. Isto requer um elevado nível de competências apenas disponíveis a um número limitado de autores.
  • Determinámos que o ataque seria direcionado dado que os atacantes criaram um trecho de código exclusivamente concebido para execução nos servidores visados do CICV. As ferramentas utilizadas pelo atacante fizeram explicitamente referência a um identificador exclusivo nos servidores visados (o seu endereço MAC).
  • As ferramentas anti-malware que tínhamos instaladas nos servidores visados estavam ativas e detetaram e bloquearam alguns dos ficheiros utilizados pelos atacantes. Porém, a maioria dos ficheiros maliciosos usados foi criada especificamente para contornar as nossas soluções anti-malware, e foi somente quando instalámos agentes avançados de deteção e resposta de pontos finais (EDR) como parte do nosso programa de melhoria planeado que essa intrusão foi detetada.

Quando soubemos deste ataque?

Uma empresa especializada em cibersegurança contratada pelo CICV para nos prestar apoio na proteção dos nossos sistemas detetou uma anomalia nos servidores do CICV que continha informações relativas aos serviços globais da Cruz Vermelha e do Movimento de Restabelecimento dos Laços Familiares do Crescente Vermelho. Fizemos então uma análise aprofundada dos dados e no dia 18 de janeiro determinámos que os hackers tinham estado dentro destes sistemas e tinham tido acesso aos dados contidos nos mesmos.

Durante quanto tempo estiveram os hackers dentro dos nossos sistemas?

Neste caso, detetámos uma anomalia no nosso sistema 70 dias após a ocorrência da falha de segurança e iniciámos imediatamente uma análise aprofundada. Com base no exposto, foi-nos possível determinar a 18 de janeiro que os nossos servidores tinham sido comprometidos. A nossa análise demonstra que a falha de segurança ocorreu a 9 de novembro de 2021.

Uma falha de segurança tão grande e complexa demora normalmente algum tempo a ser detetada. Por exemplo, acreditamos que o tempo médio para identificar uma falha de segurança de dados é de 212 dias**.

Como é que os hackers entraram nos nossos sistemas?

Os hackers conseguiram entrar na nossa rede e aceder aos nossos sistemas explorando uma vulnerabilidade crítica*** não corrigida num módulo de autenticação (CVE-2021-40539). Esta vulnerabilidade permite que os autores de ataques cibernéticos maliciosos coloquem shells Web e conduzam atividades pós-exploração, tais como comprometer as credenciais do administrador, conduzir movimento lateral e exfiltrar ramos de registo e ficheiros do Active Directory. Uma vez dentro da nossa rede, os hackers conseguiram implantar ferramentas de segurança ofensiva as quais lhes permitiram disfarçar-se de utilizadores ou administradores legítimos. Isto, por sua vez, permitiu-lhes aceder aos dados, apesar de estes dados estarem encriptados.

O que correu mal com as nossas defesas?

O processo de aplicação de patches é uma atividade extensa para qualquer grande empresa. Anualmente, implementamos dezenas de milhares de patches em todos os nossos sistemas. A aplicação atempada de patches críticos é essencial para a nossa cibersegurança, mas infelizmente, não aplicámos este patch de forma atempada antes do ataque ter ocorrido.

No CICV dispomos de um sistema de defesa cibernética multinível que inclui a monitorização de pontos finais, software de deteção de ameaças e outras ferramentas. Neste caso, a nossa análise após o ataque revelou que os nossos processos e ferramentas de gestão de vulnerabilidades não pararam essa falha de segurança. Implementámos mudanças imediatas em ambas as áreas. Além disso, estamos a acelerar as atividades já planeadas como parte do nosso mais recente programa de melhoria da cibersegurança, lançado em fevereiro de 2021, em resposta às ameaças em evolução constante.

Quem achamos que está por detrás deste ataque?

Não podemos determinar quem está por detrás deste ataque ou por que motivo foi realizado, e não vamos especular sobre isso. Não tivemos qualquer contacto com os hackers e não foi efetuado um pedido de resgate. Em linha com a nossa prática permanente de colaborar com qualquer agente que possa facilitar ou impedir o nosso trabalho humanitário, estamos dispostos a comunicar direta e confidencialmente com quem quer que seja responsável por esta operação para o sensibilizar para a necessidade de respeitar a nossa ação humanitária. Também reiteramos o nosso pedido aos hackers para não compartilharem, venderem, deixarem fugir ou usarem esses dados de qualquer outro modo.

Com quem estamos a trabalhar neste assunto?

Estabelecemos parcerias com os nossos principais parceiros tecnológicos e empresas altamente especializadas para nos ajudarem neste assunto. Desde o início da crise que a sede do CICV em Genebra está em diálogo próximo com o Centro Nacional de Segurança Cibernética (NCSC - National Cyber Security Center) da Suíça. As Sociedades Nacionais da Cruz Vermelha e do Crescente Vermelho estão em contacto com as autoridades nacionais.

Quais as informações que foram acedidas?

A falha de segurança incluiu dados pessoais, tais como nomes, localizações e informações de contacto de mais de 515.000 pessoas de todo o mundo. As pessoas afetadas incluem pessoas desaparecidas e as suas famílias, detidos e outras pessoas que recebem serviços da Cruz Vermelha e do Crescente Vermelho na sequência de conflitos armados, desastres naturais ou migração. Acreditamos que não é do melhor interesse destas pessoas titulares destes dados partilhar mais detalhes sobre quem são, onde estão ou de onde vieram.

Foram copiados e exportados conjuntos de dados?

Temos de presumir que sim. Sabemos que os hackers estiveram dentro dos nossos sistemas e, assim, tiveram a possibilidade de copiar e exportar os dados. Tanto quanto é do nosso conhecimento, as informações não foram publicadas nem comercializadas até ao momento. Estamos confiantes na nossa análise inicial de que nenhum dado foi eliminado na falha de segurança. Isto é importante porque nos permite estabelecer sistemas provisórios para voltar ao trabalho de restabelecimento de contacto entre entes queridos.

Os dados foram disponibilizados a terceiros, inclusive na dark web?

Neste momento, não temos qualquer prova conclusiva de que esta informação da falha de segurança de dados tenha sido publicada ou esteja a ser negociada. A nossa equipa de cibersegurança investigou todas as alegações de dados disponíveis na dark web.

Quão confiantes estamos de que os hackers já não estão nos nossos sistemas?

Colocámos os servidores comprometidos offline, assim que determinámos que tinham sido ciberatacados. Estamos confiantes de que este incidente não afetou outros servidores uma vez que segmentamos os nossos sistemas e estamos continuamente a monitorizar o ambiente geral para detetar quaisquer sinais de atividade maliciosa com ferramentas avançadas.

O que estamos a fazer agora?

Estamos a trabalhar em parceria com as Sociedades Nacionais da Cruz Vermelha e do Crescente Vermelho e as nossas delegações do CICV no terreno para informar os indivíduos e as famílias cujos dados foram alvo de uma falha de segurança. Este processo é complexo e vai demorar algum tempo. Os que correm mais risco são a nossa maior prioridade. Parte disto está a ser realizado através de chamadas telefónicas, linhas diretas, anúncios públicos, cartas e, em alguns casos, requer que as equipas viajem até às comunidades remotas para informar pessoalmente os visados. Estamos a envidar todos os esforços para contactar pessoas às quais é difícil aceder, tais como os migrantes. Também desenvolvemos soluções alternativas que permitem às equipas da Cruz Vermelha e do Crescente Vermelho de todo o mundo continuar a fornecer serviços básicos de rastreamento para as pessoas afetadas por esta falha de segurança enquanto reconstruímos um novo ambiente digital para a Agência Central de Rastreamento.

Que mudanças serão implementados no ambiente online da Agência Central de Rastreamento antes de este ficar ativo?

As melhorias de segurança incluem um novo processo de autenticação de dois fatores e a utilização de uma solução avançada de deteção de ameaças. Os testes de penetração bem-sucedidos, realizados externamente em todas as aplicações e sistemas são um pré-requisito para que os serviços sejam retomados.

Por que razão não estamos a fornecer mais informações técnicas sobre o acesso ilícito ou os nossos sistemas?

Levamos a cibersegurança muito a sério e temos vindo a investir substancialmente na mesma ao longo de muitos anos. Esses investimentos têm de continuar face a um cenário de ameaça em constante evolução. Para garantir a segurança das nossas aplicações e de acordo com as boas práticas do setor, não divulgaremos a arquitetura técnica ou detalhes de segurança.

 

*Uma ameaça persistente avançada (APT) é um autor de ameaça dissimulado, tipicamente um Estado nacional ou grupo patrocinado pelo Estado, que obtém acesso não autorizado a uma rede informática e permanece na mesma sem ser detetado durante um período prolongado. Nos últimos tempos, o termo também se pode referir a grupos não patrocinados pelo Estado que realizam intrusões direcionadas de larga escala para objetivos específicos (Referência: https://pt.wikipedia.org/wiki/Ameaça_persistente_avançada)

**Do relatório de 2021 "Cost of a Data Breach" da IBM: "Em 2021, o tempo médio para identificar uma falha de segurança foi de 212 dias e para conter uma falha de segurança de 75 dias, para um ciclo de vida total de 287 dias." (https://www.ibm.com/security/data-breach)

***https://nvd.nist.gov/vuln/detail/cve-2021-40539