Ataque cibernético contra o CICV: o que sabemos
Atualização: 24 de junho de 2022 - Em janeiro, determinamos que servidores que hospedavam dados pessoais pertencentes a mais de 515 mil pessoas no mundo todo foram invadidos em um sofisticado ataque cibernético.
Sentimos que, como organização humanitária, temos a responsabilidade perante os nossos parceiros e as pessoas a quem atendemos de compartilhar o que pudermos sobre essa invasão.
Acho que os meus dados podem ter sido acessados no ataque cibernético. O que devo fazer?
Se não entramos em contato com você e você está preocupado/a, recomendamos que entre em contato com a Sociedade Nacional da Cruz Vermelha ou do Crescente Vermelho local ou o escritório do Comitê Internacional da Cruz Vermelha (CICV) no seu país. Veja aqui uma lista de informações de contatos. Também desenvolvemos uma lista de perguntas e respostas com mais informações para as pessoas que foram afetadas. Sabemos que você nos confiou informações pessoais e detalhes sobre eventos frequentemente traumáticos nas suas vidas. Esta não é uma responsabilidade que assumimos de ânimo leve. Vamos trabalhar arduamente para manter a sua confiança para que possamos continuar os nossos serviços.
Os sistemas do CICV estão online novamente?
Sim. Os sistemas estão online de novo, o que é sumamente importante para permitir que as equipes da Cruz Vermelha e do Crescente Vermelho no mundo todo ajudem a reconectar familiares separados. Os sistemas foram relançados com melhorias de segurança, incluindo um novo processo de autenticação de dois fatores e uma solução avançada de detecção de ameaças. Os aplicativos e sistemas voltaram a ficar online somente após testes de penetração bem-sucedidos conduzidos externamente. Continuamos monitorando os nossos sistemas de perto e fazendo melhorias de segurança relevantes.
Como o CICV informa as pessoas que foram afetadas?
Trabalhamos com as Sociedades Nacionais da Cruz Vermelha e do Crescente Vermelho e as nossas delegações do CICV no local para informar os indivíduos e as famílias cujos dados foram violados. Esse processo é complexo e contínuo, sendo cada caso gerenciado com base em avaliações de risco individuais. Parte disso está sendo feito por meio de telefonemas, linhas diretas, anúncios públicos, cartas e, em alguns casos, exige que as equipes se desloquem a comunidades remotas para informar as pessoas pessoalmente. Estamos fazendo todos os esforços para contatar pessoas às quais é difícil chegar, como migrantes. A maioria das pessoas que informamos quer que continuemos trabalhando para encontrar os seus familiares. Sabemos o custo emocional para uma pessoa que tem um membro da família desaparecido. Continuaremos fazendo tudo que está ao nosso alcance ajudá-las a encontrar as respostas que merecem.
O que tornou este ataque altamente sofisticado e direcionado?
Os hackers usaram recursos consideráveis para acessar os nossos sistemas e usaram táticas que a maioria das ferramentas de detecção não teria captado. As informações a seguir demonstram a natureza sofisticada e direcionada do ataque:
- Os invasores usaram um conjunto muito específico de ferramentas avançadas de invasão projetadas para segurança ofensiva. Essas ferramentas são usadas principalmente por grupos avançados de ameaças persistentes*, não estão disponíveis publicamente e, portanto, estão fora do alcance de outros atores.
- Os invasores usaram técnicas sofisticadas de ofuscação para ocultar e proteger os seus programas maliciosos. Isso requer um alto nível de habilidades disponíveis apenas para um número limitado de atores.
- Determinamos que o ataque foi direcionado porque os invasores criaram um código projetado exclusivamente para execução nos servidores do CICV visados. As ferramentas usadas pelo invasor referem-se explicitamente a um identificador exclusivo nos servidores de destino (o seu endereço MAC).
- As ferramentas antimalware que instalamos nos servidores de destino estavam ativas e detectaram e bloquearam alguns dos arquivos usados pelos invasores. Mas a maioria dos arquivos maliciosos implantados foi criada especificamente para contornar as nossas soluções antimalware e foi somente quando instalamos agentes avançados de detecção e resposta de endpoint (EDR) como parte do nosso programa de melhoria planejado que essa invasão foi detectada.
Quando soubemos desse ataque?
Uma empresa especializada em segurança cibernética contratada pelo CICV para nos apoiar na proteção dos nossos sistemas detectou uma anomalia nos servidores do CICV que continham informações relacionadas aos serviços globais de restauração de vínculos familiares do Movimento da Cruz Vermelha e do Crescente Vermelho. Realizamos uma investigação exaustiva e determinamos no dia 18 de janeiro que hackers haviam invadido esses sistemas e acessaram os dados aí contidos.
Quanto tempo os hackers ficaram dentro dos sistemas do CICV?
Nesse caso, detectamos uma anomalia no nosso sistema 70 dias após a ocorrência da violação e iniciamos imediatamente uma investigação exaustiva. Com base nisso, pudemos determinar em 18 de janeiro que os nossos servidores haviam sido comprometidos. A nossa análise mostra que a violação ocorreu em 9 de novembro de 2021.
Uma violação tão grande e complexa geralmente leva tempo para ser detectada. Por exemplo, entendemos que o tempo médio para identificar uma violação de dados é de 212 dias**.
Como os hackers entraram nos sistemas do CICV?
Os hackers conseguiram entrar na nossa rede e acessar os nossos sistemas explorando uma vulnerabilidade crítica não corrigida*** em um módulo de autenticação (CVE-2021-40539). Essa vulnerabilidade permite que agentes cibernéticos mal-intencionados coloquem web shells e realizem atividades de pós-exploração, como comprometer credenciais de administrador, conduzir movimentos laterais e vazar hives de registro e arquivos do Active Directory. Uma vez dentro da nossa rede, os hackers conseguiram implantar ferramentas de segurança ofensivas que permitiram que simulassem ser usuários ou administradores legítimos. Isso, por sua vez, permitiu que acessassem os dados, apesar de esses dados serem criptografados.
Onde as nossas defesas falharam?
O processo de correção é uma atividade extensa para qualquer grande empresa. Anualmente, implementamos dezenas de milhares de patches em todos os nossos sistemas. A aplicação oportuna de patches críticos é essencial para a nossa segurança cibernética, mas, infelizmente, não aplicamos esse patch antes do ataque.
Temos um sistema de defesa cibernética multinível no CICV que inclui monitoramento de terminais, software de varredura e outras ferramentas. Nesse caso, a nossa análise após o ataque revelou que os nossos processos e ferramentas de gerenciamento de vulnerabilidades não impediram essa violação. Fizemos mudanças imediatas em ambas as áreas. Além disso, estamos acelerando as atividades já planejadas como parte do nosso mais recente programa de melhoria de segurança cibernética lançado em fevereiro de 2021 em resposta a ameaças em constante evolução.
Quem estaria por trás deste ataque?
Não podemos determinar quem está por trás desse ataque ou por que foi realizado, e não vamos especular sobre isso. Não tivemos nenhum contato com quem hackeou os servidores, nem foi pedido nenhum resgate. Em conformidade com a nossa prática permanente de interagir com qualquer ator que possa facilitar ou impedir o nosso trabalho humanitário, estamos à disposição para nos comunicarmos de maneira direta e confidencial com quem quer que seja responsável por esta operação para fazer com que entendam a necessidade de se respeitar a nossa ação humanitária. Também reiteramos o nosso apelo aos hackers para que não compartilhem, vendam, vazem ou usem esses dados.
Que informações foram acessadas?
A violação incluiu dados pessoais, como nomes, locais e informações de contato de mais de 515 mil pessoas do mundo todo. As pessoas afetadas incluem pessoas desaparecidas e as suas famílias, pessoas detidas e outras pessoas que recebem serviços do Movimento da Cruz Vermelha e do Crescente Vermelho como resultado de conflitos armados, desastres naturais ou migração. Não acreditamos que seja do melhor interesse das pessoas cujos dados foram violados compartilhar mais detalhes sobre quem são, onde estão ou de onde vieram.
Foram copiados e exportados conjuntos de dados?
Presumimos que sim. Sabemos que quem hackeou esteve dentro dos nossos sistemas e, portanto, pôde tê-los copiado e exportado. Até onde sabemos, as informações não foram publicadas ou negociadas. Nenhum dado foi excluído na violação. Isso é importante porque nos permitiu relançar os nossos sistemas e voltar ao trabalho de reconectar os entes queridos.
Até que ponto o CICV está confiante de que os hackers não estão mais nos seus sistemas?
Colocamos os servidores comprometidos offline assim que determinamos que eles haviam sido invadidos. Esse incidente não afetou outros servidores porque segmentamos os nossos sistemas e monitoramos continuamente o ambiente geral em busca de quaisquer sinais de atividade maliciosa com ferramentas avançadas.
Por que o CICV não está dando mais informações técnicas sobre a invasão ou seus sistemas?
Levamos a segurança cibernética muito a sério e investimos substancialmente nisso há muitos anos. Diante de um cenário de ameaças em constante evolução, esses investimentos devem continuar. Para garantir a segurança dos nossos aplicativos e de acordo com as melhores práticas do setor, não divulgaremos a arquitetura técnica ou detalhes de segurança.
Que outras medidas o CICV está tomando para evitar que isso volte a acontecer?
A violação de dados destaca uma tendência crescente em operações cibernéticas direcionadas a organizações humanitárias. As violações de dados correm o risco de causar graves consequências para as pessoas atendidas por essas organizações e para quem já é parte de um dos grupos mais vulneráveis. O CICV está trabalhando com os seus parceiros do Movimento para enviar um apelo aos Estados e outros atores sobre a necessidade de se protegerem as organizações humanitárias online como o fazem offline.
*Uma ameaça persistente avançada (APT) é um agente de ameaça furtivo, normalmente um Estado-nação ou grupo patrocinado pelo Estado, que obtém acesso não autorizado a uma rede de computadores e permanece indetectável por um longo período. Nos últimos tempos, o termo também pode se referir a grupos não patrocinados pelo Estado que realizam intrusões direcionadas em larga escala para objetivos específicos (Referência: https://en.wikipedia.org/wiki/Advanced_persistent_threat)
**Relatório da IBM "Cost of a Data Breach Report 2021": "Em 2021, a média de dias para identificar uma violação foi 212 e são necessários cerca de 75 dias para controlar uma violação, totalizando um ciclo de vida de 287 dias." [tradução livre do original: "In 2021 it took an average of 212 days to identify a breach and an average 75 days to contain a breach, for a total lifecycle of 287 days."] (Referências: https://www.ibm.com/security/data-breach)
***Referências: https://nvd.nist.gov/vuln/detail/cve-2021-40539