Ataque sequestra DNS e congela serviços do Ministério da Saúde

Paulo Brito
10/12/2021

Esta notícia está em atualização no dia de hoje

Um ataque destrutivo na sua aparência atingiu na madrugada de hoje o Ministério da Saúde: por volta de 05h, atacantes que se intitulam “Lapsus$ Group” fizeram defacement na página inicial do Ministério, colocando uma imagem (PNG) informando o ataque, a destruição dos dados do Ministério e ao mesmo tempo afirmando que estavam de posse de todos eles, num total de 50 terabytes. Para contato, abriram um canal do Telegram e um endereço de email. No canal do Telegram, afirmaram que não venderão os dados: vão despejá-los na internet ou guardá-los. O CISO Advisor tentou contato pelo e-mail mas não recebeu resposta.

Pela manhã, o ministro da Saúde deu uma entrevista afirmando que os dados não serão perdidos. Mais tarde, a Polícia Federal informou que foi localizada e fechada a conta por meio da qual houve o acesso ao DNS. A CNN informou que os sistemas estavam reativados mas o site do Ministério continuava fora do ar. Por volta das 11h de hoje, um post na conta do Anonymous Brasil afirmou que não houve sequestro ou destruição de dados, apenas defacement e sequestro de DNS: “Sem pânico: O ataque realizado no site do Ministério da Saúde foi uma mera pixação, ou seja, um redirecionamento do DNS para uma mensagem que os invadores deixaram. Não ocorreu um sequestro de dados!”

Às 08h50, o Ministério da Saúde publicou uma nota oficial dizendo que “na madrugada desta sexta-feira (10) sofreu um incidente que comprometeu temporariamente alguns sistemas da pasta, como o e-SUS Notifica, Sistema de Informação do Programa Nacional de Imunização (SI-PNI), ConecteSUS e funcionalidades como a emissão do Certificado Nacional de Vacinação Covid-19 e da Carteira Nacional de Vacinação Digital, que estão indisponíveis no momento. O Gabinete de Segurança Institucional (GSI) e a Polícia Federal já foram acionados pela pasta para apoiarem nas investigações. O Departamento de Informática do SUS (Datasus) está atuando com a máxima agilidade para o reestabelecimento das plataformas”.

Veja isso
Ministério da Saúde admite que pode ter sofrido ataque cibernético
SUS tranca servidor. Hacker diz que há mais dois abertos

O ataque tirou do ar o domínio principal e todos os subdomínios do Ministério. Ele incluiu o sequestro do DNS do Ministério, segundo informou o handle @esquerdev no Twitter. Segundo sua checagem uma hora após o ataque, o grupo havia tomado o controle do DNS do Ministério, “e, além de terem modificado o servidor apontado no registro A, modificaram o registro MX, de email. Isso significa que, nesse momento, qualquer email que for enviado para um endereço @​http://saude.gov.br vai cair na caixa dos hackers”.

Uma hora mais tarde, informou esse analista, “os registros de DNS do http://saude.gov.br foram apagados. Provavelmente parte do trabalho de recuperação de acesso do time de tec do governo”. Os dados obtidos por ele indicam que os servidores do Ministério estão hospedados em infraestrutura da AWS. A conversa dele com outros indivíduos no Twitter indica que a invasão pode ter aproveitado credenciais de acesso à infraestrutura de nuvem. De fato, o especialista Mateus Veras confirmou para o CISO Advisor que os servidores do Ministério da Saúde que respondem no domínio saude.gov.br estão hospedados na AWS, no endereço ns-907.awsdns-49.net.

O nome dos atacantes (Lapsus$) sugere um trocadilho apontando uma suposta vulnerabilidade na infraestrutura do Ministério da Saúde e do SUS, que é o que é o sistema  Único de Saúde. O especialista Rondinelli Castilho confirmou para o CISO Advisor o horário do ataque e acredita que ele claramente envolve uma metodologia de ransom – podendo haver uso de ransomware ou ser um ataque com comprometimento de dados seguido de tentativa de extorsão. Em outro post em sua conta, o Anonymous Brasil afirma: “Outra informação importante: o grupo Lapsus que assumiu autoria do ataque é formado por colombianos e um espanhol, não são hackers brasileiros como alguns estão supondo!”

Na manhã de hoje, Thiago Aquino, presidente da Anati (Associação Nacional dos Analistas em Tecnologia da Informação), organização que congrega especialistas de TI do governo Federal, informou que incidentes como esse são favorecidos pela carência de pessoal especializado nos órgãos federais: “Os analistas, que são os gestores de tecnologia do Governo, é que administram os recursos e soluções em tecnologia para o Executivo Federal. Nós estamos em todos os Ministérios e em mais de 200 órgãos executivos federais”. No entanto, ele alerta que falta pessoal: “Seis meses atrás éramos 480. Agora somos apenas 446 analistas”, afirma.

Existe um apagão de mão-de-obra de TI no Brasil. Isso está fazendo as empresas valorizarem as carreiras, ampliarem as estratégias de retenção de talentos e é uma das causas da migração de servidores federais para iniciativa privada”, alerta o presidente da Anati. Às 10h40 de hoje, a Anati publicou o seguinte comunicado: 

“Mais um ataque hacker a sistemas do governo brasileiro foi bem sucedido.

Dessa vez o alvo foi o Ministério da Saúde, comprometendo o acesso da população aos dados da plataforma ConecteSUS e suas funcionalidades de emissão do Certificado Nacional de Vacinação Covid-19 e da Carteira Nacional de Vacinação Digital.

A interrupção desses serviços impede o cidadão de comprovar sua vacinação para qualquer finalidade, restando apenas a opção de recorrer à obsoleta carteirinha em papel.

A aceleração da digitalização dos serviços públicos é grande candidata a ser a maior realização do atual governo. O brasileiro vem experimentando a comodidade de se livrar dos burocráticos balcões de atendimento e ter tudo na palma da sua mão, pelo celular.

Entretanto esse novo modelo de relacionamento entre o Estado e o cidadão requer a atuação de profissionais de tecnologia e segurança da informação na construção dessas soluções. Ou seja, o governo precisa de servidores públicos que entendam do assunto e possam conduzir o trabalho e proteger o cidadão de episódios como o que estamos assistindo hoje.

Porém, o cenário atual aponta para a direção contrária: o único cargo de gestão de tecnologia da informação do Executivo Federal está em uma situação jurídica que beira o ridículo, impedindo inclusive a realização de novos concursos – o último foi em 2015. 

A situação precária do cargo de Analista em Tecnologia da Informação coloca em risco o acesso da população às políticas públicas oferecidas em formato digital. Isso precisa ser corrigido pra ontem.

A ANATI já fez esse alerta em outras oportunidades e ainda aguarda que os gestores públicos que tem poder para solucionar essa questão crucial abracem essa causa e decidam, finalmente, proteger os dados dos nossos cidadãos e do Estado.

Compartilhar: