A Cruz Vermelha Internacional publicou hoje, 16/2/2022, um relatório sobre a sofisticada invasão de sua rede em 19 de Janeiro passado, comprometendo servidores que hospedam dados de 545 mil pessoas, grande parte delas em situação de vulnerabilidade. O relatório não tem assinatura. Ele é intitulado “Ataque cibernético ao CICV: o que sabemos”. A vulnerabilidade explorada foi o CVE-2021-40539, problema de segurança que afeta o ADSelfService Plus versão 6113 da ManageEngine, de acordo com a Zoho. A falha tem uma pontuação CVSSv3 de 9,8 porque explorá-la não requer um ataque muito complexo. Os patches estão disponíveis desde setembro de 2021. Além desse documento, diretor-geral do Comitê Internacional da Cruz Vermelha (CICV), o Robert Mardini, publicou uma “carta aberta” à comunidade internacional explicando o incidente.
Veja isso
Vazamento da Embraer traz detalhes da venda do Super Tucano para Nigéria
Banco de dados expõe detalhes de 115 mil argentinos na internet
Este é o relatório da organização:
Os hackers usaram recursos consideráveis para acessar nossos sistemas e usaram táticas que a maioria das ferramentas de detecção não teria captado. As informações a seguir demonstram a natureza sofisticada e direcionada do ataque:
::|:: Os invasores usaram um conjunto muito específico de ferramentas avançadas de hackers, projetadas para segurança ofensiva. Essas ferramentas são usadas principalmente por grupos avançados de ameaças persistentes*, não estão disponíveis publicamente e, portanto, estão fora do alcance de outros atores.
::|:: Os invasores usaram técnicas sofisticadas de ofuscação para ocultar e proteger seus programas maliciosos. Isso requer um alto nível de habilidades disponíveis apenas para um número limitado de atores.
::|:: Determinamos que o ataque foi direcionado porque os invasores criaram um código projetado exclusivamente para execução nos servidores visados do CICV. As ferramentas usadas pelo invasor referem-se explicitamente a um identificador exclusivo nos servidores de destino (seu endereço MAC).
::|:: As ferramentas antimalware que instalamos nos servidores de destino estavam ativas e detectaram e bloquearam alguns dos arquivos usados pelos invasores. Mas a maioria dos arquivos maliciosos implantados foi criada especificamente para contornar nossas soluções antimalware, e foi somente quando instalamos agentes avançados de detecção e resposta de endpoint (EDR) como parte de nosso programa de aprimoramento planejado que essa invasão foi detectada.
Quando soubemos desse ataque?
Uma empresa especializada em segurança cibernética contratada pelo CICV para nos apoiar na proteção de nossos sistemas detectou uma anomalia nos servidores do CICV que continham informações relacionadas aos serviços globais de Restauração de vínculos familiares do Movimento da Cruz Vermelha e do Crescente Vermelho. Em seguida, fizemos um mergulho profundo nos dados e determinamos em 18 de janeiro que os hackers estavam dentro desses sistemas e tiveram acesso aos dados neles.
Quanto tempo os hackers ficaram dentro de nossos sistemas?
Nesse caso, detectamos uma anomalia em nosso sistema dentro de 70 dias após a ocorrência da violação e iniciamos imediatamente um exame profundo. Com base nisso, pudemos determinar em 18 de janeiro que nossos servidores foram comprometidos. Nossa análise mostra que a violação ocorreu em 9 de novembro de 2021.
Uma violação tão grande e complexa geralmente leva tempo para ser detectada. Por exemplo, entendemos que o tempo médio para identificar uma violação de dados é de 212 dias.
Como os hackers entraram em nossos sistemas?
Os hackers conseguiram entrar em nossa rede e acessar nossos sistemas explorando uma vulnerabilidade crítica não corrigida* em um módulo de autenticação (CVE-2021-40539). Essa vulnerabilidade permite que agentes cibernéticos mal-intencionados coloquem web shells e realizem atividades pós-exploração, como comprometer credenciais de administrador, conduzir movimentos laterais e exfiltrar hives de registro e arquivos do Active Directory. Uma vez dentro de nossa rede, os hackers conseguiram implantar ferramentas de segurança ofensivas que permitiram que eles se disfarçassem de usuários ou administradores legítimos. Isso, por sua vez, permitiu que eles acessassem os dados, apesar de esses dados serem criptografados.
O que deu errado com nossas defesas?
O processo de correção é uma atividade extensa para qualquer grande empresa. Anualmente, implementamos dezenas de milhares de patches em todos os nossos sistemas. A aplicação oportuna de patches críticos é essencial para nossa segurança cibernética, mas, infelizmente, não aplicamos esse patch antes do ataque.
Temos um sistema de defesa cibernética multinível no CICV que inclui monitoramento de terminais, software de varredura e outras ferramentas. Nesse caso, nossa análise após o ataque revelou que nossos processos e ferramentas de gerenciamento de vulnerabilidades não impediram essa violação. Fizemos mudanças imediatas em ambas as áreas. Além disso, estamos acelerando as atividades já planejadas como parte de nosso mais recente programa de aprimoramento de segurança cibernética lançado em fevereiro de 2021 em resposta a ameaças em constante evolução.
Quem achamos que está por trás desse ataque?
Não podemos determinar quem está por trás desse ataque ou por que foi realizado, e não vamos especular sobre isso. Não tivemos nenhum contato com os hackers e nenhum pedido de resgate foi feito. De acordo com nossa prática permanente de se envolver com qualquer ator que possa facilitar ou impedir nosso trabalho humanitário, estamos dispostos a nos comunicar direta e confidencialmente com quem for responsável por esta operação para inculcá-los na necessidade de respeitar nossa ação humanitária. Também reiteramos nosso apelo aos hackers para que não compartilhem, vendam, vazem ou usem esses dados.
Com quem estamos trabalhando nisso?
Fizemos parcerias com nossos principais parceiros de tecnologia e empresas altamente especializadas para nos ajudar com isso. Desde o início da crise, a sede do CICV em Genebra mantém um diálogo estreito com o Centro Nacional de Segurança Cibernética (NCSC) da Suíça. As Sociedades Nacionais da Cruz Vermelha e do Crescente Vermelho estão em contato com as autoridades nacionais competentes.
Quais informações foram acessadas?
A violação incluiu dados pessoais, como nomes, locais e informações de contato de mais de 515.000 pessoas de todo o mundo. As pessoas afetadas incluem pessoas desaparecidas e suas famílias, detidos e outras pessoas que recebem serviços do Movimento da Cruz Vermelha e do Crescente Vermelho como resultado de conflitos armados, desastres naturais ou migração. Não acreditamos que seja do interesse das pessoas cujos dados são compartilhar mais detalhes sobre quem são, onde estão ou de onde vieram.
Os conjuntos de dados foram copiados e exportados?
Devemos presumir que sim. Sabemos que os hackers estavam dentro de nossos sistemas e, portanto, tinham a capacidade de copiá-los e exportá-los. Até onde sabemos, as informações não foram publicadas ou negociadas neste momento. Estamos confiantes em nossa análise inicial de que nenhum dado foi excluído na violação. Isso é importante porque nos permite configurar sistemas provisórios para voltar ao trabalho reconectando os entes queridos.
Os dados foram disponibilizados para outras pessoas, inclusive na dark web?
No momento, não temos nenhuma evidência conclusiva de que essas informações da violação de dados tenham sido publicadas ou estejam sendo negociadas. Nossa equipe de segurança cibernética analisou qualquer alegação relatada de dados disponíveis na dark web.
Quão confiantes estamos de que os hackers não estão mais em nossos sistemas?
Colocamos os servidores comprometidos offline assim que determinamos que eles haviam sido invadidos. Estamos confiantes de que esse incidente não afetou outros servidores porque segmentamos nossos sistemas e monitoramos continuamente o ambiente geral em busca de quaisquer sinais de atividade maliciosa com ferramentas avançadas.
O que estamos fazendo agora?
Estamos coordenando com as Sociedades Nacionais da Cruz Vermelha e do Crescente Vermelho e nossas delegações do CICV no local para informar indivíduos e famílias cujos dados foram violados. Este processo é complexo e levará tempo. Aqueles em maior risco são nossa principal prioridade. Parte disso está sendo feito por meio de telefonemas, linhas diretas, anúncios públicos, cartas e, em alguns casos, exige que as equipes se desloquem a comunidades remotas para informar as pessoas pessoalmente. Estamos fazendo todos os esforços para entrar em contato com pessoas que podem ser difíceis de alcançar, como os migrantes. Também desenvolvemos soluções alternativas que permitem que as equipes da Cruz Vermelha e do Crescente Vermelho em todo o mundo continuem fornecendo serviços básicos de rastreamento para as pessoas afetadas por essa violação enquanto reconstruímos um novo ambiente digital para a Agência Central de Rastreamento.
Quais mudanças serão feitas no ambiente on-line da Central Tracing Agency antes de entrar em operação?
Os aprimoramentos de segurança incluem um novo processo de autenticação de dois fatores e o uso de uma solução avançada de detecção de ameaças. Testes de penetração bem-sucedidos e conduzidos externamente em todos os aplicativos e sistemas são um pré-requisito para que os serviços sejam retomados.
Por que não estamos dando mais informações técnicas sobre o hack ou nossos sistemas?
Levamos a segurança cibernética muito a sério e investimos substancialmente nisso há muitos anos. Esses investimentos devem continuar diante de um cenário de ameaças em constante evolução. Para garantir a segurança de nossos aplicativos e de acordo com as melhores práticas do setor, não divulgaremos a arquitetura técnica ou detalhes de segurança.”
No Brasil, a ACSoftware, que representa aqui a ManageEngine, informou que “a vulnerabilidade foi detectada no ManageEngine ADSelfService Plus e recebeu imediata correção, extensiva a todos os seus clientes no mundo (…)”. Dyogo Junqueira, VP de Marketing e Vendas da ACSofware, afirma que todos os clientes devem fazer a atualização: “Aqueles que ainda estão pendentes desta atualização, poderão contar com o suporte da ACSoftware para acelerar o processo”.
Com agências de notícias internacionais