GSI apura se ataques a sites do governo ocorreram com senhas de servidores

O GSI (Gabinete de Segurança Institucional) da Presidência apura se os ataques cibernéticos aos sistemas de diversos ministérios foram feitos a partir do acesso de funcionários do governo. A informação foi divulgada em um alerta aos gestores de segurança de redes, publicado na última quarta-feira (8) e editado ontem.

"Alguns casos de intrusão têm ocorrido com o uso de perfis legítimos de administrador, o que dispensa, ao atacante, ações para escalar privilégios", diz o texto.

Na prática, o órgão de segurança institucional dá a entender que terceiros obtiveram logins de funcionários do governo com nível máximo de permissão numa rede e passaram a realizar operações ilegais.

Relacionadas

Ministério da Saúde foi alvo de grupo conhecido por bullying sob demanda

Como ataque hacker na Saúde virou chance para ANPD mostrar independência

Queiroga diz que site do Ministério da Saúde sofreu segundo ataque hacker

Com isso, o GSI indica uma série de medidas de segurança a serem tomadas pelos órgãos, em caso de indícios de "ações maliciosas ou uso indevido de credenciais".

A primeira instrução é avisar o CTIR (Centro de Prevenção, Tratamento e Resposta a Incidentes Cibernéticos do Governo), que reúne informações de incidentes de segurança e permite que pesquisadores notifiquem o governo de eventuais falhas.

Além disso, outras recomendações foram feitas, mesmo para casos em que essas suspeitas não sejam confirmadas. Entre elas está o bloqueio imediato de "senhas de servidores e colaboradores que estejam afastados" por férias, licenças, demissão, ou usuários com inatividade superior a três meses.

O documento sugere adotar uma "política de privilégios mínimos" a usuários, reduzindo o nível de permissões na rede. É uma forma de reduzir danos e fazer com que menos gente tenha "poderes" para fazer alterações importantes no sistema.

Há também a recomendação de se exigir a utilização de ferramentas de "multifator de autenticação" para todos os administradores do sistema em nuvem — dessa forma, além de login e senha, as pessoas deverão inserir um código adicional recebido, por exemplo, via SMS ou um token gerado num aplicativo ou em um dispositivo desconectado.

Por fim, o alerta cita a reavaliação de políticas de backup e a implementação de senhas fortes, o que dificulta o trabalho de cibercriminosos no processo de "tentativa e erro" para descobri-las.

Não custa lembrar que não é recomendado usar nomes de familiares ou amigos próximos em senha, muito menos data de aniversário. É importante fazer senhas grandes, com caracteres especiais e evitar usar apenas uma em diferentes serviços.

Ataques a sistemas do governo

O primeiro ataque aos sites do Ministério da Saúde e do ConecteSUS aconteceu na última sexta-feira (10). Uma mensagem deixada pelo grupo invasor dizia "você sofreu um ransomware" e "50 TB de dados foram copiados e excluídos".

A pasta afirmou que alguns sistemas foram comprometidos e acionou a PF (Polícia Federal) e o GSI (Gabinete de Segurança Institucional) da Presidência da República para investigar o caso.

Hoje, outros órgãos confirmaram que também sofreram ataques. A Tilt, a CGU (Controladoria-Geral da União), a PRF (Polícia Rodoviária Federal) e o IFPR (Instituto Federal do Paraná) relataram que esses casos ocorreram na sexta-feira (10).

A PRF informou que uma de suas bases de dados foi alvo de um "incidente de segurança", o que causou indisponibilidade de alguns sistemas. De acordo com o órgão, não foi identificado vazamento de dados.

A CGU disse que houve uma tentativa de invasão do serviço de computação em nuvem no mesmo dia, por volta das 17h40, e que também não houve perda de informações.

Já o IFPR explicou que o ataque ao ambiente de nuvem que hospeda seus sistemas foi "muito sério" e afetou todos os sistemas do órgão.