Já passou quase um mês desde que os servidores que hospedavam dados pessoais pertencentes a mais de 515.000 pessoas em todo o mundo foram pirateados num sofisticado ciberataque. A Cruz Vemelha partilhou esta semana algumas conclusões da análise desta violação de dados.
Segundo a entidade, os invasores fizeram uso de recursos consideráveis para aceder aos sistemas e utilizaram tácticas que a maioria das ferramentas de detecção não teriam captado.
Os atacantes utilizaram um conjunto muito específico de ferramentas avançadas de hacking concebidas para a segurança ofensiva. Estes instrumentos são utilizados principalmente por grupos avançados de ameaça persistente, não estão disponíveis publicamente e, portanto, fora do alcance de outros intervenientes, refere.
Os atacantes utilizaram técnicas sofisticadas de ofuscação para esconder e proteger os seus programas maliciosos. Isto requer um elevado nível de habilidades apenas disponível para um número limitado de actores.
“Determinámos o ataque como alvo porque os atacantes criaram uma parte de código concebido puramente para execução nos servidores alvo do CICV”. Os instrumentos utilizados pelo atacante referiam-se explicitamente a um identificador único nos servidores visados (o seu endereço MAC).
“As ferramentas anti-malware que tínhamos instalado nos servidores alvo estavam activas e detectaram e bloquearam alguns dos ficheiros utilizados pelos atacantes”, refere. Mas a maioria dos ficheiros maliciosos implantados foram especificamente concebidos para contornar as nossas soluções anti-malware, “e foi apenas quando instalámos agentes avançados de detecção e resposta (EDR) como parte do nosso programa de melhoramento planeado que esta intrusão foi detectada”.
Uma empresa especializada em cibersegurança contratada pelo CICV para apoiar na protecção dos nossos sistemas detectou uma anomalia nos servidores do CICV que continha informações relacionadas com os serviços globais da Cruz Vermelha e do Crescente Vermelho . “Fizemos então um mergulho profundo de dados e determinámos no dia 18 de Janeiro que os atacantes tinham estado dentro destes sistemas e tinham acesso aos dados neles contidos”.
Durante quanto tempo estiveram os hackers dentro dos sistemas?
A Cruz Vermelha detectou uma anomalia no sistema no prazo de 70 dias após a ocorrência da violação e “iniciámos imediatamente um mergulho profundo”. Com base nisso, determinou a 18 de Janeiro que os servidores tinham sido comprometidos. “A nossa análise mostra que o breach ocorreu a 9 de Novembro de 2021.
Um breach desta dimensão e complexidade leva tipicamente tempo a detectar. “Por exemplo, compreendemos que o tempo médio para identificar uma violação de dados é de 212 dias”.
Como é que os hackers entraram nos sistemas?
Os atacantes conseguiram entrar na rede e aceder aos sistemas explorando uma vulnerabilidade crítica não corrigida num módulo de autenticação (CVE-2021-40539).
Esta vulnerabilidade permite aos actores cibernéticos maliciosos colocar shells na rede e conduzir actividades pós-exploração, tais como comprometer as credenciais de administrador, conduzir movimentos laterais, e exfiltrar colmeias de registo e ficheiros Active Directory.
Uma vez dentro da rede, foram capazes de implementar ferramentas de segurança ofensivas que lhes permitiram disfarçar-se de utilizadores ou administradores legítimos. Isto, por sua vez, permitiu-lhes aceder aos dados, apesar de estes dados estarem encriptados.
O que correu mal com as defesas?
O processo de correcção é uma actividade extensiva para qualquer grande empresa. “Anualmente, implementamos dezenas de milhares de patches em todos os nossos sistemas”, refere. A “aplicação atempada de patches críticos é essencial para a nossa ciber-segurança, mas infelizmente, não aplicámos este patch a tempo antes de o ataque ter ocorrido”.
“Temos um sistema de defesa cibernética multinível no CICV que inclui monitorização de endpoints, software de digitalização e outras ferramentas”, diz a Cruz Vermelha.
Neste caso, “a nossa análise após o ataque revelou que os nossos processos e ferramentas de gestão de vulnerabilidades não impediram esta violação”. Foram feitas alterações imediatas em ambas as áreas.
Além disso, a Cruz Vermelha está a acelerar as actividades já planeadas como parte do último programa de melhoria da segurança cibernética lançado em Fevereiro de 2021, em resposta a ameaças em constante evolução.
A Cruz Vermelha diz que não pode determinar quem está por detrás deste ataque ou porque foi levado a cabo, e não especula sobre isto. “Não tivemos qualquer contacto com os atacantes e não foi feito qualquer pedido de resgate”.
De acordo com a prática corrente de interagir com qualquer actor que possa facilitar ou impedir o trabalho humanitário, a Cruz Vermelha está disposta a comunicar directa e confidencialmente com quem quer que seja responsável por esta operação para lhes imprimir a necessidade de respeitar a acção humanitária. “Reiteramos também o nosso apelo aos hackers para que não partilhem, vendam, vazem ou utilizem de qualquer outra forma estes dados”.
Desde o início da crise, a sede do CICV em Genebra tem estado em estreito diálogo com o Centro Nacional de Ciber-Segurança (NCSC) da Suíça. As Sociedades Nacionais da Cruz Vermelha e do Crescente Vermelho estão em contacto com as autoridades nacionais competentes.
Que informações foram acedidas?
A violação incluiu dados pessoais tais como nomes, localizações e informações de contacto de mais de 515.000 pessoas de todo o mundo. As pessoas afectadas incluem pessoas desaparecidas e suas famílias, detidos e outras pessoas que recebem serviços da Cruz Vermelha e do Crescente Vermelho em resultado de conflitos armados, catástrofes naturais ou migração.
Os dados foram disponibilizados a outros, inclusive na darkweb?
Neste momento, “não temos qualquer prova conclusiva de que esta informação da violação de dados tenha sido publicada ou esteja a ser comercializada”.
Que alterações serão feitas ao ambiente online da Agência Central de Rastreio antes de entrar em funcionamento?
As melhorias de segurança incluem um novo processo de autenticação de dois factores e a utilização de uma solução avançada de detecção de ameaças. Testes de penetração bem sucedidos, conduzidos externamente em todas as aplicações e sistemas são um pré-requisito para que os serviços sejam retomados.
Para garantir a segurança das suas aplicações e de acordo com as melhores práticas da indústria, “não divulgaremos a arquitectura técnica ou detalhes de segurança”, refere.
Se gosta desta notícia, subscreva gratuitamente a newsletter da Security Magazine.
