Grupo de hackers invade redes governamentais dos EUA

Ataque foi divulgado na semana passada pelo FBI e CISA; proximidade das eleições presidenciais pode ser motivo da invasão
Leticia Riente12/10/2020 14h57, atualizada em 12/10/2020 16h00

20201012121902

Compartilhe esta matéria

Ícone Whatsapp Ícone Whatsapp Ícone X (Tweeter) Ícone Facebook Ícone Linkedin Ícone Telegram Ícone Email

O Federal Bureau of Investigation (FBI, na sigla em inglês) e a Cybersecurity and Infrastructure Security Agency (CISA, na sigla em inglês) dos Estados Unidos emitiram comunicado conjunto na última sexta-feira (9) afirmando que um grupo de hackers invadiu algumas redes governamentais por meio de falhas de segurança em sistemas eletrônicos. O acesso às redes foi possível pela combinação de bugs de VPN e do Windows.

De acordo com o comunicado, os ataques tiveram como alvo redes governamentais federais e estaduais, locais, tribais e territoriais. Invasões em redes não governamentais também foram identificadas. O documento ainda levantou possível relação dos ataques com a aproximação das eleições presidenciais nos Estados Unidos.

 “A CISA está ciente de alguns casos em que esta atividade resultou em acesso não autorizado a sistemas de apoio às eleições; no entanto, a CISA não tem evidências até o momento de que a integridade dos dados eleitorais tenha sido comprometida”, relata o alerta de segurança.

“Embora pareça que esses alvos não estejam sendo selecionados por causa de sua proximidade com as informações eleitorais, pode haver algum risco para os dados armazenados nas redes do governo”, acrescentaram as autoridades.

As falhas

Segundo o comunicado, os ataques exploraram duas falhas nos sistemas do governo americano. Conhecida como CVE-2018-13379, a primeira vulnerabilidade encontra-se no Fortinet FortiOS Secure Socket Layer (SSL, na sigla em inglês) VPN, um servidor VPN local projetado para ser utilizado como um caminho seguro para acessar redes corporativas de locais remotos. Esta falha específica permite que hackers carreguem arquivos maliciosos em sistemas não corrigidos, deste modo, assumindo os servidores.

Já a segunda lacuna é chamada de CVE-2020-1472, também conhecida como Zerologon. Trata-se de uma vulnerabilidade no Netlogon, o protocolo usado por estações de trabalho Windows para autenticar um Windows Server executado como um controlador de domínio. A falha abre caminho para que invasores assumam controle de domínio por meio de dados de usuários de servidores. Desta forma, eles conseguem obter controle total de redes internas e corporativas, onde também encontram senhas de todas as estações de trabalho conectadas no sistema.

Reprodução

Para a invasão, hackers combinaram duas falhas já conhecidas. Créditos: Gorodenkoff/Shutterstock

A CISA e o FBI argumentam que com a combinação destas duas falhas, pessoas alheias aos sistemas conseguem sequestrar os servidores Fortinet e assumir o controle das redes internas usando o Zerologon. “Atores foram então observados usando ferramentas legítimas de acesso remoto, como VPN e Remote Desktop Protocol (RDP, na sigla em inglês), para acessar o ambiente com as credenciais comprometidas”, destacaram as agências.

Cabe frisar que o comunicado também pediu para que entidades governamentais atualizem seus sistemas, pois já há patches que possuem a correção das falhas.

Fonte: ZDNet

Colaboração para o Olhar Digital

Leticia Riente é colaboração para o olhar digital no Olhar Digital