Passaram pouco mais de 36 horas desde que a Vodafone Portugal foi alvo de um ataque informático que o CEO da empresa já classificou como ato terrorista e que teve um impacto massivo na infraestrutura de serviços da empresa, afetando mais de 4 milhões de clientes de forma direta, e muitos outros portugueses de forma indireta. A empresa já recomeçou a recuperar mas ainda tem pela frente um processo moroso até conseguir atingir a normalidade nos seus sistemas.

O que pode ter gerado este impacto, tão transversal a todos os serviços da operadora? Que motivações podem estar por detrás do ataque? Estas são algumas das questões que estão no ar e o SAPO TEK procurou a ajuda de especialistas em cibersegurança para identificar as repostas possíveis, e fazer uma análise de uma situação que ainda tem contornos pouco definidos.

A primeira impressão é que é ainda muito cedo para poder fazer-se uma análise completa do que está a acontecer. Rui Duro, Country Manager da Check Point Software Technologies em Portugal, explica que, dado o curto espaço de tempo, “as próprias equipas da Vodafone podem não estar ainda na fase de perceber o que causou o ataque, preocupando-se primeiro em repor os serviços”.

Vodafone Portugal confirma que foi alvo de ciberataque "deliberado e malicioso"
Vodafone Portugal confirma que foi alvo de ciberataque "deliberado e malicioso"
Ver artigo

O especialista em cibersegurança lembra que há diferentes fases de recuperação, sendo a primeira conter o ataque, repor os serviços em segurança, e só depois fazer a correlação de dados para encontrar a verdadeira causa. Esta é também a estratégia que a Vodafone está a seguir, pelo que explicou ontem Mário Vaz em conferência de imprensa e também pelo que já se sabe do trabalho que está a ser feito pela Polícia Judiciária e em ligação ao Centro Nacional de Cibersegurança.

Lino Santos, coordenador do CNCS, adiantava ontem ao SAPO TEK que “há uma componente de investigação criminal que tem o seu tempo e ritmos, e que tem de ser feita conjuntamente com informações recolhidas pelos serviços de informações, e os dados técnicos recolhidos pelo Vodafone" , mas garante que está a decorrer “a bom ritmo”.

O trabalho não será fácil e é moroso, como explicou Hugo Nunes, Team leader Cyber Threat Intelligence na S21sec em Portugal. “É um ataque sem precedentes, nunca tivemos um caso com tanto impacto, em tantos sistemas e de forma tão transversal”, reconhece, lembrando que houve casos de falhas em redes de comunicações e em serviços como o Multibanco, mas que o ataque à Vodafone teve uma dimensão inédita por ter afetados várias plataformas distintas, bloqueando os serviços de voz, SMS, dados e TV de muitos clientes, e deixando muitas empresas sem acesso às comunicações que suportam as suas atividades e negócios, alguns críticos como o do INEM e da rede Multibanco.

“Mesmo a nível internacional não é comum termos ataques tão horizontais”, justifica Hugo Nunes, dizendo também que é curioso que o ataque tenha sido dirigido à rede e não aos sistemas corporativos.

“Foi um ataque ao “core” do negócio” e não a sistemas de suporte a faturação ou clientes. O próprio site continuou online”, explica, dizendo que o objetivo terá sido mesmo incapacitar a rede móvel e o envio de SMS e comunicação de dados, “sistemas e aplicações de baixo nível que suportam as redes”.

Vodafone é a mais recente 'vítima' de ciberataques em 6 anos. Recorde os casos conhecidos
Vodafone é a mais recente 'vítima' de ciberataques em 6 anos. Recorde os casos conhecidos
Ver artigo

Todos os especialistas contactados concordam num ponto: este é um ataque inédito, que fica para a história, e com características que fogem às tendências relacionadas com a obtenção de resultados financeiros por parte dos atacantes, que normalmente avançam com pedidos de resgate para os dados cifrados.

Outros ataques anteriores, com o malware Wannacry ou NotPetya, também afetaram organizações em Portugal, e até operadoras de comunicações, mas tinham objetivos claros. Não é o caso desta nova onda de ciberataques e Hugo Nunes lembra que mesmo no ataque à Impresa, o primeiro grande ataque deste ano, este não terá sido o objetivo, já que apesar do Lapsus$ Group ter divulgado um pedido de resgate (ransomware), nunca mostraram disponibilidade para negociar e podem ter feito remoção massiva de dados, o que é “atípico para uma organização criminosa que procura objetivos financeiros”.

Mas terá sido um ataque sofisticado, direcionado especificamente a vulnerabilidades estudadas na infraestrutura da Vodafone, de cariz terrorista, ou um ataque fortuito, de alguém que teve acesso a credenciais com privilégios elevados? É difícil de perceber nesta fase para quem não está por dentro da investigação, mas os especialistas contactados pelo SAPO TEK dizem que nenhum dos casos está fora de causa.

Para Nuno Mendes, CEO da WhiteHat, este caso demonstra que "a questão não é se vamos ser atacados mas quando", e que os ataques podem acontecer de forma sofisticada ou explorando uma vulnerabilidade em sistemas mais antigos, como aconteceu recentemente com o Apache. "Temos de analisar e aprender. Este é o principal desafio, transversal a todo o segmento empresarial, com mais impacto no Estado,  mas claramente é preciso começar por algum lado".

Mesmo sem informação privilegiada sobre o ataque à Vodafone, André Baptista, especialista em cibersegurança e co-fundador da PentHack, admite também que pode ter havido um fator humano, com credenciais roubadas, ou pode ter sido explorada uma vulnerabilidade. “Nenhum dos cenários pode ser descartado. Pode ser uma “criança com uma pressão de ar” ou um grupo de crackers organizado”, mas lembra também que em muitos casos é difícil identificar os vetores de ataque porque podem ter sido utilizados mecanismos de anonimização que tornam difícil ou impossível de perceber qual a origem.

A classificação como ato terrorista é exagerada? Hugo Nunes admite que pela dimensão este pode ser considerado desta forma. “Pode não ser a palavra mais exata, mas vale pela disrupção que criou”, afirma, defendendo que pode não ser uma organização terrorista como a Al-Qaeda a fazer o ataque, mas tem o enquadramento de impacto, e as pessoas podem assim reconhecer melhor a comparação entre a dimensão física e a cibernética.

Portugal está a ser alvo de um ciberataque?

A identificação da verdadeira motivação do ataque, que causou uma disrupção sem paralelo, é um motivo de preocupação. “Estamos a assistir a um nível de ataques de grande dimensão, aparentemente sem motivação financeira, e está a escalar”, afirma André Baptista que admite que “com estes ataques tenho medo do que possa acontecer ao país”.

Ataque à Vodafone: PJ procura “conhecer a origem, a extensão e motivação do ato criminoso”
Ataque à Vodafone: PJ procura “conhecer a origem, a extensão e motivação do ato criminoso”
Ver artigo

O ataque informático à Vodafone Portugal pode ser a ponta do icebergue, a parte visível de um ataque de maiores dimensões ao grupo Vodafone, à infraestrutura crítica de comunicações em Portugal ou mesmo ao país, se considerarmos os outros ataques que têm acontecido desde o início do ano, com a Impresa, o Parlamento e eventualmente o grupo Cofina, que não confirmou ter sido alvo de ciberataque?

O cenário tem sido abordada por vários especialistas em segurança e ainda ontem o professor José Tribolet voltou a defender que estamos num cenário onde a ciberguerra faz parte das estratégias de alguns países, apontando o caso do alegado ataque da Rússia à Ucrânia no início deste ano.

Sem afastar nenhuma hipótese, Lino Santos, coordenador do CNCS, admite que “temos tido um início de ano intenso em ataques com visibilidade mediática, não aumento de incidentes", referindo que os ataques à Impresa, Parlamento e Cofina tiveram grande visibilidade e impacto sentido e percebido pela população. Mesmo assim, sublinha que isso é uma tendência global, e que “nos fóruns em que participamos a nível europeu, não vemos dissonância. Temos um conjunto de incidentes, mas continuamos em linha com o crescendo com este tipo de incidentes”.

A Polícia Judiciária tem sublinhado que este ataque foi um “ato único” dirigido à Vodafone, e que as outras organizações afetadas, como a SIBS e o INEM, não foram alvo de ataque. “Estamos a falar exclusivamente de um ataque informático a uma operadora de comunicações, importa clarificar que se disse que outras entidades podem ter sido atacadas, o que não é verdade, viram foi os serviços limitados”, adiantou ontem.

Apesar da probabilidade de este ser um ataque de ciberguerra, André Baptista admite que nenhum cenário deve ser descurado. “Enquanto país que quer manter a sua soberania digital, devemos tentar perceber se houve essa intenção. É necessário investigar”, alerta.

O especialista em segurança, que é também um hacker ético, acredita que estamos a assistir a acontecimentos históricos, com diversos ataques em todo o mundo a infraestruturas críticas, e que podem causar mortes, como poderia ter acontecido na estação de tratamento de águas em Israel.

Para André Baptista, “são estes acontecimentos que têm de levar as entidades responsáveis a pensar na criação de um novo pilar das forças armadas para a criação de equipas de defesa ou ciberataque para um futuro de ciberguerra”, justifica, defendendo a criação de um quarto pilar nas forças armadas.

“Temos de estar preparados para responder, principalmente a ataques a infraestruturas críticas nacionais. Temos de considerar o sector da saúde, financeiro, e banca, e é preciso proteger os ativos digitais ou podemos rapidamente assistir a disrupções ainda mais sérias do que as do caso Vodafone”, afirma André Baptista

O especialista lembra que há países que já há vários anos apostam num ciberexército para segurança defensiva, como os Estados Unidos, Rússia, China ou Israel, e diz que “a União Europeia e os Estados membros parecem estar num sono profundo” em relação a esta questão onde defende que tem de haver esforços sérios.

Não perca as principais novidades do mundo da tecnologia!

Subscreva a newsletter do SAPO Tek.

As novidades de todos os gadgets, jogos e aplicações!

Ative as notificações do SAPO Tek.

Newton, se pudesse, seguiria.

Siga o SAPO Tek nas redes sociais. Use a #SAPOtek nas suas publicações.