Tudo indica que a ameaça no ataque registrado ao Ministério da Saúde, no qual “50 Terabytes” de dados teriam sido roubados, é uma imensa farsa. Não houve ransomware, mas um mero redirecionamento de DNS.
A descoberta foi feita por um perfil brasileiro do Anonymous, EterSec:
O ataque direcionado ao site do SUS não se trata de um ransomware, o fato que realmente aconteceu é que o site ocorreu um redirecionamento de DNS (que é como o seu serviço de internet resolve o caminho dos sites). Segue o fio: pic.twitter.com/BCyuLrdb2w
— EterSec#Anonymous (@EterSec_) December 10, 2021
E mais tarde confirmada pela Polícia Federal:
Foi comunicada a ocorrência de incidente de segurança cibernético no ambiente de nuvem pública (AWS), com comprometimento de sistemas de notificação de casos de Covid, do Programa Nacional de Imunização e do ConectSUS.
— Polícia Federal (@policiafederal) December 10, 2021
Curta e siga nossas redes sociais:
Sugira uma reportagem. Mande uma mensagem para o nosso WhatsApp.
Em coletiva de imprensa na tarde de sexta (10 de dezembro), o Ministério da Saúde não mencionou “ransomware”, mas apenas “incidente”. O que aconteceu é imensamente mais simples que uma invasão de ransomware. Alguém simplesmente mudou dados na Amazon Web Services.
Entenda o caso
Segundo o descoberto, o que aconteceu foi simplesmente um redirecionamento, no qual o domínio saude.gov.br e os domínios de outros serviços do Ministério da Saúde, como conectesus.saude.gov.br foram redirecionados para uma página de defacing – isto é, uma página que substitui a original pela mensagem do grupo hacker. O domínio do Ministério da Saúde sob o site geral do Governo Brasileiro, gov.br/saude, parece estar fucionando normalmente.
Funciona assim: quando você digita qualquer endereço na internet, como revistacariri.com.br, o seu computador não se conecta direto no site. No lugar disso, ele procura num servidor DNS (Domain Name Service), qual é o endereço real da internet (IP), a que esse domínio se refere.
O ataque é, assim, um caso de DNS Spoofing (“tapeação de DNS”), não ransomware. O Anonymous fez um gráfico para explicar como funciona:
Segundo o Anonymous, o endereço IP ligado ao ministério da saúde está hospedado no Japão. Lá estava armazenada a ameaça de ransomware (falsa) dizendo que baixaram 50 TB de dados do contribuinte.
A Polícia Federal havia dito no começo da tarde que não houve vazamento de dados do Ministério, e acabou confirmando essa versão. A invasão é uma confirmada farsa.
Anonymous desconfia do ataque ao Ministério
Conversamos com o responsável pelo perfil EterSec#Anonymous: “De fato ocorreu um ataque, possivelmente facilitado por alguém que tenha conhecimento dentro do Ministério, pois o DNS não foi alterado desde 2020, o que leva a acreditar que alguém entrou na conta da AWS e alterou o servidor para este IP onde se encontra a deface”.
“O grande erro foi ao afirmar ser um ransomware”, continuam. “Grande parte do sistema segue on[line] através de outros IPS. Se você verificar a origem do deface não se encontra no host atual do SUS e sim em um serviço no Japão.”
Para provar seu ponto, o Anonymous recuperou o endereço de um dos sistemas do Ministério da Saúde, o Sistema de Transplantes. Ele se mostra funcional, o que prova que o servidor continua no ar, apenas redirecionado.
No momento em que esta matéria foi escrita (veja nota abaixo), a versão normal, usando o domínio do governo, não funcionava:
Mas a versão via IP direto funcionava:
Atualização: às 12h30 de 11/12, o link do SNT, assim como a home page do Ministério da Saúde sob o site gov.br, estão de volta ao ar no teste feito pelo autor da matéria; a página do sistema Conecte-SUS e o endereço saude.gov.br continuam fora do ar.
Ataque improvável
Ainda segundo o Anonymous, um ataque ransomware ao Ministério da Saúde, como anunciado, já era altamente improvável. “É impossível, são ações bem distintas, isso ocorreu porque no defacer dizia ser um ransomware e eles mesmos entraram em contradição ao afirmar possuir 50TB de dados, no qual seria tecnicamente impossível essa transferência dos servidores do SUS de alto tráfico em curto espaço de tempo.”
Outra prova da possível farsa, segundo o Anonymous, é que os invasores não deram um exemplo dos dados que obtiveram: “As informações divulgadas por eles certamente se tratam por Leaks antigas, visto que, normalmente quando ocorre algo do gênero, eles divulgam pequenas partes comprovando o sequestro de dados.”
O grupo hacktivista desconfia da reação do governo. “Essa questão do DNS se resolve rapidamente, tanto que eles tiveram acesso a essa mudança, porém resolveram remover o defacer ao invés de restaurar os registros apontando para seus verdadeiros servidores.”
O Anonymous diz estar buscando mais endereços válidos e funcionais para acessar aos demais sistemas do governo, como fez com o sistema de Transplante antes de voltar. Principalmente o Conecte-SUS com o certificado da vacinação. Eles serão publicados pelo Olhar Digital se o sistema regular não retornar antes.
Atualização 11/12/2021, às 12h36: atualizada a informação sobre link do sistema de transplantes e a home do Ministério da Saúde; retirado o alerta de fatos correntes.
Fonte: Olhar Digital
