Um roubo de documentos da OTAN “extremamente graves” pelo governo português parece ter sido causado por uma violação do protocolo de segurança, permitindo que arquivos que deveriam ter sido air-gapped possam ser acessados pela Internet. Os documentos mais tarde surgiram em um site obscuro à venda.
Centenas de documentos teriam sido roubados e disponibilizados dessa maneira, e o governo português está enfrentando questões difíceis sobre por que a violação não foi detectada por semanas. O incidente só foi descoberto quando o Serviço Secreto dos Estados Unidos descobriu os documentos roubados da OTAN na dark web.
Documentos da NATO roubados sem o conhecimento de Portugal, só descobertos quando colocados à venda
Os documentos da NATO provêm da Agência do Estado-Maior General das Forças Armadas de Portugal (EMGFA), a agência governamental que dirige essencialmente as forças armadas do país. Acredita-se que a violação tenha ocorrido em algum momento do verão, mas ainda não foi identificada, pois o EMGFA não sabia disso até que os documentos surgiram na dark web.
Os documentos da OTAN só foram descobertos pela inteligência dos EUA depois de serem vendidos por meio de um site de leilões da dark web. Agentes notificaram a Embaixada dos EUA em Lisboa, que por sua vez notificou o governo português, que ordenou uma revisão completa da rede EMGFA pelo Centro Nacional de Cibersegurança e Gabinete Nacional de Segurança (GNS).
Fontes internas disseram à mídia portuguesa local que os documentos roubados da OTAN eram de “extrema gravidade”. Eles são o tipo de documento que o protocolo exige que sejam mantidos em sistemas air-gap, mas as fontes dizem que os bots programados para verificar esses tipos de documentos os coletaram pela Internet. O ataque teria sido realizado durante um longo período de tempo e em várias fases. O governo português ainda não comentou o ataque ou essas reportagens da mídia.
Se os relatórios forem confiáveis, a causa mais provável é que alguém conectou os sistemas air-gap a uma parte da rede interna conectada à Internet por conveniência.
John Vestberg, CEO da Clavister, vê isso como uma lição para todos os membros da OTAN: “Embora qualquer tipo de violação de dados seja preocupante, esse efeito é amplificado ao lidar com documentos tão sensíveis. O facto de as autoridades portuguesas terem demorado semanas a serem alertadas pelos EUA também sinaliza uma alarmante falta de vigilância, ou pelo menos o incumprimento de políticas estritas de cibersegurança. Organizações como a OTAN precisam investir em “defesa em profundidade”, implementando várias camadas de defesa, especialmente devido às atuais tensões geopolíticas em torno da guerra em andamento na Ucrânia. Em nível individual, um elemento crítico dessa violação envolve o treinamento da equipe e a garantia de que as regras e protocolos sejam seguidos de perto. Nesse caso, documentos secretos foram entregues de forma inadequada e exfiltrados por bots sofisticados, mostrando até que ponto os criminosos cibernéticos orquestram cuidadosamente esses ataques. O ataque não apenas parece preocupante, mas também envia uma mensagem a outros agentes de ameaças de que até mesmo os documentos mais confidenciais podem ser comprometidos rapidamente e, neste caso, de forma secreta. Organizações e órgãos públicos como o Ministério da Defesa português precisam garantir que implementem medidas de segurança robustas e altamente flexíveis para impedir essas violações no futuro.”
A venda de documentos confidenciais na dark web apresenta riscos desconhecidos para a OTAN
A política da OTAN não é discutir vazamentos de informações classificadas publicamente, portanto, é provável que permaneça a incerteza sobre essa violação e o subsequente leilão da dark web.
Não está claro se está ligado de alguma forma ao roubo dos documentos da OTAN, mas no início de agosto, a ministra da Defesa Helena Carreiras emitiu um pedido para que mais 11,5 milhões de euros sejam disponibilizados para treinamento e serviços de consultoria relacionados à defesa cibernética nos próximos oito anos .
O incidente levanta novas questões sobre a preparação de segurança cibernética dos parceiros da OTAN, logo após um hack do sistema de mísseis MBDA da França em agosto ter visto documentos de inteligência classificados roubados e vendidos na dark web. A MBDA fabrica mísseis fornecidos pela OTAN e atualmente usados na guerra da Ucrânia. Um disco rígido externo de um fornecedor teria sido hackeado pela MBDA; 80 GB de documentos surgiram em um fórum da dark web e foram vendidos para pelo menos um comprador por 15 bitcoins. Essa violação parece ter incluído documentos da OTAN classificados como “Segredos” e “Classificados”, mas sem a mais alta designação de “Segredo Cósmico”. Uma amostra dos arquivos indicou que eles foram criados entre 2017 e 2020.
Os documentos da OTAN também teriam feito parte da ampla violação de dados do governo federal dos EUA em 2020, realizada por parceiros de tecnologia upstream como Microsoft e SolarWinds. Este ataque foi atribuído às Equipes Avançadas de Ameaças Persistentes, apoiadas pelo Estado russo, em busca de informações, não aproveitadores criminosos na dark web. O envolvimento desses grupos relativamente menos experientes, que anteriormente evitavam alvos governamentais poderosos para evitar chamar muita atenção da aplicação da lei, é um desenvolvimento preocupante.
Os criminosos estão ficando mais ousados, com o grupo de ransomware Conti ameaçando “derrubar” o governo da Costa Rica durante um ataque recente.
Sally Vincent, engenheira sênior de pesquisa de ameaças da LogRhythm, observa que houve uma série de ataques menores dessa natureza recentemente, mostrando que os cibercriminosos estão perdendo o medo de represálias do governo e estão ganhando dinheiro roubando segredos que anteriormente só interessavam a grupos de ameaças persistentes avançadas de estados-nação: “O ataque ao EMGFA segue outros ataques recentes a organizações governamentais. No mês passado, o Instituto Agriculturo da República Dominicana e o Judiciário argentino de Córdoba sofreram ataques de ransomware semelhantes – infelizmente, a riqueza de informações confidenciais mantidas por agências governamentais os torna alvos atraentes para cibercriminosos, e esse ataque ao EMGFA tem consequências terríveis. A divulgação de segredos do Estado-nação na dark web não só põe em risco a credibilidade militar de Portugal, como também mina a segurança da OTAN. Alegadamente, o ataque cibernético aconteceu depois que o EMGFA violou suas regras de segurança operacional. Para evitar que um ataque semelhante ocorra, as organizações devem desenvolver e aderir a regulamentos robustos para seus protocolos de segurança cibernética. Além disso, as organizações devem ficar de olho em suas tecnologias de prevenção e detecção, garantir que tenham proteções adequadas e ter visibilidade do que está acontecendo ao seu redor.”
A OTAN se reuniu em junho para estender seus esforços de cooperação em segurança cibernética aos parceiros na região da Ásia-Pacífico pela primeira vez para coordenar respostas rápidas diante das crescentes ameaças regionais da China e da Rússia. A organização também reiterou uma decisão de 2021 de que um ataque cibernético a um estado membro poderia ser considerado uma violação do artigo 5 do Tratado do Atlântico Norte, tornando-o um ataque à instalação como um todo.
“Organizador sutilmente encantador. Ninja de TV freelancer. Leitor incurável. Empreendedor. Entusiasta de comida. Encrenqueiro incondicional.”