Hackers – Uma vulnerabilidade em um software da Microsoft amplamente utilizado globalmente foi explorada por hackers, permitindo ataques a órgãos governamentais e corporações nos últimos dias. Entre os alvos estão entidades federais e estaduais dos Estados Unidos, instituições de ensino superior — incluindo uma brasileira, cujo nome não foi revelado — e empresas privadas, conforme relataram autoridades e pesquisadores.
Estados Unidos, Canadá e Austrália apuram o comprometimento de servidores locais do SharePoint, uma plataforma voltada à gestão e compartilhamento de documentos corporativos. Segundo especialistas, dezenas de milhares de servidores podem estar em risco.
LEIA: Receita Federal disponibiliza calculadora online adaptada à reforma tributária
A Eye Security, empresa holandesa de cibersegurança, identificou o ataque na sexta-feira (18). Até o momento, não há informações confirmadas sobre os responsáveis nem os objetivos por trás da ofensiva.
A Microsoft publicou um alerta no sábado (19), informando sobre “atividades maliciosas” contra o software e esclareceu que o problema se limita aos servidores do SharePoint mantidos internamente por organizações. A versão online, integrada ao Microsoft 365, não teria sido afetada.
Conforme o alerta da Microsoft, a falha permite que “um invasor autorizado realize spoofing em uma rede”. O spoofing é uma técnica em que o criminoso simula ser uma fonte confiável — como um site ou usuário autorizado — para enganar sistemas e obter acesso indevido. A empresa forneceu orientações para evitar a exploração da brecha.
“Estamos coordenando de perto com a Cisa , o Comando de Defesa Cibernética do DOD e os principais parceiros de segurança cibernética em todo o mundo durante toda a nossa resposta”, declarou um porta-voz da Microsoft.
A companhia disse ter disponibilizado atualizações de segurança e recomendou que seus clientes instalem os patches imediatamente. Como medida de contenção, também orientou que servidores vulneráveis sejam desconectados da internet.
O FBI confirmou no domingo (20) estar ciente do ataque e trabalhando com entidades governamentais e privadas, sem divulgar mais detalhes.
Ataque “Dia Zero”
Segundo o Washington Post, o ataque é classificado como “Dia Zero” – termo usado para falhas ainda desconhecidas pelos desenvolvedores – e teria permitido a intrusão em servidores comprometidos, com a criação de possíveis acessos permanentes às redes invadidas.
A Eye Security alertou que, ao terem acesso aos servidores, que normalmente estão ligados ao Outlook, Teams e outros serviços, os hackers podem roubar informações sigilosas, como credenciais e dados sensíveis.
Especialistas destacaram que os invasores podem ter obtido chaves de autenticação que permitem novo acesso mesmo após correções. “Qualquer pessoa que tenha um servidor SharePoint hospedado tem um problema”, disse Adam Meyers, vice-presidente sênior da CrowdStrike. “É uma vulnerabilidade significativa.”
“Identificamos dezenas de organizações comprometidas abrangendo setores comerciais e governamentais”, informou Pete Renals, gerente sênior da Unit 42, da Palo Alto Networks.
Organizações afetadas
De acordo com a Eye Security e a Fundação Shadowserver, ambas envolvidas na detecção da ameaça, o número de organizações atingidas chegou a uma centena. A maioria dos alvos estaria localizada nos EUA e na Alemanha.
Fontes ouvidas pelo Washington Post mencionaram que uma universidade no Brasil e uma agência estatal na Espanha também foram invadidas. Nenhuma das instituições foi nomeada publicamente, mas autoridades locais teriam sido notificadas.
O Centro Nacional de Segurança Cibernética do Reino Unido afirmou em comunicado que acompanha “um número limitado” de alvos no país.
Vaisha Bernard, líder de hacking da Eye Security, relatou que a empresa identificou a tentativa de invasão contra um de seus clientes na sexta-feira (18). Apesar de medidas imediatas, ainda não é possível avaliar completamente o impacto. “Quem sabe o que outros adversários têm feito desde então para colocar outras ‘backdoors’”, afirmou Bernard à agência Reuters.
Ainda segundo o jornal, não há clareza sobre a autoria ou motivação do ataque. Uma empresa de análise privada apontou que os alvos incluíam servidores na China e o legislativo de um estado no leste dos EUA.
A Eye Security identificou aproximadamente cem violações, incluindo uma empresa de energia em um grande estado americano e diversas agências públicas europeias. Pesquisadores indicaram que pelo menos duas agências federais dos EUA tiveram seus sistemas comprometidos, mas não divulgaram os nomes devido a acordos de confidencialidade.
Um funcionário de um estado americano disse que os criminosos “sequestraram” um repositório digital com informações públicas sobre o funcionamento do governo. A agência não conseguiu mais acessar os arquivos, e não se sabe se eles foram excluídos.
Ataques com destruição de dados são raros, mas esse episódio gerou apreensão em outros estados. Até agora, a maioria dos casos observados envolveu roubo de chaves criptográficas que permitem reentradas futuras, não exclusão de informações.
Reação
No Arizona, autoridades estaduais, locais e tribais se reuniram com especialistas em cibersegurança para avaliar falhas e trocar dados. Um interlocutor envolvido relatou uma “correria generalizada” nos EUA para lidar com a ameaça.
As invasões ocorreram após a Microsoft corrigir outra vulnerabilidade. Segundo a Cisa (Agência de Cibersegurança e Segurança de Infraestrutura), os hackers descobriram uma brecha semelhante e aproveitaram-na.
A porta-voz da agência, Marci McCarthy, disse que o alerta foi recebido na sexta-feira e a Microsoft foi contatada imediatamente.
Mesmo sendo uma das principais fornecedoras de tecnologia para governos, a Microsoft tem enfrentado problemas graves nos últimos anos, como invasões em suas próprias redes internas e no e-mail de executivos. Também foi revelado que uma falha em sua nuvem permitiu a espionagem de funcionários federais por hackers chineses.
Na sexta-feira, após reportagem investigativa do ProPublica, a Microsoft anunciou que deixará de contar com engenheiros baseados na China em contratos com o Departamento de Defesa. A medida levou o secretário Pete Hegseth a ordenar uma reavaliação dos acordos de computação em nuvem do Pentágono.
O Centro para Segurança na Internet, organização sem fins lucrativos que auxilia governos locais dos EUA, notificou cerca de cem instituições potencialmente comprometidas, incluindo escolas e universidades, segundo Randy Rose, vice-presidente do grupo.
A operação de alerta durou seis horas no sábado — tempo superior ao normal, já que as equipes da Cisa estavam reduzidas em 65% após cortes de verba, explicou Rose.
Apesar de estar sob comando interino, com Sean Plankey ainda não confirmado no cargo, a agência mantém esforços constantes. “Ninguém esteve dormindo no volante”, afirmou sua porta-voz.
(Com informações de Folha de S.Paulo)
(Foto: Reprodução/Freepik/EyeEm)
