Como acontecem as invasões hackers?

Nos últimos dias, várias notícias informaram sobre a invasão de sites do governo e de empresas públicas e privadas em ataques hackers coordenados. Chamaram a atenção os ataques feitos a sites do Ministério da Saúde, que geraram a paralisação de aplicativos, incluindo o Conect Sus, ameaçando a perda de dados como comprovantes vacinais.

Foi divulgado que o Ministério possui back up dos dados, o que permite a restauração do sistema. Entretanto, dúvidas persistirão sobre se os dados foram copiados ou não. As investigações estão a cargo da Polícia Federal e do GSI (Gabinete de Segurança Institucional da Presidência da República). Além disso, a ANPD (Autoridade Nacional de Proteção de Dados) solicitou informações e analisará se houve violação da LGPD (Lei Geral de Proteção de Dados) e se haverá sanções aos responsáveis pela segurança dos dados pessoais dos usuários.

Muito se tem falado sobre os ataques, mas pouco se tem explicado sobre como ocorreram. Todo ataque explora alguma vulnerabilidade e hackers encontraram fragilidade na execução remota de código (RCE) no pacote Apache Log4j. Instala-se inicialmente um malware que será futuramente a base de um ataque maior, geralmente ransomware.

A explicação técnica é complicada, mas buscando simplificação poderíamos dizer que há falha no “log4shell”, componente da Apache muito utilizado para realizar os logs em aplicativos corporativos e serviços de nuvem. Essa falha permite a instalação e download de arquivos (cavalos de Tróia, criptomineradores etc.) que irão explorar os computadores das vítimas.

É uma vulnerabilidade fácil de reproduzir por quem atua na área de TI e, por isso, a exploração dessa falha vem crescendo bastante, mesmo com a implementação de proteções. Mal comparando, seria como um vírus para o qual à medida que se encontra a proteção, ele realiza mutação e foge do remédio.

No centro da vulnerabilidade está o “Apache Log4j”, a biblioteca de registro Java mais utilizada, que tem centenas de milhares de downloads, sendo usada por um número significativo de empresas globalmente. A Apache vem travando uma luta contra o malware, desenvolvendo diariamente funcionalidade para eliminar a fragilidade, mas ao que tudo indica novas variantes surgem e fogem da proteção, mantendo a ameaça dos ataques.

Para identificar se seu equipamento está infectado é necessário varredura, já existem no mercado produtos para verificar a vulnerabilidade de seu servidor. Se detectar alguma vulnerabilidade, a primeira providência é bloquear as conexões de saída para a Internet a partir de seus próprios servidores e buscar fazer imediatamente um upgrade do Apache para a versão mais atual.

Infelizmente, parece que a perspectiva a curto prazo não é das melhores e novos ataques poderão ocorrer ainda se valendo dessas fragilidades. A cybersegurança está na ordem do dia e torna-se fundamental para empresas e até mesmo pessoas físicas. Deixa de ser custo para ser investimento para sua segurança e dos seus negócios.

Francisco Gomes Júnior - Advogado Especialista em Direito Digital e Crimes Cibernéticos. Presidente da Associação de Defesa de Dados Pessoais e do Consumidor (ADDP). Instagram: fgjr