Tudo indica que a ameaça no ataque registrado ao Ministério da Saúde, no qual “50 Terabytes” de dados teriam sido roubados, é uma imensa farsa. Não houve ransomware, mas um mero redirecionamento de DNS.
A descoberta foi feita por um perfil brasileiro do Anonymous, EterSec:
Em coletiva de imprensa na tarde de sexta (10 de dezembro), o Ministério da Saúde não mencionou “ransomware”, mas apenas “incidente”. O que aconteceu é imensamente mais simples que uma invasão de ransomware. Alguém simplesmente mudou dados na Amazon Web Services.
Entenda o caso
Segundo o descoberto, o que aconteceu foi simplesmente um redirecionamento, no qual o domínio saude.gov.br e os domínios de outros serviços do Ministério da Saúde, como conectesus.sauide.gov.br foram redirecionados para uma página de defacing – isto é, uma página que substitui a original pela mensagem do grupo hacker. O domínio do Ministério da Saúde sob o site geral do Governo Brasileiro, gov.br/saude, parece estar fucionando normalmente.
Funciona assim: quando você digita qualquer endereço na internet, como olhardigital.com.br, o seu computador não se conecta direto no site. No lugar disso, ele procura num servidor DNS (Domain Name Service), qual é o endereço real da internet (IP), a que esse domínio se refere.
O ataque é, assim, um caso de DNS Spoofing (“tapeação de DNS”), não ransomware. O Anonymous fez um gráfico para explicar como funciona:
Segundo o Anonymous, o endereço IP ligado ao ministério da saúde está hospedado no Japão. Lá estava armazenada a ameaça de ransomware (falsa) dizendo que baixaram 50 TB de dados do contribuinte.
A Polícia Federal havia dito no começo da tarde que não houve vazamento de dados do Ministério, e acabou confirmando essa versão. Foi confirmada, a invasão é uma farsa.
Anonymous desconfia do ataque ao Ministério
O Olhar Digital conversou com o responsável pelo perfil, EterSec#Anonymous: “De fato ocorreu um ataque, possivelmente facilitado por alguém que tenha conhecimento dentro do Ministério, pois o DNS não foi alterado desde 2020, o que leva a acreditar que alguém entrou na conta da AWS e alterou o servidor para este IP onde se encontra a deface”.
“O grande erro foi ao afirmar ser um ransomware”, continuam. “Grande parte do sistema segue on[line] através de outros IPS. Se você verificar a origem do deface não se encontra no host atual do SUS e sim em um serviço no Japão.”
Para provar seu ponto, o Anonymous recuperou o endereço de um dos sistemas do Ministério da Saúde, o Sistema de Transplantes. Ele se mostra funcional, o que prova que o servidor continua no ar, apenas redirecionado.
A versão normal, usando o domínio do governo, não funcionava:
Mas a versão via IP direto funcionava:
Atualização: às 12h30 de 11/12, o link do SNT, assim como a home page do Ministério da Saúde sob o site gov.br, estão de volta ao ar no teste feito pelo autor da matéria; a página do sistema Conecte-SUS e o endereço saude.gov.br continuam fora do ar.
Ataque improvável
Segundo o Anonymous, um ataque ransomware ao Ministério da Saúde, como anunciado, já era altamente improvável. “É impossível, são ações bem distintas, isso ocorreu porque no defacer dizia ser um ransomware e eles mesmos entraram em contradição ao afirmar possuir 50TB de dados, no qual seria tecnicamente impossível essa transferência dos servidores do SUS de alto tráfico em curto espaço de tempo.”
Outra prova da possível farsa, segundo o Anonymous, é que os invasores não deram um exemplo dos dados que obtiveram: “As informações divulgadas por eles certamente se tratam por Leaks antigas, visto que, normalmente quando ocorre algo do gênero, eles divulgam pequenas partes comprovando o sequestro de dados.”
O grupo hacktivista desconfia da reação do governo. “Essa questão do DNS se resolve rapidamente, tanto que eles tiveram acesso a essa mudança, porém resolveram remover o defacer ao invés de restaurar os registros apontando para seus verdadeiros servidores.”
O Anonymous diz estar buscando mais endereços válidos e funcionais para acessar aos demais sistemas do governo, como fez com o sistema de Transplante antes de voltar. Principalmente o Conecte-SUS com o certificado da vacinação.
Atualização 11/12/2021, às 12h36: atualizada a informação sobre link do sistema de transplantes e a home do Ministério da Saúde; retirado o alerta de fatos correntes.
Comentários