A segunda gestão de Trump enfrenta seu primeiro grande revés em cybersecurity federal.
Uma violação no sistema eletrônico de arquivamento de processos da Justiça Federal dos Estados Unidos, descoberta por volta do dia 4 de julho, obrigou alguns tribunais a adotarem planos de backup com arquivamento em papel.
O ataque compromet eu registros judiciais sigilosos e possivelmente expôs as identidades de informantes confidenciais e testemunhas colaborativas em vários estados americanos.
Mais de um mês após a descoberta da violação – e mesmo com relatos recentes do The New York Times e da Politico apontando a participação da Rússia no ataque – ainda não está claro exatamente o que ocorreu e quais dados e sistemas foram afetados.
A Politico foi a primeira a noticiar a brecha no sistema conhecido como "case management/electronic case files" (CM/ECF), que pode ter impactado processos criminais, mandados de prisão e denúncias sigilosas.
O sistema CM/ECF também sofreu uma violação em 2020, durante a primeira administração Trump, e a Politico revelou na terça-feira que, no ataque mais recente, hackers exploraram vulnerabilidades de software que não foram corrigidas após terem sido descobertas há cinco anos, em resposta àquela primeira invasão.
Pesquisadores de segurança apontam que a falta de informações públicas claras sobre a situação é preocupante, especialmente no que refere a quais dados foram comprometidos.
“Já se passaram mais de um mês desde a detecção dessa intrusão e ainda não temos um levantamento completo do que foi afetado”, afirma Jake Williams, ex-hacker da NSA e atual vice-presidente de pesquisa e desenvolvimento na Hunter Strategy.
“Se não houver logs suficientes para reconstruir as atividades do ataque, isso seria extremamente decepcionante, porque esse sistema tem sido alvo recorrente ao longo dos anos.”
Em resposta a um pedido de comentário, os Tribunais dos Estados Unidos remeteram a um comunicado de 7 de agosto, que afirma que o judiciário federal “está adotando medidas adicionais para fortalecer a proteção de documentos sensíveis de processos” e “ainda aprimorando a segurança do sistema.”
Eles também mencionam que a “grande maioria dos documentos arquivados no sistema eletrônico de gestão de processos do Judiciário não é confidencial e, de fato, está disponível ao público,” embora reconheçam que “alguns arquivos contêm informações confidenciais ou proprietárias que estão seladas e não são acessíveis ao público.”
O Departamento de Justiça não respondeu imediatamente aos pedidos de comentário sobre o alcance da violação ou sobre quem foi responsável pelo ataque.
Os relatos desta semana que apontam a Rússia como participante ou possível única autora do ataque têm sido difíceis de interpretar, diante de outras indicações de que agentes de espionagem apoiados por vários países – e possivelmente por organizações criminosas – possam ter se envolvido ou aproveitado a brecha para exfiltração de dados.
John Hultquist, analista-chefe do Threat Intelligence Group do Google, explica que não é incomum que múltiplos atores testem um sistema sensível e potencialmente vulnerável.
“Investigações são regularmente alvos de atores de cyberespionage de diversos países,” afirma.
A notícia sobre a violação surge enquanto a administração Trump continua reduzindo o contingente de funcionários federais, incluindo cortes em agências de inteligência e cybersecurity, removendo oficiais ou pressionando-os a renunciar.
“Eu acredito que os investigadores federais provavelmente sabem quem estava por trás do ataque, mas dado o ambiente político, suspeito que ninguém queira afirmar isso com certeza,” comenta Williams, da Hunter Strategy.
Diversas administrações tiveram dificuldades para conter operações furtivas de espionagem, especialmente campanhas conduzidas por atores chineses e russos.
Contudo, especialistas ressaltam que as vulnerabilidades que possibilitaram o ataque ao CM/ECF deveriam ter sido corrigidas após a violação de 2021.
“Aplicar políticas que exigissem que documentos sigilosos ou altamente sensíveis fossem manejados via sistemas air-gapped ou redes isoladas e seguras, em vez de pelo CM/ECF ou PACER, teria limitado drasticamente a exposição.
Isso chegou a ser recomendado depois de 2021,” explica Tim Peck, pesquisador sênior de ameaças da empresa de cybersecurity Securonix.
Implementar logging consistente e centralizado — entre outras medidas — em todas as instâncias dispersas do CM/ECF poderia ter possibilitado uma detecção mais rápida e uma mitigação precoce antes que a exfiltração de dados se agravasse como aconteceu.
Em outras palavras, sistemas altamente visados, como os dos tribunais americanos, provavelmente sofrerão novas violações.
Mas a melhor forma de reduzir tanto a probabilidade quanto a gravidade desses ataques é garantir que as falhas identificadas sejam efetivamente corrigidas após a primeira exploração.
Publicidade
Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...