Você já imaginou receber uma ligação do FBI avisando que sua rede foi invadida por hackers chineses? Parece roteiro de filme, mas aconteceu com Nick Lawler, gerente de uma pequena companhia de energia nos EUA. Neste post, vamos mergulhar na história real de como uma pequena empresa de distribuição de energia se tornou alvo do grupo de hackers Volt Typhoon, patrocinado pelo governo chinês, e como eles lidaram com a situação.
O Ataque do Volt Typhoon
Um dia, Lawler recebeu uma ligação do FBI. Incrédulo no início, ele achou que era mais um golpe. Afinal, sua empresa, pequena e localizada em Massachusetts, parecia um alvo improvável para um ataque cibernético sofisticado. Eles fornecem energia e água para cerca de 15.000 pessoas. Não são responsáveis pela transmissão, apenas pela distribuição.
O agente do FBI informou que a empresa era uma das 200 empresas de serviços públicos comprometidas pelo Volt Typhoon. Pediu o e-mail pessoal de Lawler para enviar um link para diagnosticar a gravidade do problema. Lawler, desconfiado, recusou-se a clicar em qualquer link e desligou.
“Vá se catar, eu não vou clicar em nenhum link, você deve achar que sou idiota. Qual o seu nome mesmo?”
Após ligar diretamente para o escritório do FBI em Boston e confirmar a veracidade da ameaça, Lawler decidiu não fornecer informações pessoais. Ele combinou com o FBI uma visita à empresa na segunda-feira seguinte.
A Resposta e as Consequências
No fim de semana, Lawler quase esqueceu o incidente até que agentes da Segurança Nacional apareceram na segunda-feira, entregando um documento sobre o Volt Typhoon. Era novembro de 2023, e a ação do grupo de hackers ainda não era amplamente conhecida fora dos círculos de inteligência.
A empresa já trabalhava com a Dragos, uma empresa de segurança cibernética, que havia instalado sensores em sua rede em agosto de 2023. Foi através desses sensores que detectaram tráfego e comunicações incomuns com a China – sinal claro da invasão.
A Vulnerabilidade
A entrada dos hackers se deu por meio de uma falha em um firewall FortiGate 300D, um problema corrigido pela Fortinet em dezembro de 2022. A empresa de serviços que gerenciava a infraestrutura da companhia de energia ainda não havia atualizado o firmware – um erro que custou caro. A MSP foi demitida em seguida.
O governo instalou seus próprios sensores na rede e pediu à empresa que deixasse as vulnerabilidades abertas para monitorar a atividade dos hackers. Embora preocupante, a companhia decidiu colaborar, considerando o bem maior. As ações dos hackers envolveram acessos a servidores, a busca por vulnerabilities em firewalls, mas sem comprovação de comprometimento de informações em subestações ou engenharia. A motivação do ataque parece ser principalmente de reconhecimento e espionagem.
Antes do Natal, os agentes federais e os hackers chineses foram removidos da rede. A vulnerabilidade foi corrigida e a rede reconstruída. Em agosto seguinte, agências governamentais realizaram um teste de penetração de três semanas, confirmando a segurança da rede. Até hoje, as razões exatas para o alvo escolhido permanecem um mistério para Lawler, além da existência de uma vulnerabilidade explorada pelo grupo.
Conclusão
A história de Lawler ilustra a vulnerabilidade de até mesmo pequenas empresas a ataques cibernéticos sofisticados. A atualização de softwares, boas práticas de segurança e a resposta rápida e eficiente em caso de incidentes são cruciais para a proteção de infraestruturas críticas. A cooperação entre empresas e agências governamentais também se mostrou fundamental no processo de mitigação e recuperação dos danos causados pelo Volt Typhoon.
Compartilhe suas experiências e reflexões sobre segurança cibernética!
Fonte: The Register
