Tudo indica que a ameaça no ataque registrado ao Ministério da Saúde, no qual “50 Terabytes” de dados teriam sido roubados, é uma imensa farsa. Não houve ransomware, mas um mero redirecionamento de DNS.
A descoberta foi feita por um perfil brasileiro do Anonymous, EterSec:
O ataque direcionado ao site do SUS não se trata de um ransomware, o fato que realmente aconteceu é que o site ocorreu um redirecionamento de DNS (que é como o seu serviço de internet resolve o caminho dos sites). Segue o fio: pic.twitter.com/BCyuLrdb2w
— EterSec#Anonymous (@EterSec_) December 10, 2021
Segundo o descoberto, o que aconteceu foi simplesmente um redirecionamento, no qual o domínio saude.gov.br aponta para o endereço IP errado. Esse endereço cai numa página do Japão, e essa página é onde está postada a ameaça dizendo que baixaram 50 TB de dados do contribuinte.
A Polícia Federal já havia dito que não houve vazamento de dados do Ministério.
DNS é o serviço que, quando você digita um site na internet, encontra o endereço IP. Esse é o real endereço onde algo está hospedado na internet. Se você digita o endereço IP direto no navegador, ele traz o site normal.
Conversamos com o responsável pelo perfil EterSec: “De fato ocorreu um ataque, possivelmente facilitado por alguém que tenha conhecimento dentro do Ministério, pois o DNS não foi alterado desde 2020, o que leva a acreditar que alguém entrou na conta da AWS e alterou o servidor para este IP onde se encontra a deface”. Deface, no caso, a página falsa. “O grande erro foi ao afirmar ser um ransomware. Grande parte do sistema segue on[line] através de outros IPS. Se você verificar a origem do deface não se encontra no host atual do SUS e sim em um serviço no Japão.”
Ainda segundo o Anonymous, o ransomware já era altamente improvável. “É impossível, são ações bem distintas, isso ocorreu porque no defacer dizia ser um ransomware e eles mesmos entraram em contradição ao afirmar possuir 50TB de dados, no qual seria tecnicamente impossível essa transferência dos servidores do SUS de alto tráfico em curto espaço de tempo.”
Outra prova da possível farsa, segundo o Anonymous, é que os invasores não deram um exemplo dos dados que obtiveram: “As informações divulgadas por eles certamente se tratam por Leaks antigas, visto que, normalmente quando ocorre algo do gênero, eles divulgam pequenas partes comprovando o sequestro de dados.”
Anonymous acredita que o servidor continua funcionando normalmente, ainda que inacessível pelo redirecionamento. “Eles tiveram acesso a conta AWS, que é um serviço de nuvem Amazon onde foi alterado os registros DNS, impossibilitando acessar o verdadeiro servidor de alguns portais do SUS que continuam funcionando normalmente. É importante reforçar que o servidor em si não foi afetado apenas os caminhos para ele.”
Isto é, o invasor nem precisa de qualquer acesso aos servidores do ministério, só do DNS da Amazon.
Quanto ao endereço IP antigo do Ministério da Saúde agora aponta para o site principal do Governo Brasileiro:
O endereço de um dos sistemas do Ministério da Saúde, o Sistema de Transplantes se mostra funcional. Isso prova que o servidor continua no ar, apenas inacessível.
Veja a versão via IP, que funciona:
Contra a versão com endereço, que está sendo redirecionada para não funcionar:
O grupo hacktivista desconfia da reação do governo. “Essa questão do DNS se resolve rapidamente, tanto que eles tiveram acesso a essa mudança, porém resolveram remover o defacer ao invés de restaurar os registros apontando para seus verdadeiros servidores. Os servidores do http://GOV.BR estão configurados para receberem essas solicitações através de IPs específicos, porém os servidores do SUS não foram configuradores dessa maneira. Isso não é um problema, pois os acessos devem ser feitos pelo nome de domínio “http://saude.gov.br” e não por endereços de IP. Por isso você consegue acessar o site http://GOV.BR através de IPs.”
Em coletiva de imprensa agora, o Ministério da Saúde não mencionou “ransomware”, mas apenas “incidente”.
A Polícia Federal acaba de divulgar nota em que afirma que houve um ataque à nuvem da Amazon Web Services, não uma invasão ransomware ao Ministério da Saúde, corroborando a versão do Anonymous.
Segundo o grupo, endereços válidos e funcionais para acessar aos demais sistemas (inclusive o de vacinação) serão publicados ao longo do dia, se o sistema não retornar antes.