O TecMundo recebeu com exclusividade informações bombásticas na manhã desta segunda-feira. De acordo com uma fonte que não quis se identificar, os servidores do Exército Brasileiro foram invadidos por hackers na madrugada de domingo (8) e mais de 7 mil contas de militares foram vazadas na internet.
A acusação é de que o Centro de Defesa Cibernética (CDCiber) da corporação estavam participando há tempos de competições do gênero “Capture the Flag” (ou “Capture a Bandeira”, em português), na qual os times precisam usar técnicas de hacking para atingir um determinado objetivo — que pode envolver defender um computador pessoal ou invadir um sistema feito especialmente para a maratona.
De acordo com os invasores, o Exército Brasileiro participou de últimos grandes eventos de CTF e ganhou os desafios usando uma técnica proibida conhecida como “WiFi deauthentication attack” (ou simplesmente WiFi deauth), eliminando os outros competidores da rede WiFi local e permitindo que apenas seu próprio time pudesse jogar.
A prática foi identificada pela primeira vez durante o Hackaflag PR, no dia 17 de outubro, durante o Roadsec de Curitiba, e na qual um major do exército foi o vencedor. A “trapaça” passou a se repetir em maior escala durante a edição 2015 da Hackers 2 Hackers Conference (H2HC), que foi organizada entre os dias 24 e 25 do mês passado em São Paulo capital. Isso gerou inúmeras desavenças entre participantes da cena hacker brasileira e militares nas redes sociais.
Invasão e provocações
Como retaliação, um grupo de hackers anônimos invadiu inúmeras bases de dados e diversos servidores do Exército Brasileiro, tendo acesso a mais de 7 mil contas em menos de oito horas. Todas as senhas, tal como uma provocação nada sutil à corporação militar, foram publicadas neste documento de texto pelo serviço Pastebin. O “anúncio” do ataque teria sido feito pela primeira vez em uma lista de email chamada Brasil Underground.
“Ficamos sabendo que o Exército Brasileiro tem participado de jogos de Capture The Flag e tem se exibido como um time de elite, utilizando seus avançados ataques de deauth em redes wireless”, comenta um dos invasores. “Chega a ser vergonhosa a segurança do Exército Brasileiro, cada sistema possui vulnerabilidades críticas”, complementa. Até mesmo o controlador de domínios foi sequestrado pela equipe.
As provocações não param por aí. Os hackers ainda orientam que façamos a “lição de casa”, usando os milhares de CPFs vazados para descobrir os donos de cada uma das senhas e usar nos outros sistemas do governo federal. Como bônus, um dos backdoors (falhas de segurança) encontrados pelo time foi divulgado para quem se interessar em testá-lo.
Um desafio para os militares
No fim do documento, os invadores propõem um desafio público ao Exército Brasileiro: o Capture the Backdoor, ou CTB. Ao todo, são 10 vulnerabilidades, incluindo uma instalada na BIOS dos servidores. “Vocês podem usar ataques contra infraestruturas sem sofrer penalização”, afirma o grupo. E eles avisam: o prazo final para encontrar todas essas brechas é até os Jogos Olímpicos de 2016, marcados para começar no dia 5 de agosto.
O TecMundo conversou com outra fonte anônima ligada à cena hacker brasileira — um jovem que já tinha tido acesso anteriormente à tais backdoors e que afirma que as vulnerabilidades são antigas. “A cerca de um ano atrás, um amigo meu falou que havia achado uma falha de POST SQL Injection em um subdomínio do Exército, e que havia registrado todo o banco de dados contendo CPFs e senhas dos militares”, afirma.
“Mas ele não divulgou nada na internet, e só ontem descobri que mais alguém além dele havia obtido acesso”, complementa o entrevistado. Essa informação levanta uma questão bastante pertinente: se os backdoors são tão antigos, como saber se eles já não estavam sendo usados há tempos por cibercriminosos e até mesmo agências de espionagem de outros países, para vigilância de dados militares do Exército Brasileiro?
Além disso, fica a dúvida se realmente estaremos ciberneticamente seguros durante as Olímpiadas — se os sistemas militares podem ser controlados com tanta facilidade, como garantir que nossa infraestrutura estará livre de ataques que certamente ocorrerão durante os jogos do Rio 2016? O CDCiber ainda não se pronunciou sobre o vazamento e o desafio público; atualizaremos esta matéria caso surjam novidades.
