Estabilizada a rede da Vodafone depois de um ataque informático com um impacto sem precedentes no país na segunda-feira à noite, a investigação levada a cabo pela Unidade de Combate ao Cibercrime da Polícia Judiciária prossegue sem haver elementos concretos nas mãos dos investigadores como um IP. E vários cenários em aberto. Na esfera da PJ, sabe o Nascer do SOL, há também preocupação com a informação que tem estado a ser veiculada, numa altura em que não há certezas sobre a origem e motivações do ataque. Estratégia: fechar-se em copas. Se no dia seguinte ao ataque houve uma conferência de imprensa dirigida pelo diretor da unidade Carlos Cabreiro, o responsável não tornou a pronunciar-se e declina fazer comentários sobre as diligências.
Pista russa é uma ‘pequena peça de informação’
O ataque poder ter sido um ato com motivações políticas no quadro de tensões entre Moscovo e Kiev é um dos cenários colocado em cima da mesa desde a primeira hora, nomeadamente por José Tribolet, especialista em cibersegurança, numa altura em que essa ameaça tem estado a soar nos EUA e na Europa. «Todos os estados membros da NATO estão a ser alvo deste tipo de ataques», afirmou o professor jubilado do Técnico ao i.
Esta semana, a Reuters noticiou que o Banco Central Europeu emitiu orientações aos bancos para se precaverem contra essa possibilidade. Na Ucrânia, a preocupação com a ciberguerra sobe de tom e nos EUA desde 2020, com o ataque SolarWinds – uma intrusão em computadores de nove agências federais e uma centena de empresas norte-americanas, associado pelos serviços de informação americanos a uma provável espionagem russa – que se tornou uma ameaça real.
Na terça-feira, Carlos Cabreiro, diretor da Unidade de Combate ao Cibercrime da PJ, disse ao i que a hipótese de o ataque à Vodafone ter origem russa «não era real», considerando-a «abusiva». Já esta sexta-feira, o Expresso noticiou um elemento que leva a investigação a não poder descartar a hipótese, embora, ao que o Nascer do SOL apurou, todos os cenários permaneçam em aberto e seja considerada «uma pequena peça de informação». Segundo o semanário, as autoridades portuguesas tiveram conhecimento de que há duas semanas, a 24 de janeiro, um suposto hacker terá feito uma publicação no fórum online russo Exploit.in, dizendo estar à procura de compradores para o acesso ilegal ao sistema informático de uma companhia de telecomunicações portuguesa com receitas entre os 1 a 4 mil milhões de dólares. «Vou ouvir as vossas propostas de preços», citou o semanário, referindo que a proposta era como base de licitação de 2500 dólares (cerca de 2100 euros).
Segundo o Expresso, esta pista que pode ligar o caso a um hacker russo, estará a ser investigada pelas autoridades e foi detetada pela Mandiant, uma empresa norte-americana de cyber intelligence que monitoriza estes fóruns fechados e a darkweb. Ao Nascer do SOL, a Mandiant declinou comentar estas informações e não respondeu se está a apoiar a investigação das autoridades portuguesas.
No seu relatório sobre o que esperar em 2022, a empresa aponta ciberataques de origem russa como uma das ameaças, que terão tendência a aumentar no quadro da tensão em curso. «A Rússia vai manter uma postura agressiva durante o final de 2021 (quando foi publicado o documento) e 2022, com uma ênfase sustentada em atingir a NATO, Europa do Leste, Ucrânia, Afeganistão e setor de energia», lê-se. A empresa assinala ainda outros atores estatais em movimentações no ciberespaço: Irão, cujos alvos são essencialmente Israel e outros países do Médio Oriente, China, em ações de ‘ciberespionagem’ e Coreia do Norte.
Outro alerta da consultora é para os ataques de ransomware, as intrusões em que os sistemas informáticos são capturados por hackers que exigem resgates para a recuperação dos dados. Segundo o i apurou junto de fonte de investigação, foi um ataque desta natureza que afetou esta semana a rede de laboratórios Germano de Sousa, que suspendeu a atividade até este domingo, tendo assim uma natureza diferente do da Vodafone, que tornou inoperacional toda a rede e não teve pedido de resgate. Estes ataques aumentaram na última década e vão continuar a aumentar, adverte a Mandiant: «O negócio do ransomware é simplesmente demasiado lucrativo, a menos que os governos internacionais e inovações tecnológicas consigam alterar o cálculo do custo-benefício para os atacantes». E fica um alerta: as táticas estão a evoluir. Segundo a consultora, há um movimento para os hackers se servirem de ‘infiltrados’ nas instituições que pretendem atacar.
A questão do uso indevido de credenciais foi colocada por alguns peritos que intervieram publicamente esta semana como uma das hipóteses para explicar um ataque destrutivo como o que foi reportado pela Vodafone, que o considerou «malicioso e terrorista». Afetou clientes particulares, empresas e o sistema de emergência e bombeiros, mas também hospitais, com serviços suportados na rede Vodafone. Segundo a DECO, a empresa só terá de pagar indemnizações se vier a ser apurado que teve responsabilidade no apagão.