Os servidores do Expresso e da SIC foram atacados. Um grupo de piratas informáticos destruiu milhões de ficheiros. O caso está a ser investigado como um atentado à liberdade de imprensa. Um dos maiores desde o 25 de Abril
Hugo Franco e Micael Pereira | Expresso
Para quem estava sintonizado com o Expresso no domingo passado deve ter sido difícil evitar o espanto. O jornal anunciava no Twitter que alguém com o exótico nome de Lapsus$ era o novo presidente de Portugal. No site, a notícia era outra e a surpresa, seguramente, ainda maior. A homepage do jornal ficou preta e no centro do ecrã estava uma mensagem, debaixo outra vez daquele nome, Lapsus$: “Os dados serão vazados caso o valor necessário não for pago. Estamos com acesso nos painéis de cloud (AWS), entre outros tipos de dispositivos. O contacto para o resgate está abaixo.” O mesmo acontecia no site da SIC, a cadeia de televisão que faz parte, tal como o Expresso, do Grupo Impresa. Um sequestro de dimensões desconhecidas ao maior jornal e à televisão com maior audiência em Portugal estava a desenrolar-se em direto na internet.
Apesar do anúncio, à vista de toda a gente, a exigir um resgate, os dias passaram e isso não teve seguimento nos bastidores. “Este ataque, contrariamente ao noticiado, não foi da tipologia ransomware, não tendo sido efetuado qualquer pedido de pagamento”, assumiu a administração do Grupo Impresa num comunicado enviado para os seus leitores e telespectadores na quarta-feira à noite. Os piratas informáticos tinham-se de facto infiltrado nos servidores que o Expresso e a SIC usam na Amazon Web Services (AWS) para, entre outras coisas, arquivar tudo o que publicam, mas não deram a conhecer uma quantia de resgate nem uma conta para onde transferir dinheiro.
Com os sites do Grupo Impresa em baixo, logo no domingo teve início uma investigação criminal. O que se passou, afinal? E quem é que está por detrás disto?
Os investigadores acreditam que o ataque não está relacionado com a proximidade das eleições legislativas ou com outro qualquer evento e afastam o cenário de haver por detrás uma motivação ideológica ou um interesse económico.
Nesta altura, com o que já apurou, a Polícia Judiciária está convencida que foi simplesmente o ego dos piratas informáticos que os motivou a entrar nos servidores da SIC e do Expresso. Sem tentarem extorquir dinheiro, acabaram por destruir milhões de ficheiros internos do jornal e da televisão.
“A invasão de um grande grupo de media é para eles um motivo de orgulho e uma forma de se vangloriarem junto dos seus pares. Estes movimentos inorgânicos têm gozo em conseguir entrar e destruir. E tanto podia ser em Portugal como noutro país qualquer”, revela uma fonte próxima da investigação, que lembra que ainda há um mês os mesmos autores usaram o nome Lapsus$ na invasão que fizeram no Brasil ao sistema informático do Ministério da Saúde, depois de em maio terem atacado uma empresa de jogos eletrónicos nos Estados Unidos, a Electronic Arts (EA).
“O dinheiro é uma falsa questão. Agora nem tiveram o cuidado de alterar a mensagem que tinham usado no ataque ao Ministério da Saúde no Brasil. Era apenas uma mensagem-chave”, diz uma fonte policial. E tanto em Portugal como no Brasil ou nos Estados Unidos, nenhuma instituição ou empresa desembolsou qualquer pagamento pelos dados roubados. “Foi sobretudo um ato de sabotagem informática, de destruição, já que foram apagados uma parte dos arquivos”, reforça a mesma fonte. Até ao momento, os inspetores da unidade de cibercrime da PJ, que desde o ataque se encontram nas instalações da Impresa, ainda não conseguiram determinar se os ficheiros destruídos podem vir a ser ou não recuperados.
A Polícia Judiciária, que pediu a colaboração das autoridades brasileiras e de outros países para este caso, traçou um perfil deste grupo de hackers: “Dedicam-se a esgravatar a dark web à procura de formas de entrar e destruir os sistemas informáticos de empresas ou instituições estatais que lhes deem publicidade para o ataque. É um pouco como os grupos de miúdos que rivalizam sobre quem rouba o melhor banco ou o melhor carro.” O Expresso sabe que não há portugueses envolvidos no grupo, que será constituído por espanhóis e sul-americanos, tendo a colaboração intermitente de hackers brasileiros.
Um crime contra o jornalismo
Com o crime de extorsão posto de lado, o foco vai agora para aquilo que parece cada vez mais óbvio tanto para os investigadores da PJ como para alguns penalistas ouvidos pelo Expresso, como Paulo Sá e Cunha e Paulo Saragoça da Matta: além de estarem em causa crimes como sabotagem informática e acesso indevido, a destruição de ficheiros significa que se tratou de um atentado à liberdade de imprensa, punido com uma pena que pode ir até aos três anos de prisão para quem “impedir ou perturbar a composição, impressão, distribuição e livre circulação de publicações” ou “apreender ou danificar quaisquer materiais necessários ao exercício da atividade jornalística”.
Luís Filipe Simões, presidente do Sindicato dos Jornalistas, é taxativo: “É evidente que foi um ataque à liberdade de imprensa. É, aliás, um dos maiores ataques ao jornalismo desde o 25 de Abril. Está em causa um património como o arquivo do Expresso. Seria dramático perder esse espólio.”
Para o jornalista Jacinto Godinho, membro do secretariado da Comissão da Carteira Profissional de Jornalistas (CCPJ), este tipo de ataques é “a forma mais eficaz de terrorismo no século XXI”, sendo que, no caso da comunicação social, o facto de muitos arquivos de memória histórica e a maior parte das filmagens que são feitas estarem guardadas em formato digital torna “gravíssimo esta informação ser apropriada ou ser destruída pelo crime organizado”. Godinho sublinha que, neste momento, “é importante saber mais sobre se houve um objetivo claro de atacar o Grupo Impresa e a sua capacidade de fazer jornalismo”.
Para já, as suspeitas da PJ é que a entrada dos hackers no sistema informático da Impresa se deveu a um erro humano por parte de um ou mais funcionários que possam ter clicado numa hiperligação de um e-mail infetado ou baixado um software pirata. “É preciso ter as pessoas treinadas e conscientes das ameaças para poderem funcionar como uma primeira barreira”, diz Francisco Nina Rente, especialista em cibersegurança. “Porque as barreiras tecnológicas podem estar todas afinadas, mas se o ser humano falhar, as outras não vão valer muito. É uma questão de tempo.”
Os investigadores não excluem a hipótese dos invasores se terem alojado dentro dos servidores da Impresa vários dias antes de deitarem os sites abaixo no domingo, ganhando tempo suficiente para preparar um ataque sequencial em larga escala.
Apesar de deixarem um aparente rasto eletrónico pelo ciberespaço, as autoridades portuguesas não acreditam que seja fácil chegar até aos criminosos, uma vez que estes usam ferramentas sofisticadas para se esconderem. Em todo o caso, a PJ e os especialistas em cibersegurança ouvidos pelo Expresso são perentórios ao afirmar que o Lapsu$ Group não faz parte da chamada primeira divisão de hackers, liderada por piratas russos, chineses ou norte-coreanos, que atacam muitas vezes com apoio estatal. “Tratou-se de um ataque trivial em termos técnicos que não teve consequências triviais. É um negócio criminoso puro que não tem ideologias”, defende José Tribolet, professor catedrático jubilado do Instituto Superior Técnico e fundador do INESC.
O brasileiro Filipe Soares, que trabalhou durante uma década como oficial na Agência Brasileira de Inteligência (Abin) e fundou a Harpia Tech, empresa de inteligência cibernética, conhece bem este grupo de hackers. “A primeira atividade do grupo deu-se em maio do ano passado, quando assumiram num fórum russo a autoria de um ataque informático contra a Electronic Arts. Mas não comprovaram que o tinham feito. Apenas que tinham uma base de dados da empresa. Podem ter feito bluff.”
No ataque ao Ministério da Saúde brasileiro, em dezembro, houve um comprometimento de infraestruturas. Na mesma altura, houve também desconfigurações de páginas de instituições policiais brasileiras e uma hacking às operadoras de telefone Claro e Embratel. “Expuseram 300 megabytes de dados internos do Ministério da Saúde, que parecem ser autênticos e não são públicos”, conta Filipe Soares. “Foi o caso que os tornou famosos.” Até terem exportado, esta semana, essa fama para Portugal.
Expresso #liberdade para informar
Sem comentários:
Enviar um comentário