Os recentes ataques supostamente realizados pelo grupo chinês Salt Typhoon a empresas de telecomunicações e países – entre eles estaria o Brasil – deixou o mundo todo em alerta. Notícias falam do nível de sofisticação das invasões e, o que é mais alarmante – os criminosos, teoricamente, ainda estariam dentro das redes dessas empresas.
As primeiras informações sobre esse grupo surgiram em 2021, quando a equipe de Threat Intelligence da Microsoft divulgou informações sobre como a China teria se infiltrado com sucesso em vários provedores de serviço de internet, para vigiar as empresas – e capturar dados. Um dos primeiros ataques realizados pelo grupo foi a partir de uma violação em roteadores Cisco, que serviam como um gateway para monitorar atividades de internet ocorrendo por meio desses dispositivos. Uma vez que o acesso era obtido, os hackers conseguiam expandir seu alcance para redes adicionais. Em outubro de 2021, a Kaspersky confirmou que os cibercriminosos já tinham expandido os ataques a outros países como Vietnã, Indonésia, Tailândia, Malásia Egito, Etiópia e Afeganistão.
Se as primeiras vulnerabilidades já eram conhecidas desde 2021 – por que ainda fomos atacados? A resposta está, justamente, em como lidamos com essas vulnerabilidades no dia a dia.
Método de violação
Agora, nos últimos dias, informações do governo norte-americano confirmaram uma série de ataques a “empresas e países” – que teriam acontecido a partir de vulnerabilidades conhecidas em um aplicativo de VPN, do fabricante Ivanti, no Fortinet Forticlient EMS, usado para fazer o monitoramento em servidores, em firewalls Sophos e também em servidores Microsoft Exchange.
A vulnerabilidade da Microsoft foi divulgada em 2021 quando, logo na sequência, a empresa publicou as correções. A falha nos firewalls Sophos foi publicada em 2022 – e corrigida em setembro de 2023. Os problemas encontrados no Forticlient se tornaram públicos em 2023, e corrigidos em março de 2024 – bem como os da Ivanti, que também tiveram seus CVEs (Common Vulnerabilities and Exposures) registrados em 2023. A empresa, entretanto, só corrigiu a vulnerabilidade em outubro passado.
Todas essas vulnerabilidades permitiram que os criminosos facilmente se infiltrassem nas redes atacadas, usando credenciais e softwares legítimos, o que torna a detecção dessas invasões quase impossível. A partir daí, os criminosos se moveram lateralmente dentro dessas redes, implantando malwares, que ajudaram no trabalho de espionagem de longo prazo.
O que é alarmante nos recentes ataques é que os métodos utilizados pelos hackers do grupo Salt Typhoon são consistentes com as táticas de longo prazo observadas em campanhas anteriores atribuídas a agentes estatais chineses. Esses métodos incluem o uso de credenciais legítimas para mascarar atividades maliciosas como operações rotineiras, dificultando a identificação por sistemas de segurança convencionais. O foco em softwares amplamente utilizados, como VPNs e firewalls, demonstra um conhecimento aprofundado das vulnerabilidades em ambientes corporativos e governamentais.
O problema das vulnerabilidades
As vulnerabilidades exploradas também revelam um padrão preocupante: atrasos na aplicação de patches e atualizações. Apesar das correções disponibilizadas pelos fabricantes, a realidade operacional de muitas empresas dificulta a implementação imediata dessas soluções. Testes de compatibilidade, a necessidade de evitar interrupções em sistemas de missão crítica e, em alguns casos, a falta de conscientização sobre a gravidade das falhas contribuem para o aumento da janela de exposição.
Essa questão não é apenas técnica, mas também organizacional e estratégica, envolvendo processos, prioridades e, muitas vezes, cultura corporativa.
Um aspecto crítico é que muitas empresas tratam a aplicação de patches como uma tarefa “secundária” em comparação com a continuidade operacional. Isso cria o chamado dilema do downtime, onde os líderes precisam decidir entre a interrupção momentânea de serviços para atualizar sistemas e o risco potencial de uma exploração futura. No entanto, os ataques recentes mostram que postergar essas atualizações pode sair muito mais caro, tanto em termos financeiros quanto reputacionais.
Além disso, os testes de compatibilidade são um gargalo comum. Muitos ambientes corporativos, especialmente em setores como telecomunicações, operam com uma complexa combinação de tecnologias legadas e modernas. Isso faz com que cada atualização demande um esforço considerável para garantir que o patch não cause problemas em sistemas dependentes. Esse tipo de cuidado é compreensível, mas pode ser mitigado com a adoção de práticas como ambientes de teste mais robustos e processos automatizados de validação.
Outro ponto que contribui para o atraso na aplicação de patches é a falta de conscientização sobre a gravidade das falhas. Muitas vezes, equipes de TI subestimam a importância de um CVE específico, principalmente quando ele não foi amplamente explorado até o momento. O problema é que a janela de oportunidade para os atacantes pode se abrir antes que as organizações percebam a gravidade do problema. Esse é um campo onde inteligência de ameaças e comunicação clara entre os fornecedores de tecnologia e as empresas podem fazer toda a diferença.
Por fim, as empresas precisam adotar uma abordagem mais proativa e priorizada para gestão de vulnerabilidades, o que inclui a automatização dos processos de patching, a segmentação das redes, limitando o impacto de possíveis invasões, a rotina de simular regularmente possíveis ataques, o que ajuda a encontrar os potenciais “pontos fracos”.
A questão dos atrasos nos patches e atualizações não é apenas um desafio técnico, mas também uma oportunidade para as organizações transformarem sua abordagem de segurança, tornando-a mais ágil, adaptável e resiliente. Acima de tudo, esse modo de operação não é novo, e centenas de outros ataques são realizados com o mesmo modus operandi, a partir de vulnerabilidades que são usadas como porta de entrada. Aproveitar essa lição pode ser o diferencial entre ser vítima ou estar preparado para o próximo ataque.
