O grupo de hackers Lapsus$, o mesmo que assumiu a responsabilidade pelo ataque ao Ministério da Saúde no dia 10 de dezembro, anunciou na tarde de hoje ter invadido computadores da operadora de telecomunicações Claro. O grupo fez a publicação de um comunicado sobre o assunto em inglês e também em português em seu grupo no Telegram, junto com 11 imagens supostamente obtidas em ambientes da Claro. As telas são referentes a ambientes supostamente acessados tais como Sharepoint e RDPs, além de um CCN Manager (Charging Control Node) da Ericsson, uma instância AWS e uma tela de Amdocs exibindo informações de cliente. Há três telas nas quais aparece um número total de servidores, total que foi destacado pelo grupo com sinalização gráfica. Há também uma tela de monitoramento de um servidor de armazenamento. O acesso foi feito aparentemente por meio de um serviço RDP (Remote Desktop Protocol) do MS Windows.
O comunicado afirma que a invasão atinge as principais empresas do grupo, que são Claro, Embratel e Net, e acrescenta que foi acessado inclusive o sistema Vigia, utilizado pelos organismos policiais para monitoramento autorizado pela Justiça. Os invasores alegam que tiveram acesso a cerca de 10 petabytes de dados. Eles pediram que um representante da empresa entrasse em contato por e-mail para negociar um pagamento, em troca de apagar os dados obtidos. O grupo alega ter em mãos dados que revelariam ordens jurídicas confidenciais e escutas telefônicas, o que “causaria grandes problemas de aplicação da lei (o suspeito saberá que estão sendo vigiados) \ 10.1.104.35 \ JD_Nextel \ Wire_Tap \ e várias outras áreas, como Vigia”.
Por volta das 19h05 de hoje, um usuário anunciou num fórum frequentado por cibercriminosos brasileiros a venda de tabelas de dados que alega terem origem na Claro, na Net e na Vivo. A da Claro teria 56.133.362 registros, num arquivo TXT de 2,9GB; a da Net 10 milhões de registros em 4,7GB de arquivo também TXT; da Vivo seriam três tabelas, uma chamada Vivo Fixo, com 28 milhões de linhas (6,5GB), outra chamada Vivo Pós, com 43 milhões de linhas (9,4GB) e a última chamada Vivo Pre, com 32 milhões de linhas (6,2GB). Não é possível determinar se os dados supostamente da Claro estão relacionados ao incidente anunciado pelo grupo Lapsus$.
Desde o dia 27 clientes da Claro reclamam no Downdetector de lentidão nos serviços e alguns internautas haviam levantado a hipótese de um ataque aos serviços online. No dia 28 o CISO Advisor pediu informações sobre o assunto à assessoria de imprensa da Claro mas não recebeu. No dia 19 de dezembro, o grupo publicou no Reddit um anúncio oferecendo R$ 50 mil para quem fornecesse credenciais de acesso ao back office da Claro ou da Vivo. O anúncio foi logo removido mas certamente foi visto por muita gente.
O anúncio do Lapsus$ foi feito exatamente às 18:16 de hoje. Às 15 horas, ou seja, três horas antes, o grupo já havia anunciado que iria fazer um comunicado sobre esse assunto. Esse aviso dizia apenas em inglês que mais tarde seriam publicadas algumas notícias sobre uma das maiores operadoras de telefonia móvel do Brasil e pedia que as pessoas ficassem atentas; na mensagem seguinte, publicada um minuto depois, o grupo já dizia que a operadora era a Claro e que haveria mais detalhes a seguir.
Este é o comunicad do Lapsus$:
CLARO HACKED
Oi.
Escrevemos para anunciar uma violação.
Informamos que a Claro, Embratel e NET sofreram uma grande violação de dados, no mês passado estivemos rodando para vários sistemas.
Os sistemas que acessamos: Muitos AWS, 2x Gitlab, SVN, x5 vCenter (MCK, CPQCLOUD, EOS, ODIN), armazenamento Dell EMC, todas as caixas de entrada, Telecom / SS7, Vigia (interceptação policial), MTAWEB e WPP (gerenciamento de cliente), e muito mais!
A quantidade total de dados aos quais tivemos acesso excede 10pb ~ 10.000 TB, incluindo informações do cliente, infraestrutura de telecomunicações,
Documentos jurídicos, pedidos de escuta telefônica, código-fonte, e-mails.
Embora tenhamos obtido apenas uma pequena parte dos dados (as coisas importantes, legal, escuta telefônica, códigos src, svn)
Solicitamos que um representante da Claro nos contate em @whitedoxbin ou envie-nos um e-mail saudegroup@ctemplar.com
Nós chegaremos a um acordo, onde tal eu apago os dados em troca de uma pequena recompensa / taxa.
Caso contrário, seremos forçados a compartilhar os dados com os olhos do público!
Devo acrescentar que o vazamento de ordens jurídicas confidenciais e escutas telefônicas causaria grandes problemas de aplicação da lei (o suspeito saberá que estão sendo vigiados) \ 10.1.104.35 \ JD_Nextel \ Wire_Tap \ e várias outras áreas, como Vigia
Obrigado! Bom dia!
Solicitamos que um representante da Claro nos contate em @whitedoxbin ou envie-nos um e-mail saudegroup@ctemplar.com
