O grupo de hackers Lapsus$, o mesmo que assumiu a responsabilidade pelo ataque ao Minist\u00e9rio da Sa\u00fade no dia 10 de dezembro, anunciou na tarde de hoje ter invadido computadores da operadora de telecomunica\u00e7\u00f5es Claro. O grupo fez a publica\u00e7\u00e3o de um comunicado sobre o assunto em ingl\u00eas e tamb\u00e9m em portugu\u00eas em seu grupo no Telegram, junto com 11 imagens supostamente obtidas em ambientes da Claro. As telas s\u00e3o referentes a ambientes supostamente acessados tais como Sharepoint e RDPs, al\u00e9m de um CCN Manager (Charging Control Node) da Ericsson, uma inst\u00e2ncia AWS e uma tela de Amdocs exibindo informa\u00e7\u00f5es de cliente. H\u00e1 tr\u00eas telas nas quais aparece um n\u00famero total de servidores, total que foi destacado pelo grupo com sinaliza\u00e7\u00e3o gr\u00e1fica. H\u00e1 tamb\u00e9m uma tela de monitoramento de um servidor de armazenamento. O acesso foi feito aparentemente por meio de um servi\u00e7o RDP (Remote Desktop Protocol) do MS Windows.<\/p>\n
\n
O comunicado afirma que a invas\u00e3o atinge as principais empresas do grupo, que s\u00e3o Claro, Embratel e Net, e acrescenta que foi acessado inclusive o sistema Vigia, utilizado pelos organismos policiais para monitoramento autorizado pela Justi\u00e7a. Os invasores alegam que tiveram acesso a cerca de 10 petabytes de dados. Eles pediram que um representante da empresa entrasse em contato por e-mail para negociar um pagamento, em troca de apagar os dados obtidos. O grupo alega ter em m\u00e3os dados que revelariam ordens jur\u00eddicas confidenciais e escutas telef\u00f4nicas, o que \u201ccausaria grandes problemas de aplica\u00e7\u00e3o da lei (o suspeito saber\u00e1 que est\u00e3o sendo vigiados) \\ 10.1.104.35 \\ JD_Nextel \\ Wire_Tap \\ e v\u00e1rias outras \u00e1reas, como Vigia\u201d.<\/p>\n
Por volta das 19h05 de hoje, um usu\u00e1rio anunciou num f\u00f3rum frequentado por cibercriminosos brasileiros a venda de tabelas de dados que alega terem origem na Claro, na Net e na Vivo. A da Claro teria 56.133.362 registros, num arquivo TXT de 2,9GB; a da Net 10 milh\u00f5es de registros em 4,7GB de arquivo tamb\u00e9m TXT; da Vivo seriam tr\u00eas tabelas, uma chamada Vivo Fixo, com 28 milh\u00f5es de linhas (6,5GB), outra chamada Vivo P\u00f3s, com 43 milh\u00f5es de linhas (9,4GB) e a \u00faltima chamada Vivo Pre, com 32 milh\u00f5es de linhas (6,2GB). N\u00e3o \u00e9 poss\u00edvel determinar se os dados supostamente da Claro est\u00e3o relacionados ao incidente anunciado pelo grupo Lapsus$.<\/p>\n
Desde o dia 27 clientes da Claro reclamam no Downdetector de lentid\u00e3o nos servi\u00e7os e alguns internautas haviam levantado a hip\u00f3tese de um ataque aos servi\u00e7os online. No dia 28 o CISO Advisor pediu informa\u00e7\u00f5es sobre o assunto \u00e0 assessoria de imprensa da Claro mas n\u00e3o recebeu. No dia 19 de dezembro, o grupo publicou no Reddit um an\u00fancio oferecendo R$ 50 mil para quem fornecesse credenciais de acesso ao back office da Claro ou da Vivo. O an\u00fancio foi logo removido mas certamente foi visto por muita gente.<\/p>\n
O an\u00fancio do Lapsus$ foi feito exatamente \u00e0s 18:16 de hoje. \u00c0s 15 horas, ou seja, tr\u00eas horas antes, o grupo j\u00e1 havia anunciado que iria fazer um comunicado sobre esse assunto. Esse aviso dizia apenas em ingl\u00eas que mais tarde seriam publicadas algumas not\u00edcias sobre uma das maiores operadoras de telefonia m\u00f3vel do Brasil e pedia que as pessoas ficassem atentas; na mensagem seguinte, publicada um minuto depois, o grupo j\u00e1 dizia que a operadora era a Claro e que haveria mais detalhes a seguir.<\/p>\n
Este \u00e9 o comunicad do Lapsus$:<\/strong><\/span><\/p>\n CLARO HACKED<\/p>\n Oi.<\/p>\n Escrevemos para anunciar uma viola\u00e7\u00e3o.<\/p>\n Informamos que a Claro, Embratel e NET sofreram uma grande viola\u00e7\u00e3o de dados, no m\u00eas passado estivemos rodando para v\u00e1rios sistemas.<\/p>\n Os sistemas que acessamos: Muitos AWS, 2x Gitlab, SVN, x5 vCenter (MCK, CPQCLOUD, EOS, ODIN), armazenamento Dell EMC, todas as caixas de entrada, Telecom \/ SS7, Vigia (intercepta\u00e7\u00e3o policial), MTAWEB e WPP (gerenciamento de cliente), e muito mais!<\/p>\n A quantidade total de dados aos quais tivemos acesso excede 10pb ~ 10.000 TB, incluindo informa\u00e7\u00f5es do cliente, infraestrutura de telecomunica\u00e7\u00f5es, Embora tenhamos obtido apenas uma pequena parte dos dados (as coisas importantes, legal, escuta telef\u00f4nica, c\u00f3digos src, svn)<\/p>\n Solicitamos que um representante da Claro nos contate em @whitedoxbin ou envie-nos um e-mail saudegroup@ctemplar.com<\/p>\n N\u00f3s chegaremos a um acordo, onde tal eu apago os dados em troca de uma pequena recompensa \/ taxa.<\/p>\n Caso contr\u00e1rio, seremos for\u00e7ados a compartilhar os dados com os olhos do p\u00fablico!<\/p>\n Devo acrescentar que o vazamento de ordens jur\u00eddicas confidenciais e escutas telef\u00f4nicas causaria grandes problemas de aplica\u00e7\u00e3o da lei (o suspeito saber\u00e1 que est\u00e3o sendo vigiados) \\ 10.1.104.35 \\ JD_Nextel \\ Wire_Tap \\ e v\u00e1rias outras \u00e1reas, como Vigia<\/p>\n Obrigado! Bom dia!<\/p>\n Solicitamos que um representante da Claro nos contate em @whitedoxbin ou envie-nos um e-mail saudegroup@ctemplar.com<\/p>\n <\/p>\n
\nDocumentos jur\u00eddicos, pedidos de escuta telef\u00f4nica, c\u00f3digo-fonte, e-mails.<\/p>\n