"Deve-se considerar que todos os dados do servidor foram comprometidos" e "aconselha-se a reinstalação da máquina [a partir] do zero, utilizando sistemas operativos e versões de software mais recentes e atualizadas", lê-se no documento do Centro de Estudos, Resposta e Tratamento (CERT) de incidentes informáticos de Moçambique.
O CERT em Moçambique, tal como grupos semelhantes noutros países, junta voluntariamente profissionais do setor e o estudo é assinado por André Tenreiro, técnico de segurança informática.
"Tudo indica que o ataque foi [dirigido] a uma infraestrutura de alojamento partilhado (shared hosting)" onde estavam alojados diferentes 'sites' institucionais do domínio gov.mz e que foram todos descaraterizados (um designado 'mass web defacement' na gíria técnica em inglês), refere, com base em dados públicos.
Ou seja, as páginas foram substituídas por outras, no caso, de um grupo que se apresentou como Yemeni Cyber Army (Y.C.A) e que anunciou o ataque no seu canal na plataforma de mensagens Telegram no dia 20 as 22:11 de Maputo (20:11 em Lisboa), detalha o estudo.
"Não há nenhuma certeza de que este grupo seja o mesmo que reivindicou alguns ataques ao Ministério dos Negócios Estrangeiros da Arabia Saudita em 2015 e divulgou os seus dados", acrescenta.
Pagamento de extorsões 'não'
A análise feita com ferramentas ao dispor na Internet mostra que este ataque foi o mais recente de outros de que os sites moçambicanos já tinham sido alvo "nos últimos meses" e que a estrutura onde estão alojados tem muitas vulnerabilidades por corrigir, algumas críticas.
No mesmo canal Telegram, o grupo publicou os dados em bruto da estrutura de bases de dados alegadamente copiadas dos portais moçambicanos e André Tenreiro nota que uma delas indica conter utilizadores, com respetivos emails e senhas de acesso ao sistema de conteúdos atacados - mas os dados carecem de validação.
Num das mensagens afixadas, os 'hackers' publicaram um endereço Bitcoin (moeda eletrónica) exigindo um resgate para reporem os 'sites', mas "não foi possível detetar nenhuma transação" a partir do mesmo, nota o estudo.
"É de salientar, que pedidos de extorsão por Bitcoin começam a ser pouco comuns devido à falta de privacidade por detrás do sistema. Em vez disso, a cripto moeda Monero tem sido mais utilizado por criminosos sofisticados", acrescenta.
Nas conclusões, o CERT "não recomenda o pagamento de extorsões", porque "não há nenhuma garantia que os invasores cumpram a palavra".
Criar autenticação de dois fatores (ou seja, com um código adicional enviado por via segura, além da senha de acesso), renovar 'passwords' sem repetições e com padrões de dificuldade, compartimentar dados e selar com senhas o acesso a aplicações administrativas da própria máquina, são outras das sugestões.
Fonte: DW