Durante dez anos, alguém entrou nesta rede sempre que quis. Não forçou nenhuma porta nem rebentou nenhuma palavra-passe. Simplesmente passou a fazer parte do sistema que decide quem pode entrar. A investigação da Sygnia, uma empresa de resposta a incidentes, revelou esta semana uma operação de ciberespionagem que durava desde, pelo menos, 2016: um grupo ligado à China, batizado Velvet Ant, viveu dentro de uma rede isolada de uma organização de infraestrutura crítica durante cerca de uma década, com visibilidade total sobre tudo o que os administradores faziam.
O que torna este caso diferente não é o tempo, embora dez anos sem deteção seja por si só assustador. É o sítio onde se instalaram. Não atacaram os dados nem as aplicações. Atacaram a camada de confiança, o mecanismo que verifica quem é quem. Quando se controla isso, não é preciso roubar chaves: passa-se a ser quem as fabrica.
Como se tornaram invisíveis
Em vez de instalarem o malware habitual, que as defesas modernas tendem a apanhar, os atacantes reescreveram dois alicerces do sistema. Primeiro, substituíram os módulos de autenticação do Linux (PAM, o software que decide se uma palavra-passe está correta) por versões alteradas que aceitavam palavras-passe secretas e iam recolhendo as credenciais verdadeiras à medida que eram usadas. Depois, trocaram componentes do OpenSSH (o programa que permite ligações remotas seguras a um servidor) por cópias adulteradas que registavam cada comando escrito em cada sessão e guardavam tudo localmente.
Segundo a Sygnia, «ao estender o controlo ao processo de autenticação, modificando os componentes PAM e OpenSSH, o agente de ameaça passou a ter acesso às credenciais à medida que eram usadas no ambiente visado e conseguia contornar o fluxo de autenticação». Foram identificadas nove variantes distintas do módulo, cada uma compilada num ambiente separado, sinal de uma operação paciente e bem financiada. Mudar as palavras-passe não os expulsava. Terminar as sessões não os expulsava. O tráfego deles saía por um canal escondido, disfarçado de serviço legítimo do sistema.
Porque é que isto nos diz respeito
Pode parecer distante, uma rede de infraestrutura crítica algures no mundo. Mas o padrão é o mesmo em qualquer organização. O Centro Nacional de Cibersegurança, no relatório «Riscos e Conflitos 2025», lembra que o tempo que um intruso permanece numa rede antes de ser detetado, o chamado dwell time, se mede muitas vezes em meses ou anos, e aponta a comercialização de credenciais como uma das tendências do momento. Noventa por cento das entidades nacionais de setores críticos, da energia à saúde, da água aos portos, dizem sentir um risco acrescido. Este caso é a versão extrema desse problema: a prova de que a confiança que depositamos no login pode estar mal colocada, se o próprio mecanismo de login puder ser trocado por baixo do pano.
Há uma lição forense aqui. Quando o sistema que regista quem entrou e o que fez está ele próprio comprometido, os registos deixam de ser prova. É como ter uma câmara de videovigilância controlada por quem se quer apanhar. Por isso, defender uma rede não pode resumir-se a levantar muros mais altos, mais palavras-passe, mais avisos de autenticação. Tem de incluir verificar, de forma independente, que os próprios alicerces não foram adulterados.
O que fazer
Para quem gere sistemas, há medidas concretas que mudam o jogo:
- Verificar a integridade dos binários de autenticação. Comparar os módulos PAM e os componentes do OpenSSH com versões fidedignas, com regularidade, e investigar qualquer diferença.
- Assumir o compromisso. Partir do princípio de que alguém já pode estar lá dentro muda a forma como se monitoriza e se segmenta a rede.
- Não confiar só na rotação de palavras-passe. Se as credenciais são capturadas no instante em que são usadas, trocá-las apenas alimenta o atacante com as novas.
- Investir em deteção, não só em prevenção. O que apanha um intruso paciente é o comportamento estranho ao longo do tempo, não a barreira da entrada.
- Vigiar processos com nomes inocentes. Um canal de comunicação escondido costuma disfarçar-se de serviço normal do sistema.
Durante dez anos, esta organização teve a sensação de estar segura. Tinha palavras-passe, tinha registos, tinha uma rede isolada. O que não tinha era a certeza de que o sistema encarregado de verificar a identidade ainda trabalhava para ela. A pergunta incómoda que este caso deixa a toda a gente é simples: quando foi a última vez que verificámos quem guarda as nossas chaves?
Fonte original: BleepingComputer; investigação de Sygnia («Operation Highland»).
#StaySafe
🙏🖖
