Especialistas de segurança cibernética enfrentam uma de suas maiores crises dos últimos anos. Um grupo hacker chamado Lapsus$ invadiu e deu problemas para empresas gigantes, como a Microsoft, Samsung, Ubisoft e a Nvidia. O grupo age há mais de um ano, mas ganhou fama internacional há cerca de três, ao se tornar cada vez mais ousado e mirar empresas cada vez maiores. As primeiras investigações colocaram adolescentes no Reino Unido e Brasil como primeiros suspeitos, o que combina com as técnicas estranhas e nada ortodoxas dos envolvidos nos ataques — os invasores oferecem publicamente dinheiro em troca de logins de acesso e não fazem questão de esconder os rastros das invasões. Além disso, após roubar informações importantes — quase sempre pedaços de códigos-fonte — os invasores divulgam tudo na internet. Mas o que querem eles e como conseguiram um sucesso tão rápido para invadir corporações tão grandes? As respostas podem ajudar qualquer a ter um pouco mais de segurança na internet. As primeiras prisões dos acusados da invasão mostram que os investigadores estavam certos: os hackers são jovens destemidos que agem como se não tivessem nada a perder. Na quinta-feira (24), policiais britânicos prenderam sete envolvidos nos crimes, incluindo o líder do Lapsus$, um adolescente de 16 anos que mora em Oxfod, no Reino Unido. Segundo a BBC, o adolescente teria acumulado cerca de R$ 66,6 milhões (US$ 14 milhões) em bitcoins, fruto de atividades criminosas. O acusado, que não terá o nome divulgado por motivos legais, é autista e age tão rápido que pesquisadores acreditaram estar diante da ação de uma série de algoritmos automatizados. "Sete pessoas com idades entre 16 e 21 anos foram presas em conexão com uma investigação sobre um grupo de hackers. Todos eles foram liberados e permanecem investigados. Nossas investigações continuam em andamento", disse a polícia metropolitana de Londres, em um comunicado oficial. No momento da prisão, os pais se mostraram tão atônitos quanto os investigadores. "Ele nunca falou sobre hackers, mas é muito bom em computadores e passa muito tempo na internet. Eu sempre pensei que ele estava jogando. (...) Vamos tentar mantê-lo longe dos computadores", afirmou o pai do adolescente, em entrevista à BBC. O jovem, conhecido como "White" e "Breachbase" online, foi identificado após ter sua identidade revelada por rivais em fóruns — nome, endereço e fotos ficaram facilmente disponíveis em diversos locais da web. O vazamento de informações acelerou o trabalho dos policiais. Mesmo com as prisões feitas, o que pode representar um fim precoce do Lapsus$, a trajetória do grupo continua fascinante para os investigadores. Antes de alcançar a fama no Vale do Silício, o Lapsus$ invadiu uma série de alvos no Brasil e Portugal, o que fez muitos acharem que os integrantes fossem sul-americanos. Em novembro de 2020 a operadora Claro foi invadida e dados de 27 milhões de clientes foram roubados. Em janeiro deste ano, foi a vez do jornal Expresso, de Portugal, que teve a página inicial invadida e passou a exibir a seguinte mensagem: “LAPSUS$ É OFICIALMENTE O NOVO PRESIDENTE DE PORTUGAL”. Mesmo disposto a aceitar dinheiro e pedir resgate para não vazar os dados das vítimas, o grupo parece mais disposto a bagunçar as empresas do que extorqui-las. Ao mesmo tempo, o Lapsus$ mudou os alvos: de pequenas empresas para as maiores corporações do mundo, como a Microsoft. Segundo o site TechRadar, o grupo vazou 9 GB do código-fonte do buscador Bing, e se prepara para vazar outros 28 GB de dados preciosos para a empresa. O vazamento pode afetar cerca de 250 projetos da Microsoft, inclusive metade do código-fonte do Bing Maps e o assistente Cortana. Análises de diversas empresas de tecnologia apontam que os vazamentos são legítimos. Da mesma forma, a Okta — uma das maiores empresas de segurança cibernética do mundo — também foi afetada por uma invasão, em 21 de março. Dados da empresa indicaram que 366 clientes corporativos podem ter sido afetados. A pergunta mais intrigante feita até o momento questiona como um grupo de adolescentes conseguiu burlar o sistema de segurança da autenticação de dois fatores. Com a autenticação de dois fatores, um login recebe uma camada extra de proteção. Às vezes uma senha de uso único gerada por um app específico, um código que chega por SMS ou ainda uma notificação no celular que exige um toque para liberar o acesso. Para burlar a autenticação extra, os hackers usam a mesma técnica de grupos de cibercriminosos russos, e focam justamente na autenticação com notificação. que exige pressionar uma notificação, adotada por serviços do Google e Microsoft. A brecha é que não existe limite para o envio desse tipo de notificação, de forma que os hackers enviam uma chuva de requisições para o telefone da vítima, e esperam que em algum momento o botão acabe pressionado. O que realmente aconteceu, como mostrou o sucesso das invasões. "O agente da ameaça aproveita isso e emite várias solicitações de MFA [autenticação multifator] para o dispositivo legítimo do usuário final até que o usuário aceitasse a autenticação, permitindo que o agente da ameaça eventualmente obtivesse acesso à conta", descreveu sobre a tática o grupo de pesquisa de segurança cibernética Mandiant. O uso da tática foi deixada clara pelo próprio Lapsus$ no canal do Telegram do grupo, em mensagens recuperadas pelo site Ars Technica. "Ligue para o funcionário 100 vezes à 1 da manhã enquanto ele está tentando dormir, e ele provavelmente aceitará. Assim que a vítima aceitar a chamada inicial, você poderá acessar o portal de registro de MFA e registrar outro dispositivo", explicou a mensagem. Segundo mensagens do canal, a tática foi usada com sucesso na invasão da Microsoft e Okta. Se isso não der certo, os hackers ligam para a vítima fingindo ser a empresa contratante ou alguma corporação terceirizada de segurança, para usar engenharia social. Mesmo com a técnica para burlar a autenticação multifator, o uso da técnica é considerado imprescindível para ter alguma segurança em sistemas digitais.LEIA ABAIXO: Hackers exploram atalhos cerebrais para disseminar vírus, diz estudo
