Exclusivo. Serviços sensíveis do Estado estão a ser violados por hackers: Forças Armadas, Saúde e Educação vulneráveis

17 mai 2022, 19:13

Hackers denunciam fragilidades do Estado português com intrusões em serviços sensíveis. Dias antes de o hospital Garcia de Orta ter sido alvo de um ciberataque que sequestrou o sistema, um hacker português tinha denunciado publicamente no Twitter fragilidades neste e noutros sistemas do Estado. Transporte de doentes, serviços financeiros, plataforma dos exames nacionais e vários sites das Forças Armadas podem estar comprometidos

- LEIA TAMBÉM -
Serviços sensíveis do Estado estão a ser violados por hackers: Forças Armadas, Saúde e Educação vulneráveis 

Quem é Zambrius, o hacker português que acedeu a estruturas importantes do Estado?

 

Alguns dos serviços mais sensíveis do Estado estão a ser violados por hackers. Zambrius, um dos mais conhecidos piratas informáticos portugueses, garante ter tido acesso a servidores com centenas de dados confidenciais e sensíveis do Estado, nomeadamente nas áreas da Saúde, Educação e Defesa. Entre outros, em causa está o serviço que controla o transporte de doentes, o sistema que gere o financiamento do SNS, dados relativos aos exames nacionais das escolas e ainda acesso aos servidores dos três ramos das forças armadas.  

Neste momento, algumas das infraestruturas atingidas apresentam constrangimentos: no centro do País, por exemplo, o transporte de doentes para as unidades de saúde está a ser feito sem credenciais; num organismo central do Ministério da Saúde há atualmente páginas indisponíveis que podem colocar em causa todo o sistema financeiro do Serviço Nacional de Saúde; e ao Ministério da Educação chegou o alerta da Polícia Judiciária de que a plataforma encarregue dos dados dos Exames Nacionais terá sido alvo de “acesso indevido”.

Aquele hacker, Tomás Pedroso, – condenado em janeiro a seis anos de prisão por acesso ilegítimo agravado, desvio de dados e dano informático à Associação Portuguesa de Árbitros de Futebol, SAD do Benfica e Meo – fez uma publicação a 10 de abril deste ano na rede social Twitter onde revelava “a fragilidade de estruturas” essenciais do Estado Português, mostrando que tinha conseguido entrar nos sistemas de várias entidades. Zambrius enviou entretanto à CNN Portugal imagens e documentação que mostram acessos a vários tipos de dados, incluindo informações pessoais de cidadãos, que estão em alguns dos mais importantes serviços estatais.

“Muitas são vulnerabilidades de alto risco, que me podem dar controlo remoto sobre os sistemas ou o acesso direto a bases de dados das plataformas ou aplicações”, explica o hacker à CNN Portugal, numa troca de mensagens escritas. Zambrius garante ter conseguido entrar em “mais de cem” sistemas administrativos do Ministério da Educação e da Saúde apenas no mês de abril.

“Extremamente grave e perigoso”

A CNN Portugal contactou especialistas, que alertam que as provas publicadas pelo pirata informático no Twitter são reveladoras das muitas fragilidades que as infraestruturas do Estado têm. Tanto mais que os acessos aos sites terão sido feitos através de um smartphone.

“Todas as imagens publicadas por esse hacker mostram que foi possível entrar em infraestruturas essenciais do Estado, o que é extremamente grave e perigoso”, alerta Nuno Mateus Coelho, especialista em cibersegurança e professor da Universidade do Lusófona.

Nos últimos meses, têm sido vários os ciberataques que afetam algumas áreas essenciais, como foi o caso das telecomunicações, com o ciberataque contra a Vodafone a condicionar os principais serviços da empresa, obrigando a suspender ambulâncias e paralisando vários serviços. Antes disso, muitos clientes da rede de laboratórios Germano de Sousa viram as suas análises agendadas serem adiadas devido a um cibertaque.

Acesso ao hospital Garcia de Orta

Apesar do acumular destas situações, o Governo garante que estão a ser tomadas várias medidas para evitar ciberataques, embora não especifique que medidas foram tomadas. No entanto, entre os acessos do pirata estão vários serviços da Saúde, alguns dos quais ainda se encontram em baixo, inacessíveis, tendo outros sido alvo de ataques mais graves. É o caso do hospital Garcia de Orta.

Entre as imagens publicadas pelo pirata no Twitter, no dia 10 de abril, está uma que mostra um acesso a um dos sites do Hospital Garcia de Orta, de Almada. Dias depois, a 26 de abril, o mesmo hospital foi alvo de um ataque ransomware que encriptou as bases de dados da instituição, e que ficou, até pelo menos ao dia de hoje, a funcionar em situação de contingência, assegurando os registos clínicos dos utentes em suporte de papel.

Os autores do ataque estão a exigir um resgate às autoridades para procederem à desencriptação dos dados do hospital. 

Esta segunda-feira, o sindicato dos Médicos da Zona Sul revelou que os profissionais de saúde do hospital continuam sem acesso ao sistema informático e denunciou que a situação está a colocar em risco os cuidados de saúde aos utentes e a segurança dos clínicos.

O pirata alega que não foi o autor deste último ataque, admitindo que entrou no hospital apenas “para denunciar as fragilidades” do sistema. Este acesso num dos servidores de um grande hospital do país, onde estão dados clínicos, e não só, de milhares de utentes, foi partilhado numa plataforma de hackers, onde estes mostram as suas ações para que outros possam confirmar a veracidade do acesso. No caso do Garcia de Orta, o ataque foi feito através de uma falha no código do website para alterar o aspeto da página, mostrando uma mensagem em que mostrava o logo da Cyberteam, coletivo de hackers de que fez parte. Porém, esta mesma vulnerabilidade permite a um pirata informático aceder a informações de utentes ou até mesmo levar a cabo um ataque ransomware.

 

“Existe uma infinidade de opções de ataque dentro dos servidores. Uma pessoa mal-intencionada pode roubar informações dos utentes e usá-la para venda ou uso próprio como aceder às caixas electrónicas ou mesmo contas bancárias, pode aplicar golpes phishing, injetar ransomware para pedir resgate, utilizar o servidor da vítima para futuros ataques ou minerar bitcoin, o atacante apodera-se do alvo como se fosse ele o proprietário; resumindo o atacante pode manipular a rede por completo e fazer dela o que quiser”, conta o hacker, por escrito, à CNN Portugal.

Segundo o especialista Nuno Mateus Coelho, no caso do hospital de Almada, assim como noutros organismos da Saúde, as consequências podem ser grandes e levar potenciais atacantes a estender os ataques a outras plataformas do Estado.

“Ao entrar nos servidores do Estado, nomeadamente na área da Saúde, pode-se depois ter acesso a muitos outros dados, como por exemplo aos da autoridade tributária, devido às ligações entre as várias entidades”.

Rede de transporte de doentes hackeada

Numa altura em que as ameaças de ciberataques se tornam maiores e mais recorrentes, e que a própria Europa lançou legislação para obrigar os Estados a reforçar a segurança dos sistemas de informação em áreas como a Saúde e Educação, os acessos feitos pelo pirata português são reveladores da fragilidade dos sistemas nacionais.

Zambrius conseguiu entrar também na plataforma do Sistema de Gestão de Transporte de Doentes (SGTD) da ARS Centro, onde é possível atribuir o transporte de doentes e aceder aos dados pessoais dos utentes que requerem o serviço de ambulância, além de outros. Esta terça-feira à tarde, a página plataforma do SGTD da ARS Centro encontrava-se indisponível. Ela é gerida pelo Serviços Partilhados do Ministério da Saúde, entidade responsável por todos os sistemas informáticos da área da Saúde.

Apesar de publicamente ter apenas partilhado uma imagem em que não é possível compreender a que tipo de dados o pirata teve acesso, à CNN Portugal enviou uma outra fotografia onde é possível ver claramente os dados de um utente que pediu uma ambulância. Nessa imagem, que a CNN Portugal desfocou para proteção de identidade, é possível ver o nome, número de utente, a localização de origem, o destino do transporte e quem é a entidade prestadora, entre outras informações.

Hacker teve acesso a plataforma de transporte de doentes da ARS Centro e aos dados dos utentes

“Este hacker demonstra que consegue entrar numa infraestrutura crítica para o Estado. Ele terá entrado por uma pequena falha na plataforma de encomenda de ambulâncias, o que permite criar muitos problemas. É possível indisponibilizar a maior parte dos serviços de transporte e isto pode criar congestionamento num hospital. Levado ao extremo pode, por exemplo, levar a que os hospitais percam capacidade de escoar pacientes”, explica o especialista em cibersegurança Nuno Mateus Coelho.

Fonte de uma entidade prestadora de serviço de transporte a operar na região Centro revelou à CNN Portugal que a plataforma está inacessível desde 3 de maio, e que não conseguem receber faturação relativa ao mês de abril. A mesma fonte garante que várias corporações de bombeiros que prestam o serviço de transporte de doentes na região podem recusar o transporte de doentes, uma vez que não conseguem certificar-se de que estes utentes têm a credencial necessária e, por isso, não têm como saber se vão ser pagos por esses transportes. Além disso, a mesma fonte afirma que não conseguem obter resposta dos vários pedidos de esclarecimento feitos, quer por escrito quer por telefone.

Os especialistas alertam ainda que infraestruturas informáticas públicas como as do SGTD não estão isoladas e encontram-se interligadas com outras estruturas do Estado, como os Serviços Partilhados do Ministério da Saúde (SPMS), à rede de centros de Saúde e a entidades que fazem exames de saúde para os utentes do Estado, entre outros. Esta ligação pode permitir aos piratas informáticos a conseguir aceder a outras plataformas.

Até à data da publicação deste artigo, a CNN Portugal não conseguiu obter qualquer resposta às perguntas enviadas ao Ministério da Saúde acerca das vulnerabilidades apresentadas pelo hacker português.

Página dos serviços financeiros do SNS também foram alvo

Outro dos serviços que aparenta estar vulnerável é uma plataforma do sistema da Administração Central do Sistema de Saúde (ACSS), organismo do Estado responsável pela gestão dos recursos humanos e financeiros do Serviço Nacional de Saúde, e a que o pirata informático português mostra também ter tido acesso. Um ataque a esta rede pode colocar em causa toda a rede informática de gestão financeira do Serviço Nacional de Saúde e do Ministério. Para provar que conseguiu hackear facilmente os servidores desta entidade, na sua página do Twitter, Tomás Pedroso mostra uma imagem no interior de uma plataforma onde se percebe que o acesso, neste caso, foi feito com uma password, e o nome de utilizador “Cyberteam”, o mesmo nome do seu grupo.

“Ele acedeu a informação privilegiada. Haver um site do Ministério da Saúde que permite fazer um acesso qualquer, mesmo que não seja de grande dimensão, é demasiado grave. Não há cuidado e, mais cedo ou mais tarde, os hackers podem conseguir entrar lá. Com os dados dos utilizadores em causa, isso ainda é mais grave”, considera Rui Duro, gestor da empresa de cibersegurança Check Point Software em Portugal.

A página da ACSS atingida encontrava-se esta terça-feira à tarde inoperacional, mostrando apenas uma mensagem do SPMS, que lamenta a inconveniência e refere que o website “encontra-se indisponível estando a ser realizados trabalhos de manutenção”. Contactado pela CNN Portugal, o SPMS recusou-se a prestar esclarecimentos acerca destas denúncias feitas pelo hacker, embora estejam obrigados por lei a notificar o Centro Nacional de Cibersegurança (CNCS) acerca de potenciais incidentes. Porém, também o CNCS ignorou os pedidos de esclarecimento da CNN Portugal sobre o assunto.

Página da ACSS acedida pelo hacker e a plataforma de transporte de doentes da ARS Centro encontram-se fora de serviço

“Apesar de ser um serviço onde não são prestados cuidados médicos, na prática a ACSS é o braço financeiro do Ministério da Saúde onde se processam os salários de todos os profissionais de saúde, todas as horas extra. É uma grande central de compras do Ministério de Saúde”, explicou o líder do sindicato independente dos Médicos, Jorge Roque da Cunha.

Na publicação onde divulga as imagens dos acessos, diz que “em tempos de crise, quando haveria de haver mais segurança é quando há menos”, terminando a publicação com as palavras “apenas por diversão”. Numa conversa por escrito com a CNN Portugal, o pirata informático disse ser capaz de “escalar privilégios enviando códigos maliciosos e obter, visualizar, editar e apagar informações dos bancos de dados alvo, bem como o acesso total aos sistemas de informações e servidores” e alerta que essas mesmas fragilidades podem ser utilizadas para levar ataques ransomware, como os que afetaram o Garcia de Orta ou o Grupo Impresa.

Em 2021, Portugal ocupava a 31.ª posição num grupo de 101 países mais afetados por ataques ransomware, de acordo com um estudo levado a cabo pela empresa de cibersegurança S21sec. Este tipo de ataque consiste no “sequestro” e na encriptação dos dados, que só podem ser recuperados através do pagamento de um resgate.

Apesar de ainda não existirem dados concretos em relação a este ano, a situação não parece estar a melhorar, numa altura em que acontecem sucessivos ataques a empresas e entidades de setores considerados estratégicos ou essenciais. Além dos ataques à Vodafone, ao grupo Impresa, aos laboratórios Germano de Sousa, também recentemente foi a vez dos Serviços Municipalizados de Transportes Urbanos de Coimbra (SMTUC) terem sido alvo de um ataque de ransomware. A empresa acabou mesmo por ver partes dos dados divulgados na deepweb, onde os hackers deram acesso a uma pasta com informação acerca de vencimentos dos funcionários, faltas injustificadas, atestados médicos, corte de remunerações e horas extra, bem como atestados médicos, após a empresa não ter pagado o resgate dos dados.

Plataforma dos exames nacionais pode estar comprometida

A área da Educação foi também alvo de ações do hacker. Uma das plataformas da Direção-Geral da Educação (DGE) que foi hackeada, na Área Escolas, integra tudo o que diz respeito ao Júri Nacional de Exames, o sistema restrito onde é possível ter acesso à informação relativa aos exames nacionais e provas de aferição. Zambrius garante à CNN Portugal que é possível aceder à plataforma que guarda os exames nacionais e que é possível alterar as notas dos mesmos. “Eu tenho acesso a mais de 100 sistemas do Ministério da Educação e de diferentes departamentos”, explica. 

Contactada pela CNN Portugal, fonte oficial do Ministério da Educação confirmou que o Júri Nacional de Exames foi contactado pela Polícia Judiciária acerca da "eventualidade de uma área de informação ter sido comprometida". No entanto, a mesma fonte afirma que a área em questão não contém "dados sensíveis ou pessoais" e que os dados relativos aos exames nacionais não foram comprometidos.

A Polícia Judiciária acredita que o hacker terá conseguido acesso apenas a uma área pública da plataforma Júri de Exames Nacional restrita a professores, onde estes têm acesso a informação de normas e procedimentos relacionados com o decorrer do ano letivo.

Entre as dezenas de organismos alvo está ainda a Universidade do Porto, com o hacker a alterar a imagem das páginas da instituição. Depois de Zambrius entrar e ter colocado uma página a informar que 13 plataformas do serviço deste estabelecimento de Ensino Superior foram hackeadas, os responsáveis pela administração do site da faculdade, sabe a CNN Portugal, corrigiram vulnerabilidades.

Servidores das Forças Armadas continuam vulneráveis

Quando foi condenado pelos crimes cometidos em 2020, um dos alvos de Tomás Pedroso foi a área da Defesa Nacional, com o jovem a aceder indevidamente a vários servidores do Estado-Maior General das Forças Armadas (EMGFA). Agora, dois anos depois, Tomás Pedroso, garante à CNN Portugal que essas mesmas vulnerabilidades continuam a permitir o acesso a diversos servidores a alguns desses mesmos sistemas, sugerindo que, apesar de ter sido apanhado a explorar vulnerabilidades, estas falhas não foram corrigidas. Entre os sites que o jovem diz estarem desprotegidos encontra-se o Instituto Universitário Militar, vários centros de investigação do Ministério da Defesa, do Exército, Marinha e Força Aérea, bem como o servidor que alberga dezenas de sites ligados à Força Aérea portuguesa.

“As vulnerabilidades detetadas nos servidores à responsabilidade do EMGFA no período em causa, em 2020, foram analisadas e tomadas as medidas consideradas adequadas”, afirma a porta-voz do EMGFA, que garante que, para a instituição, a cibersegurança “é uma preocupação constante”, bem como para “quaisquer entidades públicas e privadas que operem no mundo atual, profundamente digitalizado”.

Estes ataques ocorrem pouco tempo depois do Governo ter anunciado que alargou a rede de infraestruturas consideradas críticas e essenciais para o Estado para incluir os hospitais, as redes de comunicação do Governo, os militares e as polícias. O objetivo é proteger tudo o que “é essencial para a manutenção de funções vitais para a sociedade, a saúde, a segurança e o bem-estar económico ou social, e cuja perturbação do funcionamento ou destruição teria um impacto significativo, dada a impossibilidade de continuar a assegurar essas funções”, de acordo com declarações feitas à data pelo secretário-geral dos Sistemas de Informação do Estado, Paulo Vizeu Pinheiro, à CNN Portugal.

Segundo o responsável, em todas as entidades que foram classificadas como críticas, “os operadores terão de desenvolver um plano de segurança, onde constam as medidas preventivas e reativas a adotar para ameaças de diversa natureza como sejam ameaças humanas e intencionais, de que são exemplo o terrorismo, a sabotagem ou um ciberataque, não intencionais, como acidentes, e em particular acidentes industriais, e ameaças naturais, como sismos, inundações e incêndios”.

Os operadores de infraestruturas críticas, de serviços essenciais e prestadores de serviços digitais, tal como a administração pública, estão obrigados por lei a notificar o Centro Nacional de Cibersegurança (CNCS) “logo que possível, dentro do prazo máximo de duas horas após a perda de impacto relevante ou substancial", de acordo com o decreto-lei que regulamento Regime Jurídico da Segurança do Ciberespaço.

Relacionados

Crime e Justiça

Mais Crime e Justiça

Patrocinados