Quando tudo indicava que o fim de semana ia ser calmo e eu passeava pela Beira de Portugal com a família, eis que salto da cadeira do carro só com um pop-up no meu ecrã de telefone. Olho para o meu Twitter e em segundos franzo as sobrancelhas e recordo-me do lema que li algures há uns anos que dizia: “é tempo de ir para a Cloud”. Com a família a dormir, paro na estação de serviço para olhar para o telefone e digo em voz viva e apenas para mim: Mas o que é isto? Eis o ataque do ano ou quiçá mesmo dos últimos anos.
Clico na notificação, guardo as alegadas provas e rapidamente esta desaparece e é substituída por uma mensagem a dizer “apagado por agora, será repostado mais tarde”.
Sem grandes delongas, e de acordo com as redes sociais do grupo de piratas informáticos Lapsus, a Microsoft foi alegadamente pirateada por este grupo. Quando digo que alegadamente a Microsoft foi pirateada não o digo como um todo, mas sim numa parte pequena, mas não menos importante por ser uma conta de DevOps na Azure da própria Microsoft. Pequena em ações, mas colossal em repercussões.
Figura 1 - Fonte: Grupo de Telegram do Lapsus
Segundo as imagens partilhadas, e se estas forem de facto verdade, esta é uma conta importantíssima da Microsoft, uma de muitas é certo, mas aquela onde estão projetos extremamente importantes como o Bing e o Cortana. Se isto vier a ser comprovado nem sei bem o que escrever pois a Microsoft tem uma estratégia pública de migração para a Cloud, é um líder tecnológico neste sector ou em quase todos os sectores onde se envolve, tem no seu portfólio a segunda maior entidade de serviços Cloud do mundo, a Azure, sendo que esta detém 20% da cota de mercado mundial num negócio que representa na globalidade 300 mil milhões de dólares.
Figura 2 - Fonte: Grupo de Telegram do Lapsus
O dano é impossível de calcular no que respeita ao prestígio desta empresa que luta taco-a-taco com a AWS e que colocou no serviço de computação na nuvem as suas esperanças de receita para os próximos anos.
Olhando com cuidado para os detalhes na imagem desta possível fuga que transcrevo abaixo, há logo uma série de nomes que se destacam pelo tamanho do projeto, pela indicação da disponibilidade da totalidade do código fonte e, num caso em particular e na minha humilde opinião crítica, a assistente pessoal da Microsoft, a Cortana, esse elemento sempre à escuta dos comandos de voz.
- Bing_STC-SV: Project contains the source code for various Bing engineering projects in the Silicon Valley office
- Bing_Test_Agile: This is the test project for Bing using the Agile template.
- Bing_UX: Bing.com frontend (SNR) and other related UX codebase
- Bing Cubator
- Bing Source Code: The central project for storing all of Bing Source Code.
- Compliance_Engineering: WebXT Compliance Engineering team project.
- Cortana: The main Cortana project, its related code, and work items.
- Creative Authoring
Toda esta lista contém projetos que se foram violados de facto ou se viram o seu código fonte exposto, então é incalculável o dano provocado à Microsoft, ao futuro da estratégia Cloud desta empresa, aos seus utilizadores, aos colaboradores que perderam esta conta, e acima de tudo, é um murro no estômago de uma das maiores empresas do mundo que tem o objetivo de levar para a Cloud o maior número de empresas do mundo que conseguir.
Mas quem é este grupo Lapsus e o que querem? Para nós eram desconhecidos até terem indicado ser responsáveis pelo ataque à Impresa e, mais recentemente, terem declarado ser os autores do ataque à Vodafone. São um grupo de ransomware, um dos muitos que agora existem mundo fora, com ligações em várias latitudes, mas acima de tudo e agora mais recentemente sabido, com hostes imensas na Rússia.
Este grupo tem como objetivo primário o roubo de código-fonte e dos certificados digitais desse código, criando um pesadelo de proporções inimagináveis para as entidades que perdem este código e para os clientes destas. No caso da Microsoft, se a componente de cofre e a componente de certificados digitais em cofre (HSM) foram corrompidas ou capturadas, então estamos perante algo que pode matar qualquer um dos projetos da lista acima, como pode ser o trampolim e salto para centenas de outros ataques globo fora. Se a vossa pergunta neste momento é “como?”, de uma forma isolada das muitas possíveis destaco a possibilidade de assinar digitalmente o código do ransomware deles para deixar de ser um estranho aos sistemas que infeta, debelando as parcas defesas que encontrar, como foi feito no ataque à Nvidia ao terem comprometido dois certificados de assinatura.
Este é provavelmente um grupo que está a aglomerar vários do que existem e que operam impunemente a partir do território russo e não só, mas que rapidamente se mostraram como perigosos e a ser temidos. O Lapsus começa a mostrar ao que vem e a mostrar que toda a indústria da computação é um autêntico queijo suíço em dois pontos, na infraestrutura KPI e no conhecimento efetivo de segurança informática.
É a reboque e talvez atrás da cortina de fumo que é a guerra na Ucrânia que este grupo se revela na origem e objetivo, face aos alvos que escolhe, à complexidade dos seus ataques, ao que procurar extrair e procura explorar e acima de tudo pela maneira como escolhe relatar em tom de brincadeira o que anda a fazer. Engane-se quem pensa que são amadores ou que são simples crianças. Está enganado quem achar que este grupo é civil. Está enganado quem achar que isto parou por aqui pois na lista acima está o código fonte do Bing e como sabemos é o companheiro do Google e ambos sabem muito das vidas de todos.
