Ciberataque à Vodafone Portugal

O ciberataque à Vodafone foi um ciberataque de grandes dimensões iniciado a 7 de fevereiro de 2022 contra a operadora de telecomunicações portuguesa Vodafone Portugal. Provocou várias falhas nos sistemas em Portugal e na rede móvel, tanto nacional como internacionalmente, que levou a grandes quebras no serviço dos seus quase 4 milhões de clientes. Afetou também serviços essenciais, nomeadamente serviços de prestação de socorro, como os bombeiros, o INEM e até alguns hospitais. Afetou também, quase na totalidade, a rede multibanco, gerida pela SIBS.

É considerado um ataque histórico e inédito, pela dimensão e capacidade devastadora, colocando offline uma infraestrutura crítica que suporta as comunicações de quase metade da população portuguesa. O ciberataque permanece em investigação pela Polícia Judiciária, não havendo ainda nenhum indício de autores e motivo do ataque. A 10 de fevereiro do mesmo ano, a Vodafone Portugal afirmou que já tinham sido recuperados e que estavam operacionais quase todos os serviços que a operadora disponibiliza, contudo com algumas limitações e instabilidade.

Antecedentes

O ciberataque ocorreu numa sucessão de ataques informáticos em Portugal, que incluem ataques ao grupo Impresa, ao Parlamento e à Cofina Media, todos em investigação pela Polícia Judiciária.^[1] A 10 de fevereiro de 2022, a Trust In News, dona da revista Visão, foi também alvo de uma tentativa de ataque. Em alguns casos, os ataques têm levado à destruição de dados e à paralização de serviços.^[2]

Ataque

O ataque causou um incidente crítico cerca das 21h de 7 de fevereiro de 2022, afetando parte dos serviços de televisão, a totalidade das comunicações móveis, e o apoio a clientes. Não foram afetados o serviço de internet fixa, e parte dos clientes de televisão.^[3][4][5]

Mário Vaz, CEO da Vodafone Portugal, designou a operação como “ato criminoso” com o objectivo de tornar a rede indisponível.^[3] Foi um ataque ao core do negócio, visando incapacitar a rede móvel e o envio de SMS e comunicação de dados, sistemas e aplicações de baixo nível que suportam as redes. Os sistemas de suporte a faturação ou clientes, e até o próprio site continuaram online.^[6]

Impacto

O ciberataque foi considerado histórico e inédito, pela dimensão e capacidade devastadora, colocando offline uma infraestrutura crítica que suporta as comunicações de quatro milhões de clientes, assim como pelas suas características, que fogem às tendências relacionadas com a obtenção de resultados financeiros por parte dos atacantes, que habitualmente fazem pedidos de resgate para os dados cifrados.^[6]

Os cerca de quatro milhões de clientes móveis da Vodafone Portugal foram afetados, com o serviço interrompido na sua totalidade durante cerca de uma hora, incluindo a ausência de serviços de voz. O número foi sendo reduzido à medida que alguns serviços foram recuperados.^[4] Um conjunto limitado de clientes empresariais do Reino Unido foi igualmente afectado, uma vez que o serviço é prestado em Portugal, em particular o serviço One Net, uma central telefónica virtual que permite ligações entre colaboradores, que foi suspenso de modo a garantir a utilização do serviço base de voz.^[4]

Várias corporações de bombeiros que usam a Vodafone como operadora ficaram sem comunicações. A partir das 21h de 7 de fevereiro, as comunicações em casos de emergência passaram a ser asseguradas pela rede SIRESP na prestação de socorro, provocando um aumento do tempo de reação. No entanto, segundo António Nunes, presidente da Liga dos Bombeiros Portugueses, ninguém terá ficado sem assistência.^[3]

Os ATM da rede Multibanco com rede de interligação à rede móvel de dados ficaram indisponíveis até à meia-noite de 7 de fevereiro, altura em que foi reposto o serviço de dados 3G. A SIBS, dona da marca Multibanco, é cliente Vodafone, sendo a rede suportada na rede da Vodafone.^[3] Na manhã de 8 de fevereiro ainda foram registados problemas de funcionamento nos ATM que usam rede de interligação a rede móvel de dados (4G). O problema foi resolvido de forma temporária com a ligação do 3G, mantendo-se a instabilidade relacionada com a capacidade do 3G mantém-se.^[7]

O Instituto Nacional de Emergência Médica (INEM), afetado pelos constrangimentos resultantes do ataque, ativou de imediato o seu plano de contingência, privilegiando o acionamento de meios de emergência através da rede SIRESP, e recorrendo aos sistemas redundantes de que dispõe em termos de telecomunicações móveis, garantindo o Sistema Integrado de Emergência Médica. Segundo o INEM, todas as chamadas de emergência transferidas pelas Centrais 112, geridas pela PSP, para os Centros de Orientação de Doentes Urgentes, do INEM sempre estiveram asseguradas a 100%, não se verificando qualquer situação anómala.^[3]

Registaram-se algumas anomalias no que diz respeito ao contacto de pacientes por parte de hospitais, sendo um dos afetados o Hospital de Matosinhos, que esteve impedido de enviar mensagens automáticas com convocatórias para consultas e exames e resultados de testes à covid-19. O hospital de Guimarães ficou igualmente sem central telefónica, disponibilizando três números para urgências.^[3]

No IPO Lisboa registaram-se também dificuldades em realizar chamadas para doentes no exterior, tendo sido o contacto realizado através de email. As ligações provenientes do exterior continuaram disponíveis.^[3]

A rede de observação do Instituto Português do Mar e da Atmosfera (IPMA) também foi afetada, ficando impedida de disponibilizar informação em tempo real, e levando o IPMA a acionar os planos de contingência de modo a garantir a operacionalidade dos sistemas e assegurar os serviços mínimos, até a situação ser reposta. As comunicações de dados meteorológicos relacionados com o sistema nacional de proteção civil permaneceram salvaguardadas por um sistema de redundância, sendo condicionada a comunicação telefónica.^[3]

A EMEL relatou problemas inesperados nas configurações das comunicações de dados entre as estações e o sistema GIRA, causando o adiamento da abertura das novas estações nas freguesias do Lumiar e Olivais para 10 de fevereiro.^[3]

Grande parte da rede de telefones fixos da própria Polícia Judiciária, que está a investigar o ataque, foi afetada, deixando de funcionar, incluindo os serviços de piquete, que asseguram o atendimento ao público e recebimento de queixas.^[3]

Segundo a Vodafone, não há indício de qualquer invasão, extração ou corrupção de quaisquer dados dos clientes.^[8][9]

Recuperação

O serviço de comunicações de voz através da rede 2G foi o primeiro a ser recuperado, cerca das 22h de 7 de fevereiro, de modo a permitir situações de emergência. A prioridade seguinte da empresa foi recuperar um serviço mínimo de dados móveis, tendo recuperado os dados sobre rede 3G perto da meia-noite. A primeira fase de recuperação iniciou-se na Região Autónoma da Madeira, estendendo-se ao restante território nacional durante a madrugada. Na manhã de 8 de fevereiro foi recuperado o serviço básico de SMS ponto a ponto, permanecendo o serviço de Internet fixa disponível durante todo este período.^[4]

A 8 de fevereiro, havia sido iniciado o restabelecimento do serviço 4G, inicialmente condicionado a zonas restritas do país, e com limitações, como a da velocidade máxima permitida.^[3]

O dia 9 de fevereiro foi dedicado à recuperação dos serviços de voz de rede fixa.^[8]

A 10 de fevereiro, a quase totalidade dos serviços havia sido restabelecida, havendo um número reduzido de clientes afetado. O serviço móvel e de 4G havia sido restabelecido, embora com limitações. Embora o serviço de televisão não tivesse sido afetado pelo ataque, foi registada alguma instabilidade relacionada com os trabalhos de recuperação.^[8]

O dia 11 de fevereiro foi especialmente dedicado ao restabelecimento da totalidade das funcionalidades especificas para clientes empresariais, que está praticamente concluída.^[6]

Investigação

Está em curso uma investigação de grande envergadura, levada a cabo pela Unidade de Combate ao Cibercrime (UNC3T) da Polícia Judiciária (PJ),^[1] envolvendo as suas congéneres internacionais.^[10] Uma das linhas de investigação é um possível cenário de espionagem industrial.^[1]

Segundo a PJ, os autores do ataque são um grupo profissional, e não por hackers amadores, tratando-se de um crime tendencialmente muito técnico dependente de informação especializada. A suspeita de poder tratar-se de um ciberataque russo no quadro da tensão entre Moscovo e o Ocidente foi, entretanto, afastada.^[1]

A hipótese de estar ligado ao grupo Lapsus$, que no final de janeiro de 2022 reivindicou o ataque cibernético à Impresa, assim como a ligação a outros incidentes semelhantes recentes no país, não foi excluída.^[1]

Hacker russo

Uma das pistas que está sendo seguida pela PJ refere-se a um hacker russo, que a 24 de janeiro terá anunciado no fórum russo Exploit.in que estava vender o acesso ilegal ao sistema informático de uma empresa de telecomunicações portuguesa, com receitas entre um a quatro milhões de euros, colocando como ponto de partida 2.500 dólares. A situação foi detetada pela empresa de ciberinteligência norte-americana Mandiant.^[2]

Referências

1. Cabrita, Felícia; Reis, Marta F. (9 de fevereiro de 2022). «Ataque à Vodafone. Espionagem industrial é uma das pistas». ionline. Consultado em 10 de fevereiro de 2022 
2. Francisca, Andrade (11 de fevereiro de 2022). «Autoridades seguem pista de hacker russo na investigação do ataque à Vodafone». SAPO Tek. Consultado em 11 de fevereiro de 2022 
3. Tiago, Mariana Marques (8 de fevereiro de 2022). «Ataque à Vodafone. O que foi afectado e o que já está resolvido?». PÚBLICO. Consultado em 10 de fevereiro de 2022 
4. Mendes, Filipa Almeida (8 de fevereiro de 2022). «Objectivo do "acto criminoso" era deixar rede da Vodafone indisponível. Empresa trabalha para repor serviços essenciais para INEM, bombeiros e bancos». PÚBLICO. Consultado em 11 de fevereiro de 2022 
5. Greig, Jonathan. «Vodafone Portugal hit with cyberattack affecting 4G/5G network, TV, SMS services». ZDNet (em inglês). Consultado em 11 de fevereiro de 2022 
6. Caçador, Fátima (9 de fevereiro de 2022). «Devastador, ato terrorista ou um teste para algo mais perigoso? O dia em que o ataque à Vodafone deixou Portugal em alerta». SAPO Tek. Consultado em 11 de fevereiro de 2022 
7. Crisóstomo, Pedro (8 de fevereiro de 2022). «Ataque à Vodafone afectou a rede multibanco por causa do 4G». PÚBLICO. Consultado em 11 de fevereiro de 2022 
8. «Vodafone "não tem indício de invasão, extração ou corrupção de dados dos clientes"». SIC Notícias. 10 de fevereiro de 2022. Consultado em 11 de fevereiro de 2022 
9. Reuters (8 de fevereiro de 2022). «Vodafone Portugal hit by hackers, says no client data breach». Reuters (em inglês). Consultado em 11 de fevereiro de 2022 
10. EFE (8 de fevereiro de 2022). «Un ciberataque a Vodafone Portugal deja sin servicio a 4 millones de clientes». ElDiario.es (em espanhol). Consultado em 11 de fevereiro de 2022 

•   Portal de Portugal