O Banco Nacional de Medidas Penais e Prisões (BNMP), gerido pelo Conselho Nacional de Justiça (CNJ), sofreu uma suposta invasão cibernética na terça-feira (20). Cibercriminosos colocaram no sistema mandados de prisão falsificados para o presidente Luiz Inácio Lula da Silva (PT) e para o ministro do Supremo Tribunal Federal (STF), Alexandre de Moraes.
O TecMundo entrou em contato com o CNJ, que agradeceu a notificação e repassou ao setor responsável do Conselho — comentários extras, como caminhos cibernéticos tomados para a exploração, não foram entregues. Após o alerta, os mandados foram retirados do sistema.
Na terça-feira (20), o TecMundo recebeu um email anônimo sobre o caso. Nele, o texto alertava que o sistema do CNJ possuía os dois mandados de prisão em aberto.
Em ambos os mandados, é possível acompanhar dados pessoais e órgão expedidor, além da assinatura do grupo cibercriminoso responsável pela alteração. Ao que parece, a modificação foi realizada sobre mandados de prisão previamente cadastrados.
Como a invasão ao CNJ pode ter acontecido?
Em um cenário exploratório, o TecMundo conversou com o especialista de cibersegurança ofensiva Renato Borbolla para entender um pouco mais sobre como um mandado falso foi colocado no sistema — ou alterado.
“O sistema BNMP, até então, operava sob um modelo de confiança. Não há uma camada de validação lógica que dissesse: ‘Espere, o Ministro Alexandre de Moraes está emitindo um mandado de prisão contra si mesmo?’”, comenta Borbolla. “O sistema validou da seguinte forma: caso o usuário possua acesso ao sistema e tenha efetuado o upload de um documento minimamente preenchido, ele deverá aceitá-lo”.
O especialista relata que os recentes incidentes em órgãos públicos tiveram origem em diversos fatores, incluindo credenciais vazadas, ameaças internas e invasões sistêmicas. Também, adiciona que sistemas bem configurados, atualizados e com infraestrutura robusta minimizam significativamente a superfície de ataque e mitigam o risco de invasões de grande escala.
“Esse tipo de ataque é bastante comum, em que criminosos divulgam em diversos canais, arquivos contendo credenciais de diferentes serviços”, relata. “É provável que um computador de um servidor do Banco Nacional de Desenvolvimento Econômico e Social (BNDES) tenha sido comprometido por algum malware da categoria infostealer, permitindo que o atacante assumisse digitalmente o controle do computador e, consequentemente, publicasse o mandado falso”.
Outro cenário possível seria o simples vazamento de uma credencial de acesso. Sem um segundo fator de autenticação no sistema, qualquer pessoa em posse do login poderia entrar no sistema.