)
No último dia 14 de novembro, o Grupo Everest anunciou o comprometimento dos sistemas da SA Exploration, que presta serviços à Petrobras. Em sua página na Dark Web, os cibercriminosos alegam possuir dois conjuntos de dados, que incluiriam informações sensíveis sobre a operação das empresas. Na noite desta segunda-feira (17), eles publicaram um contador acompanhado do aviso: “um representante da companhia deve seguir as instruções para nos contatar antes que o prazo expire”. Ao TecMundo, a Petrobras nega invasão de seus sistemas internos.
Em mais detalhes, o suposto vazamento é composto por dois pacotes: há uma base de dados de 90 GB apenas da Petrobras e outra maior, de 176 GB, também incluindo dados da SA Exploration. A descrição de ambos os anúncios é similar, com o Grupo Everest detalhando as informações obtidas e imagens anexadas.
Nossos vídeos em destaque
Conforme aponta o título de uma das publicações, parte do material ligado à Petrobras estaria relacionado a pesquisas sísmicas na Bacia de Campos, localizada aproximadamente a 100 km da cidade de Campos dos Goytacazes, no interior do Rio de Janeiro. Nesse contexto, é fato relevante que a empresa anunciou a descoberta de petróleo na região ainda ontem (17), mesmo dia em que o prazo do Grupo Everest foi divulgado.
)
O TecMundo Security entrou em contato com a Petrobras, que negou uma invasão aos seus sistemas, mas confirmou a “uma ocorrência pontual de exposição não autorizada de informações” de uma empresa contratada – no caso, a SA Exploration. Também falamos com o Grupo Everest por meio do aplicativo qTox, utilizando o endereço compartilhado em sua página da Dark Web. Você confere o posicionamento exclusivo da empresa e a entrevista com o grupo no texto abaixo.
Grupo Everest alega possuir dados capazes de prejudicar Petrobras
Segundo as publicações, o Grupo Everest possui: “dados brutos de navegação sísmica, incluindo coordenadas de navios, posições de nós OBN, precisão do DGPS e dados de controle de qualidade das linhas de levantamento.” Além disso, o pacote ainda incluiria relatórios e detalhes técnicos, conforme descrito abaixo:
- Relatórios sobre disparos e direções das fontes;
- Profundidades de hidrofone e das fontes;
- Pressões de disparo;
- Metadados sobre equipamentos e configurações de nós;
- Relatórios iniciais de controle de qualidade sobre o status do sistema e precisão das medições;
- Arquivos PDF processados que resumem o progresso do levantamento, resultados preliminares de controle de qualidade e conclusões linha a linha;
- Distâncias e direções entre fontes e nós;
- Deslocamentos das fontes ao longo e através das linhas;
- Parâmetros de movimento do navio;
- Orientação dos equipamentos.
Junto da descrição técnica, o Grupo Everest também alertou para a potencial gravidade dos dados supostamente vazados: “Se esses dados vazarem cedo no projeto, podem causar sérias perdas financeiras para o contratante,” alegam, “Além disso, concorrentes que tiverem acesso aos dados poderiam identificar a precisão do posicionamento, configuração dos equipamentos e padrões de movimento dos navios, permitindo replicar ou otimizar modelos semelhantes e reduzir a vantagem estratégica da empresa.”
)
Vazamento dos dados foi feito com credenciais da SA Exploration, alega Grupo Everest
O TecMundo Security entrou em contato com o grupo cibercriminoso Everest para entender suas motivações além da obviedade financeira, tentar traçar um potencial modus operandi e descobrir possíveis informações sobre a vulnerabilidades exploradas.
O Grupo Everest, quando perguntado sobre a diferença entre os arquivos supostamente roubados da Petrobras e SA Exploration, se limitou a responder que “os volumes totais são diferentes”.
Tratando de qual vulnerabilidade foi explorada para realizar o ataque, o Grupo Everest afirmou que entrou no sistema via comprometimento de credenciais. No caso, potencialmente vemos um ataque de credential stuffing, em que criminosos armazenam e utilizam senhas corporativas vazadas.
)
Ao serem questionados sobre os valores exigidos para o resgate dos dados, o Grupo Everest também não elaborou e apenas respondeu: “O comprometimento ocorreu com as credenciais da SA Exploration. Ninguém entrou em contato com a gente, então o valor ainda não foi anunciado. A Petrobras é dona dos arquivos. Nós não criptografamos os dados”.
Petrobras nega invasão de sistemas, mas confirma exposição de dados
Após a publicação desta reportagem, a Petrobras enviou um posicionamento oficial ao TecMundo. Leia na íntegra, a seguir:
"A Petrobras esclarece que não houve qualquer registro de acesso não autorizado ou incidente de segurança em seus sistemas internos. Todos os dados sensíveis e estratégicos da companhia permanecem seguros, em conformidade com os mais rigorosos padrões de segurança da informação.
A companhia foi comunicada sobre uma ocorrência pontual de exposição não autorizada de informações, a partir do ambiente de uma prestadora de serviços de exploração, que não compromete as operações, clientes ou colaboradores da Petrobras. A Petrobras está acompanhando o caso junto à fornecedora, reforçando orientações de segurança e monitoramento.
Atenciosamente, Gerência de Imprensa
Petrobras"
Suposto ataque do Grupo Everest está ligado ao recente anúncio da Petrobras?
Nesta segunda-feira (17), a Petrobras anunciou o descobrimento de petróleo na Bacia de Campos, a cerca de 100 km da cidade de Campos dos Goytacazes, Rio de Janeiro. Com 734 metros de profundidade, o depósito está localizado na camada pós-sal e é parte do bloco Sudoeste da Tartaruga Verde – região exclusivamente explorada pela empresa.
Até o momento, as amostras descobertas e retiradas do poço exploratório (4-BRSA-1403D-RJS) seguem para análise nos laboratórios da Petrobras, com objetivo de verificar sua qualidade.
Na mesma data, conforme citado anteriormente no texto, o Grupo Everest iniciou o contador contra a Petrobras e a SA Exploration – provavelmente na expectativa do pagamento de um resgate. Em sua página da Dark Web, uma das publicações é justamente intitulada “Dados de pesquisa sísmica 3D e 4D da Bacia de Campos da Petrobras” em tradução livre para o português. Nesse contexto, é possível afirmar uma correlação direta?
)
Apesar da coincidência, é improvável que os eventos tenham relação direta. Para começar, o anúncio do comprometimento de dados, tecnicamente, ocorreu ainda no último dia 14 de novembro, conforme exposto pelo Grupo Everest – enquanto apenas o contador foi iniciado na noite de ontem (17). Além disso, a referida Bacia de Campos é uma região extensa, com mais de 100 mil metros quadrados e 800 poços exploratórios.
Como é responsável por mais de 80% da produção de petróleo nacional, é apenas natural que a região da Bacia de Campos receba um número elevado de pesquisa – que podem ter sido afetadas pelo vazamento. Especulando, já que não há confirmação do Grupo Everest ou Petrobras, é possível que o título tenha sido escolhido especificamente para aumentar o senso de gravidade da publicação, como um blefe.
O TecMundo Security seguirá acompanhando o caso e atualizará a reportagem com quaisquer novas informações.
Como fazer denúncias ao TecMundo Security
Pesquisadores, hackers e analistas de segurança podem enviar relatos ou denúncias ao TecMundo Security pelos canais abaixo:
)
)
)
)
)
)
)
)
)
)
)
)
)
)
)
)
)
)
)
