Hackers estrangeiros prejudicam o sistema de e-mail do condado do Texas, levantando questões de segurança eleitoral
O ataque de malware, que enviou falsas respostas de e-mail para eleitores e empresas, destaca uma vulnerabilidade negligenciada em condados que não seguem as melhores práticas de segurança de computador.
Na semana passada, os eleitores e administradores eleitorais que enviaram um e-mail para Leanne Jackson, a secretária do condado rural de Hamilton, no centro do Texas, receberam respostas de aparência burocrática. “Re: resultados oficiais do distrito”, dizia uma linha de assunto. As senhas fornecidas em texto para um arquivo anexado.
Mas Jackson não enviou as mensagens. Em vez disso, eles vieram de endereços de e-mail do Sri Lanka e do Congo, e habilmente esconderam software malicioso dentro de um anexo do Microsoft Word. Quando Jackson soube da falsificação, era tarde demais. Os hackers continuaram a disparar respostas semelhantes. O escritório de Jackson para três pessoas, já lutando com a pandemia do coronavírus, quase paralisou.
“Eu enviei apenas três emails hoje, e foram emails que eu absolutamente tive que enviar”, disse Jackson na sexta-feira. “Estou com medo de” enviar mais, disse ela, por medo de espalhar o malware.
O ataque não relatado anteriormente a Hamilton ilustra uma falha de segurança negligenciada que pode atrapalhar a eleição de novembro: a vulnerabilidade dos sistemas de e-mail nos escritórios do condado que lidam com o processo de votação, desde o registro até a emissão e contagem dos votos. Embora os especialistas tenham alertado repetidamente as autoridades estaduais e locais para seguir as melhores práticas de segurança de computador, várias localidades menores como Hamilton parecem ter tomado poucas medidas de precaução.
Oficiais do Departamento de Segurança Interna dos EUA ajudaram os governos locais nos últimos anos a reforçar sua infraestrutura, após tentativas de invasão russas durante a última eleição presidencial. Mas os computadores desktop usados todos os dias em pequenos condados rurais para enviar e-mails de rotina, redigir documentos oficiais ou analisar planilhas podem ser alvos mais fáceis, em parte porque essas jurisdições podem não ter os recursos ou know-how para atualizar sistemas ou contratar profissionais de segurança familiarizados com o práticas mais recentes.
Uma análise do ProPublica dos sistemas de e-mail do governo municipal em estados indecisos descobriu que dezenas deles dependiam de configurações caseiras ou não seguiam os padrões da indústria. Esses protocolos incluem criptografia para garantir a segurança das senhas de e-mail e medidas que confirmam se as pessoas que enviam e-mails são quem dizem ser. Pelo menos uma dúzia de condados em estados de campo de batalha não usavam e-mail hospedado na nuvem de empresas como Google ou Microsoft. Embora não sejam uma cura para tudo, esses serviços melhoram a proteção contra hacks de e-mail.
Embora o malware usado contra Hamilton provavelmente tenha se originado de hackers estrangeiros, parece ter feito parte de uma campanha generalizada, em vez de uma campanha voltada para sites eleitorais. O malware também não parece ter se espalhado de Hamilton para outros condados do Texas. E como Hamilton é um município chamado off-line, o ataque não afetou os sistemas eleitorais estaduais. Autoridades estaduais e do condado de Hamilton disseram que a intrusão não afetará a capacidade dos eleitores de votar ou fazer a tabulação.
Ainda assim, esses ataques podem abalar a confiança dos eleitores – ou, na pior das hipóteses, derrubar os sistemas no dia das eleições. O tipo de malware implantado contra Hamilton, chamado Emotet, costuma servir como um mecanismo de entrega para ataques de ransomware posteriores, nos quais vigaristas comandam o computador da vítima e congelam seus arquivos até que o resgate seja pago. Autoridades americanas expressaram preocupação de que esses ataques – que paralisaram agências governamentais, departamentos de polícia, escolas e hospitais – possam atrapalhar a eleição.
O Belfer Center for Science and International Affairs de Harvard, especializado em estabelecer as melhores práticas para campanhas políticas e funcionários eleitorais, disse em um relatório de fevereiro de 2018 que os funcionários eleitorais deveriam “criar uma cultura de segurança proativa”. Para campanhas políticas, o grupo sugeriu o uso de e-mail baseado em nuvem e software de escritório, que têm mais probabilidade de neutralizar ameaças como o Emotet antes que cheguem à caixa de entrada do usuário. Especialistas dizem que governos menores com menos recursos devem seguir esse conselho.
O condado de Hamilton tem 8.500 residentes e votou no presidente Donald Trump por uma margem de 6 para 1 em 2016. Quase todos os escritórios do condado, incluindo o de Jackson, estão localizados no tribunal. Durante a pandemia, os residentes entregam a papelada por uma janela rachada no topo da escada do tribunal, ao lado da porta. Uma nota manuscrita colada no vidro diz: “Se não o virmos, grite!”
O escritório de Jackson usa várias contas de e-mail, executa o Microsoft Windows e edita arquivos do Word localmente em seus computadores, ao contrário de um serviço de nuvem como o Google Docs, que tem maior probabilidade de remover códigos maliciosos. Nenhum dos e-mails enviados para Hamilton foi sinalizado como suspeito, de acordo com uma análise da ProPublica. O sistema de e-mail do condado carece de autenticação de dois fatores – uma proteção padrão que envolve um segundo meio de verificar a identidade de um usuário. Ela também não implementou o DMARC, um sistema que ajuda organizações e empresas a confirmar se os e-mails enviados de seus endereços são autênticos.
Em novembro passado, a AT&T Corp. realizou uma auditoria de segurança para o escritório do secretário do condado, um serviço oferecido gratuitamente aos condados pelo secretário de estado do Texas. Jackson disse que a auditoria do ano passado, que ocorreu antes de sua nomeação, não destacou grandes preocupações, mas outra está sendo conduzida este ano. Um representante do gabinete do secretário de estado disse que a auditoria é uma “avaliação completa” da segurança física e cibernética, incluindo o sistema de e-mail, e disse que Hamilton “pode ou não ter” implementado as recomendações.
A ProPublica obteve cinco amostras de malware do Condado de Hamilton e as identificou como Emotet. A empresa de segurança Proofpoint, que examinou as amostras a nosso pedido, rastreou-as em duas campanhas de uma semana da Emotet em meados de setembro, provavelmente envolvendo milhões de anexos de e-mail maliciosos.
O Emotet engana os usuários para que cliquem em mensagens aparentemente plausíveis e sigam instruções falsas que, na realidade, desabilitam as configurações de segurança do Microsoft Office. Se for bem-sucedido, o ardil permite que o malware sequestre as conversas de e-mail da vítima e envie respostas falsas de contas falsas. O malware anexado às mensagens é preparado para um novo conjunto de alvos selecionados automaticamente na caixa de entrada da vítima, espalhando ainda mais a infecção.
Jackson, que é secretária do condado há menos de um ano, disse que não sabia quem clicou nas mensagens falsas. Ela também disse que recebeu pouca ajuda da empresa de TI externa do condado, a BizProtec LLC. Ela disse que notou o que parecia ser e-mails de phishing na segunda-feira, 14 de setembro, e alertou a BizProtec no dia seguinte. Naquela tarde, a BizProtec ligou para garantir a ela que havia corrigido o problema, alterando as senhas de computador dela e do resto do escritório, o que os funcionários do Condado de Hamilton não podem fazer por conta própria. Mas as novas senhas não ajudaram. Ao meio-dia desta segunda-feira passada, uma semana após o início do ataque, sua caixa de entrada tinha mais de 35 e-mails suspeitos – incluindo um que parecia ser do juiz do condado e continha malware.
Os especialistas entrevistados pela ProPublica disseram que é improvável que a alteração de senhas elimine malware. “Você fica de cara feia quando ouve esse conselho”, disse Ryan Kalember, vice-presidente executivo de estratégia de segurança cibernética da Proofpoint. “A menos que você limpe uma infecção, ela continuará voltando. Você pode alterar sua senha um milhão de vezes – isso não importa. ”
O condado de Hamilton não revelou quanto a BizProtec cobra por seus serviços, mas uma proposta de trabalho para o condado vizinho de Bosque mostra que a empresa cobra US $ 95 por hora para chamadas de serviço normais e US $ 125 para chamadas fora do horário comercial normal. BizProtec também parece fazer trabalho de TI para Cooke , Falls , Gonzales , Wheeler , Young , Llano , Eastland e condados de Somervell , mostram os registros de aquisição, que juntos têm mais de 150.000 residentes.
E-mails e mensagens telefônicas deixadas com BizProtec e seu dono, Kerry Hancock, buscando comentários nesta semana, não foram retornadas. Os endereços de e-mail dos condados de Uvalde, Kleberg e Matagorda apareceram em e-mails gerados pelo Emotet enviados a uma lista de funcionários do Texas. No entanto, esses condados disseram que não foram infectados e é possível que seus endereços de e-mail tenham sido retirados das caixas de entrada do condado de Hamilton e usados para espalhar o malware para destinatários de e-mails de Hamilton.
Residentes de Hamilton e proprietários de empresas receberam malware de vários escritórios do condado, de acordo com Jackson. Ainda assim, a principal autoridade eleita do condado, o juiz do condado W. Mark Tynes, disse à ProPublica que não acha que havia um problema.
“Somos falsificados o tempo todo”, disse Tynes, insistindo para um repórter que não tinha motivos para acreditar que o incidente de malware fosse algo sério. “BizProtec me disse que eles estavam cuidando disso”, disse ele. “Não tenho motivos para estar insatisfeito com o BizProtec.”
Informado de que seu próprio endereço de e-mail estava sendo usado para enviar mensagens infectadas, Tynes não pareceu alarmado. “Vou me aposentar no final do meu mandato”, disse ele.
Especialistas em segurança disseram que há muitas razões para preocupação. No ano passado, o Emotet foi um dos precursores mais comuns de ataques de ransomware em grande escala e o provável vetor pelo qual eles invadiram governos municipais, de acordo com um relatório da empresa de segurança cibernética Intel 471.
“Este é um ataque massivamente disseminado, de baixa sofisticação e baixa segmentação, e eles foram hackeados por isso. Se um estado-nação fosse atrás deles ”, disse Mark Arena, CEO da Intel 471,“ eles desmoronariam em um segundo ”.
Uma análise de DHS de maio obtida pela ProPublica descobriu que os cibercriminosos continuam a usar software vinculado ao Emotet para atacar redes dos setores público e privado. Os hackers da Emotet às vezes vendem o acesso a computadores comprometidos para terceiros, disse Roman Huessy, do abuse.ch, um site que rastreia malware. “Esse terceiro pode revender esse acesso mais uma vez e, mais cedo ou mais tarde, acaba com uma gangue de ransomware”, disse Huessy.
Kalember, o executivo da Proofpoint, disse que o grupo de crimes cibernéticos Emotet provavelmente se originou na Rússia, levantando a perspectiva de que os computadores comprometidos pelo malware podem acabar nas mãos da agência de inteligência militar russa, a GRU. “Há toneladas de história de grupos do tipo Emotet sendo coagidos a fazer coisas que o GRU deseja”, disse Kalember. “Se eu estivesse executando uma operação de inteligência, com certeza gostaria de usar [malware] como o Emotet, porque há negação plausível em várias camadas diferentes.”
Este ano, a ProPublica revelou a fragilidade de partes da infraestrutura eleitoral de retalhos da América, incluindo sites desatualizados que publicam resultados de votação. Descobrimos que pelo menos 50 sites relacionados a eleições em condados e cidades que votaram na Superterça eram particularmente vulneráveis a ataques cibernéticos.
A partir de junho de 2019, o Texas exige que todos os funcionários eleitos e funcionários do condado com acesso aos sistemas de computador do governo local sejam submetidos a treinamento de segurança cibernética todos os anos. A Texas Association of Counties, que representa os funcionários do condado, oferece um curso gratuito que atende aos requisitos do estado. Jody Seaborn, porta-voz da associação, disse não ter ouvido falar sobre o episódio de malware no Condado de Hamilton e que o grupo “incentiva fortemente” os condados a adotarem as melhores práticas de segurança cibernética. Um representante do gabinete do secretário de estado disse que os funcionários do condado de Hamilton recentemente renovaram seu treinamento de segurança, conforme exigido anualmente até 1º de setembro.
Jackson disse que trabalha 60 horas por semana, geralmente voltando ao escritório após o jantar. Ela disse que não tem tempo para ser também a equipe de TI de seu departamento e não saberia como fazer se quisesse.
Ela continua planejando novembro, tendo descansado um pouco depois de organizar o segundo turno em julho. “Ainda estou tentando dominar as eleições”, disse ela. “Como vou fazer isso se não consigo usar meu e-mail?”
