Agência de cibersegurança de Israel afirma que não houve violação após alta autoridade infectar seu computador pessoal com malware

O Diretório Nacional de Segurança Cibernética de Israel afirmou que não houve violação de sua rede depois que senhas pertencentes a um funcionário sênior da agência foram roubadas de seu computador doméstico este ano e publicadas online.

Um pesquisador de segurança, que pediu para não ser identificado, disse ao TechCrunch que recentemente encontrou as credenciais roubadas do funcionário do INCD postadas em meados de junho em um grupo público do Telegram conhecido por compartilhar caches de senhas, chaves de carteiras criptográficas e outros dados sensíveis roubados de computadores infectados com o malware RedLine, que rouba senhas.

O TechCrunch viu a postagem pública do Telegram contendo o cache, que estava sendo divulgado como um arquivo de arquivo não descritivo contendo as credenciais de centenas de vítimas, incluindo o funcionário sênior do INCD.

O cache continha credenciais salvas, números de cartão de crédito e senhas preenchidas automaticamente do computador doméstico do funcionário, incluindo senhas relacionadas ao trabalho do funcionário sênior no INCD, como serviços de detecção de ameaças e outros sistemas internos do governo israelense.

Uma captura de tela da área de trabalho do computador doméstico do funcionário, feita no momento da violação e incluída no cache de credenciais roubadas, mostra o funcionário do INCD infectando acidentalmente seu computador doméstico com o malware RedLine. A captura de tela apresenta um destaque de uma máquina virtual executando o FlareVM, um software personalizado usado por profissionais de segurança cibernética para engenharia reversa e análise de malware, com uma amostra do RedLine na área de trabalho da máquina virtual.

O RedLine é um malware notório que rouba senhas, o qual foi atribuído ao hack do Uber no ano passado e ao roubo de detalhes de login de operadores do Worldcoin Orb.

O TechCrunch não está divulgando o nome do funcionário do INCD, que não respondeu a um pedido de comentário. O INCD é responsável pela defesa do ciberespaço de Israel contra ataques cibernéticos.

Ao ser questionado sobre o incidente, o INCD disse que o funcionário da agência “relatou de acordo com nossos protocolos de segurança estabelecidos”, mas não informou quando, ou quanto tempo depois do incidente, foi relatado.

“Após o evento, o INCD iniciou uma investigação minuciosa que confirmou que não houve violação de nossa rede bem segura”, disse Libi Oz, porta-voz do INCD.

“O incidente ocorreu em um computador privado, desconectado e isolado da rede da organização, garantindo uma separação clara entre espaços digitais pessoais e relacionados ao trabalho, como exigido. Além disso, não havia informações sensíveis armazenadas nele”, acrescentou o porta-voz.

O INCD afirmou que “rotineiramente aplica um arcabouço de segurança multicamadas na rede organizacional, que inclui autenticação de múltiplos fatores e outras medidas, para prevenir e minimizar o impacto potencial de incidentes desse tipo”.