O ciberataque à Vodafone foi umciberataque de grandes dimensões iniciado a7 de fevereiro de2022 contra a operadora detelecomunicações portuguesaVodafone Portugal. Provocou várias falhas nos sistemas emPortugal e na rede móvel, tanto nacional como internacionalmente, que levou a grandes quebras no serviço dos seus quase 4 milhões de clientes. Afetou também serviços essenciais, nomeadamente serviços de prestação de socorro, como osbombeiros, oINEM e até alguns hospitais. Afetou também, quase na totalidade, a redemultibanco, gerida pelaSIBS.
É considerado um ataque histórico e inédito, pela dimensão e capacidade devastadora, colocando offline uma infraestrutura crítica que suporta as comunicações de quase metade da população portuguesa. O ciberataque permanece em investigação pelaPolícia Judiciária, não havendo ainda nenhum indício de autores e motivo do ataque. A 10 de fevereiro do mesmo ano, a Vodafone Portugal afirmou que já tinham sido recuperados e que estavam operacionais quase todos os serviços que a operadora disponibiliza, contudo com algumas limitações e instabilidade.
Ociberataque ocorreu numa sucessão de ataques informáticos em Portugal, que incluem ataques ao grupoImpresa, aoParlamento e àCofina Media, todos em investigação pelaPolícia Judiciária.[1] A 10 de fevereiro de 2022, aTrust In News, dona da revistaVisão, foi também alvo de uma tentativa de ataque. Em alguns casos, os ataques têm levado à destruição de dados e à paralisação de serviços.[2]
O ataque causou um incidente crítico cerca das 21h de 7 de fevereiro de 2022, afetando parte dos serviços detelevisão, a totalidade das comunicações móveis, e o apoio a clientes. Não foram afetados o serviço deinternet fixa, e parte dos clientes de televisão.[3][4][5]
Mário Vaz, CEO da Vodafone Portugal, designou a operação como “ato criminoso” com o objectivo de tornar a rede indisponível.[3] Foi um ataque aocore do negócio, visando incapacitar a rede móvel e o envio deSMS e comunicação de dados, sistemas e aplicações de baixo nível que suportam as redes. Os sistemas de suporte a faturação ou clientes, e até o próprio site continuaram online.[6]
O ciberataque foi considerado histórico e inédito, pela dimensão e capacidade devastadora, colocando offline uma infraestrutura crítica que suporta as comunicações de quatro milhões de clientes, assim como pelas suas características, que fogem às tendências relacionadas com a obtenção de resultados financeiros por parte dos atacantes, que habitualmente fazem pedidos deresgate para os dadoscifrados.[6]
Os cerca de quatro milhões de clientesmóveis daVodafone Portugal foram afetados, com o serviço interrompido na sua totalidade durante cerca de uma hora, incluindo a ausência de serviços de voz. O número foi sendo reduzido à medida que alguns serviços foram recuperados.[4] Um conjunto limitado de clientes empresariais doReino Unido foi igualmente afectado, uma vez que o serviço é prestado em Portugal, em particular o serviçoOne Net, uma central telefónica virtual que permite ligações entre colaboradores, que foi suspenso de modo a garantir a utilização do serviço base de voz.[4]
Várias corporações de bombeiros que usam a Vodafone como operadora ficaram sem comunicações. A partir das 21h de 7 de fevereiro, as comunicações em casos deemergência passaram a ser asseguradas pela redeSIRESP na prestação de socorro, provocando um aumento do tempo de reação. No entanto, segundo António Nunes, presidente daLiga dos Bombeiros Portugueses, ninguém terá ficado sem assistência.[3]
OsATM da redeMultibanco com rede de interligação à rede móvel de dados ficaram indisponíveis até à meia-noite de 7 de fevereiro, altura em que foi reposto o serviço de dados3G. ASIBS, dona da marca Multibanco, é cliente Vodafone, sendo a rede suportada na rede da Vodafone.[3] Na manhã de 8 de fevereiro ainda foram registados problemas de funcionamento nos ATM que usam rede de interligação a rede móvel de dados (4G). O problema foi resolvido de forma temporária com a ligação do 3G, mantendo-se a instabilidade relacionada com a capacidade do 3G mantém-se.[7]
OInstituto Nacional de Emergência Médica (INEM), afetado pelos constrangimentos resultantes do ataque, ativou de imediato o seuplano de contingência, privilegiando o acionamento de meios de emergência através da rede SIRESP, e recorrendo aos sistemas redundantes de que dispõe em termos de telecomunicações móveis, garantindo oSistema Integrado de Emergência Médica. Segundo o INEM, todas as chamadas de emergência transferidas pelas Centrais112, geridas pelaPSP, para osCentros de Orientação de Doentes Urgentes, do INEM sempre estiveram asseguradas a 100%, não se verificando qualquer situação anómala.[3]
Registaram-se algumas anomalias no que diz respeito ao contacto de pacientes por parte de hospitais, sendo um dos afetados oHospital de Matosinhos, que esteve impedido de enviar mensagens automáticas com convocatórias para consultas e exames e resultados de testes àcovid-19. Ohospital de Guimarães ficou igualmente semcentral telefónica, disponibilizando três números para urgências.[3]
NoIPO Lisboa registaram-se também dificuldades em realizar chamadas para doentes no exterior, tendo sido o contacto realizado através deemail. As ligações provenientes do exterior continuaram disponíveis.[3]
A rede de observação doInstituto Português do Mar e da Atmosfera (IPMA) também foi afetada, ficando impedida de disponibilizar informação em tempo real, e levando o IPMA a acionar os planos de contingência de modo a garantir a operacionalidade dos sistemas e assegurar os serviços mínimos, até a situação ser reposta. As comunicações de dadosmeteorológicos relacionados com o sistema nacional deproteção civil permaneceram salvaguardadas por um sistema de redundância, sendo condicionada a comunicação telefónica.[3]
AEMEL relatou problemas inesperados nas configurações das comunicações de dados entre as estações e o sistemaGIRA, causando o adiamento da abertura das novas estações nas freguesias doLumiar eOlivais para 10 de fevereiro.[3]
Grande parte da rede de telefones fixos da própriaPolícia Judiciária, que está a investigar o ataque, foi afetada, deixando de funcionar, incluindo os serviços de piquete, que asseguram o atendimento ao público e recebimento de queixas.[3]
Segundo a Vodafone, não há indício de qualquer invasão, extração ou corrupção de quaisquer dados dos clientes.[8][9]
O serviço de comunicações de voz através da rede2G foi o primeiro a ser recuperado, cerca das 22h de 7 de fevereiro, de modo a permitir situações de emergência. A prioridade seguinte da empresa foi recuperar um serviço mínimo dedados móveis, tendo recuperado os dados sobre rede3G perto da meia-noite. A primeira fase de recuperação iniciou-se naRegião Autónoma da Madeira, estendendo-se ao restante território nacional durante a madrugada. Na manhã de 8 de fevereiro foi recuperado o serviço básico deSMSponto a ponto, permanecendo o serviço de Internet fixa disponível durante todo este período.[4]
A 8 de fevereiro, havia sido iniciado o restabelecimento do serviço4G, inicialmente condicionado a zonas restritas do país, e com limitações, como a da velocidade máxima permitida.[3]
O dia 9 de fevereiro foi dedicado à recuperação dos serviços de voz derede fixa.[8]
A 10 de fevereiro, a quase totalidade dos serviços havia sido restabelecida, havendo um número reduzido de clientes afetado. O serviço móvel e de 4G havia sido restabelecido, embora com limitações. Embora o serviço detelevisão não tivesse sido afetado pelo ataque, foi registada alguma instabilidade relacionada com os trabalhos de recuperação.[8]
O dia 11 de fevereiro foi especialmente dedicado ao restabelecimento da totalidade das funcionalidades especificas para clientes empresariais, que está praticamente concluída.[6]
Está em curso uma investigação de grande envergadura, levada a cabo pelaUnidade de Combate ao Cibercrime (UNC3T) daPolícia Judiciária (PJ),[1] envolvendo as suas congéneres internacionais.[10] Uma das linhas de investigação é um possível cenário deespionagem industrial.[1]
Segundo a PJ, os autores do ataque são um grupo profissional, e não porhackers amadores, tratando-se de um crime tendencialmente muito técnico dependente de informação especializada. A suspeita de poder tratar-se de um ciberataque russo no quadro da tensão entreMoscovo e oOcidente foi, entretanto, afastada.[1]
A hipótese de estar ligado ao grupoLapsus$, que no final de janeiro de 2022 reivindicou oataque cibernético à Impresa, assim como a ligação a outros incidentes semelhantes recentes no país, não foi excluída.[1]
Uma das pistas que está sendo seguida pela PJ refere-se a um hackerrusso, que a 24 de janeiro terá anunciado no fórum russo Exploit.in que estava vender o acesso ilegal ao sistema informático de uma empresa de telecomunicações portuguesa, com receitas entre um a quatro milhões de euros, colocando como ponto de partida 2.500 dólares. A situação foi detetada pela empresa de ciberinteligência norte-americanaMandiant.[2]
