O CTIR Gov – Centro de Prevenção, Tratamento e Resposta a Incidentes Cibernéticos de Governo – identificou uma campanha ativa do grupo hacktivista Nullsec Philippines coordenada sob a hashtag #StopWar. No Brasil, o grupo identificou uma vulnerabilidade comum em múltiplas instâncias da plataforma Mapa Cultural, utilizada por diversos órgãos das esferas Federal, Estadual e Municipal.

Os atacantes utilizam ferramentas automatizadas para localizar diretórios de upload de “Agentes” e inserir arquivos de manifesto político (pichação digital). Embora o objetivo atual seja a visibilidade ideológica, a falha explorada permite que atores mais hostis plantem Webshells para controle total do servidor.

De acordo com o CTIR Gov, a plataforma Mapa Cultural é classificada como software livre,tendo sua manutenção mantida pela comunidade aberta de desenvolvedores na plataforma GitHub. Desse modo, não há atuação do Ministério da Cultura na garantia da qualidade dessa ferramenta e recomenda-se aos órgãos da administração pública que ao utilizarem apliquem as medidas necessárias para garantir a segurança cibernética de sua infraestrutura.

O ataque ocorre através de uma falha de validação no mecanismo de upload de arquivos de usuários/agentes. Para proteger sua instância do Mapa Cultural contra a campanha do Nullsec PH, implemente as seguintes ações imediatamente:

Proteção via WAF (Web Application Firewall) – Implemente regras para bloquear o comportamento padrão do grupo:

Bloqueio de Extensões: Proibir o upload de arquivos com extensões .html, .htm, .php, .phtml, .txt no endpoint de arquivos de agentes.

Filtro de Conteúdo: Configurar a inspeção de pacotes para bloquear o upload de arquivos que contenham a string “Hacked By Nullsec” ou tags de script PHP/JavaScript.

Extensão Dupla: Bloquear requisições com arquivos contendo múltiplos pontos (ex: imagem.php.jpg).

Configuração do Servidor Web

Desativar Execução de Scripts: Configure o diretório /files/ para que o servidor web (Apache ou Nginx) não execute nenhum script ali contido. Trate o diretório apenas como armazenamento estático.

Listagem de Diretórios: Desabilite a listagem de diretórios (Options -Indexes) para dificultar a identificação manual de pastas de agentes por parte dos atacantes.

Auditoria Preventiva

Mesmo que seu site não pareça pichado, realize a seguinte busca em seus logs:

Busque por requisições POST bem-sucedidas (Status 200/201) em /files/agent/.

Verifique se existem arquivos chamados stopwar.txt, stopwar.html ou similares em qualquer subdiretório de /var/www/.

A campanha #StopWar demonstra que falhas de validação de upload, embora simples, possuem um alto alcance em plataformas descentralizadas. A correção imediata dessas instâncias é vital não apenas para cessar a pichação, mas para evitar que a infraestrutura governamental seja utilizada como base para ataques de maior impacto, como ransomware ou exfiltração de dados sensíveis de cidadãos.

Em caso de suspeita ou confirmação de incidente relacionado aos vetores de ataque descritos, o órgão deve reportar a ocorrência de imediato ao CTIR Gov (ctir@ctir.gov.br).