A história tem início em 6 de Dezembro de 2011 quando o US-CERT alertou o Commerce Computer Incident Response Team (DOC CIRT) que haveria uma potencial infeção via malware nos sistemas de TI na rede Herbert C. Hoover Building (HCHB). O DOC CIRT então enviou uma notificação por e-mail tanto para o National Oceanic and Atmospheric Administration (NOAA) quanto para o EDA, informando que existia um problema de malware. A notificação da NOAA identificou um componente que foi corrigido e retornou ao serviço por volta de 12 de Janeiro de 2012.
Porém, a condução do incidente foi realizada de forma incorreta ao avaliar as informações de log da rede errada, e ter informado a EDA que 146 componentes estariam infectados com malware. O DOC CIRT corrigiu o erro com uma segunda notificação, informando que apenas 2 sistemas estariam infectados, mas falhou em informar a EDA que a primeira notificação estava errada. Aquela primeira notificação apenas identificava os equipamentos na rede HCHB que pertence a EDA. Durante as semanas seguintes o mal-entendido continuou com o DOC CIRT testando os dois componentes e confirmando um problema que fez a EDA acreditar que todos os seus 146 componentes estariam infectados com malware.
Em 24 de Janeiro de 2012, o CIO da EDA decidiu desconectar todos os seus sistemas da rede HCHB para evitar que esse (não-existente) malware se espalhasse. A EDA então contratou uma empresa que inicialmente encontrou indicações de malware, mas logo em seguida decidiu que essas respostas eram um falso-positivo. O CIO queri garantias de que a infecção não existia, ao invés de não existir, mesmo a empresa afirmando que não existia infecção e continuou efetuando as análises. Por volta de Abril eles concluíram que não puderam encontrar nenhum malware persistente ou alvo, e a NSA e o US-CERT chegaram a mesma conclusão.
Isso não foi o suficiente para que o CIO da EDA e a gestão que começou a efetuar uma limpeza de dados nos sistemas como parte do plano de recuperação. No final, apenas seis sistemas estavam comprometidos, sendo dois com rootkits e quatro com "malware comum". Mas o CIO da EDA decidiu que o risco em potencial justificava a destruição de todos os componentes de TI necessários, "incluindo desktops, impressoras, TVs, câmeras, mouses e teclados", e apenas suspendeu a destruição em Agosto de 2012 porque a agência estava ficando sem fundos para destruir os US$ 3 milhões em equipamentos ainda restantes da EDA.
A pergunta que fica é: esses indivíduos ainda continuam em seus cargos e sem nenhum processo nas costas?
Saiba Mais:
- Heise Online: US government agency destroys hardware to clear malware (em Inglês)
Mensagem do Sistema