WASHINGTON - Autoridades federais dos Estados Unidos emitiram um alerta urgente na quinta-feira, 17, afirmando que hackers trabalhando para o Kremlin usaram uma variedade muito maior de ferramentas do que as conhecidas pelas agências de inteligência americana para invadir os sistemas governamentais americanos, e disseram que a ofensiva cibernética era “um grave risco para o governo."
A descoberta sugere que o escopo do ataque hacker do começo da semana parece se estender além dos laboratórios nucleares e dos sistemas do Pentágono, do Tesouro e do Departamento de Comércio. A ação também complica o desafio para os investigadores federais que tentam avaliar os danos e entender o que foi roubado.
Minutos após a declaração da agência de segurança cibernética do Departamento de Segurança Interna dos EUA, o presidente eleito Joe Biden advertiu que seu governo imporia “custos substanciais” aos responsáveis.
“Uma boa defesa não é suficiente; precisamos interromper e impedir que nossos adversários empreendam ataques cibernéticos significativos em primeiro lugar”, disse Biden, acrescentando: "Não ficarei de braços cruzados diante de ataques cibernéticos em nosso país”. O presidente Trump ainda não disse nada sobre o ataque.
Ecoando o aviso do governo, a Microsoft disse na quinta-feira que identificou 40 empresas, agências governamentais e grupos nos quais os hackers russos suspeitos haviam se infiltrado. Quase metade são empresas privadas de tecnologia, disse a Microsoft, muitas delas empresas de segurança cibernética, como a FireEye, encarregadas de proteger vastas seções do setor público e privado.
“Ainda é o começo, mas já identificamos 40 vítimas - mais do que qualquer outro ataque afirmou até agora - e acreditamos que esse número deve aumentar substancialmente”, disse Brad Smith, presidente da Microsoft, em entrevista na quinta. “Existem mais vítimas não governamentais do que vítimas governamentais, com um grande enfoque em empresas de tecnologia da informação, especialmente na indústria de segurança.”
O Departamento de Energia e a Administração de Segurança Nuclear Nacional, que mantém o estoque nuclear americano, foram comprometidos como parte do ataque maior, mas a investigação concluiu que o ataque a ação não afetou funções essenciais de segurança nacional para a missão", disse Shaylyn Hynes, do porta-voz do Departamento de Energia. “A investigação descobriu que o malware foi isolado apenas nas redes de negócios”.
As autoridades ainda não acusaram formalmente o agressor responsável, mas agências de inteligência disseram ao Congresso que acreditam que a ação foi realizada pelo Serviço de Inteligência Estrangeiro, uma agência de inteligência russa de elite. Um “mapa de calor” da Microsoft mostra que a grande maioria dos ataques, cerca de 80%, está nos Estados Unidos, enquanto a Rússia não mostra nenhum ataque.
O alerta do governo, emitido pela Agência de Segurança de Infraestrutura e Segurança Cibernética, não detalhou as novas maneiras como os hackers entraram nos sistemas governamentais. Mas confirmou as suspeitas expressas esta semana pela FireEye, uma empresa de segurança cibernética, de que havia outras rotas que os invasores encontraram para entrar nas redes das quais dependem os negócios do dia-a-dia dos Estados Unidos.
A FireEye foi a primeira a informar ao governo que os hackers russos haviam, pelo menos desde março, infectado as atualizações periódicas de software emitidas por uma empresa chamada SolarWinds, que protege o software de monitoramento de rede usado pelo governo, e centenas de empresas, incluindo a rede elétrica.
Investigadores e outras autoridades dizem acreditar que o objetivo do ataque russo era a espionagem tradicional, o tipo que a Agência de Segurança Nacional dos EUA e outras agências costumam realizar em redes estrangeiras.
Riscos
Mas a extensão e a profundidade do ataque aumentam a preocupação de que os hackers possam usar seu acesso para bloquear os sistemas americanos, corromper ou destruir dados ou assumir o comando de sistemas de computador que executam processos industriais. Até agora, porém, não houve nenhuma evidência disso acontecendo.
O alerta foi um sinal claro de uma nova percepção da urgência por parte do governo. Depois de minimizar o episódio - além do silêncio de Trump, o secretário de Estado Mike Pompeo minimizou a invasão como um dos muitos ataques diários ao governo federal, sugerindo que a China era a maior ameaça.
“Este adversário demonstrou capacidade de explorar cadeias de suprimentos de software e mostrou conhecimento significativo de redes do Windows”, disse o alerta das autoridades federais. “É provável que o adversário tenha vetores e táticas, técnicas e procedimentos adicionais de acesso inicial que ainda não foram descobertos”.
Os investigadores dizem que pode levar meses para desvendar até que ponto as redes americanas e a cadeia de fornecimento de tecnologia estão comprometidas. Em uma entrevista na quinta-feira, Smith, da Microsoft, disse que o elemento da cadeia de suprimentos tornou o ataque talvez o mais grave contra os Estados Unidos em anos.
“Os governos espionam uns aos outros há muito tempo, mas há um reconhecimento crescente e crítico de que é necessário haver um conjunto claro de regras que colocam certas técnicas fora dos limites”, disse Smith. “Uma das coisas que precisa estar fora dos limites é um amplo ataque à cadeia de suprimentos que cria uma vulnerabilidade para o mundo que outras formas de espionagem tradicional não criam.”
A agência de notícias Reuters relatou na quinta que a própria Microsoft foi comprometida no ataque, uma afirmação que Smith negou enfaticamente na quinta-feira. “Não temos nenhuma indicação disso”, disse ele. Autoridades dizem que, com apenas um mês de mandato, o governo Trump está planejando simplesmente ignorar o que parece ser a maior violação de segurança cibernética de redes federais em mais de duas décadas.
Biden disse que ele instruiu sua equipe de transição a aprender o máximo possível sobre "o que parece ser uma violação em massa de segurança cibernética que afeta potencialmente milhares de vítimas".
“Quero ser claro: meu governo tornará a segurança cibernética uma prioridade em todos os níveis - e faremos com que lidar com essa violação seja uma das principais prioridades a partir do momento em que tomarmos posse”, disse Biden.
O aviso da Agência de Segurança de Infraestrutura e Segurança Cibernética veio dias depois que a Microsoft tomou uma ação de emergência junto com a FireEye para interromper a comunicação entre o software de gerenciamento de rede SolarWinds e um centro de comando e controle que os russos estavam usando para enviar instruções ao malware.
A ação impediu que o ataque fosse maior. Mas isso não ajuda em nada as organizações que já foram atacadas por um invasor. E a linha principal do aviso dizia que o “comprometimento da cadeia de suprimentos da SolarWinds não é o único vetor de infecção inicial” que foi usado para entrar em sistemas federais. Isso sugere que outro software, também usado pelo governo, foi infectado e usado para acesso por espiões estrangeiros.
Entre as agências federais, o setor privado e as empresas de serviços públicos que supervisionam a rede elétrica, os investigadores ainda estavam tentando desvendar a extensão do ataque. Mas as equipes de segurança dizem que o alívio que alguns sentiram por não terem usado os sistemas comprometidos se transformou em pânico na quinta-feira, quando descobriram que outros aplicativos de terceiros podem ter sido comprometidos.
Dentro das agências federais e do setor privado, os investigadores dizem que foram impedidos por classificações e abordagens isoladas para o compartilhamento de informações.
“Esquecemos as lições do 11 de setembro”, disse Smith. “Não tem sido uma ótima semana para o compartilhamento de informações e isso transforma empresas como a Microsoft em um cão pastor tentando fazer com que essas agências federais se reúnam em um único lugar e compartilhem o que sabem.”
