Autoridades suspeitam que hackers ligados à Rússia atacaram agências dos EUA

Autoridades dos EUA suspeitam que hackers ligados à Rússia estavam por trás da recente violação de dados de várias agências federais, incluindo os Departamentos de Segurança Interna (DHS na sigla em inglês), de Agricultura e de Comércio. O incidente segue sendo investigado, segundo várias fontes disseram à CNN.

A CNN soube que o braço cibernético do DHS, encarregado de proteger a nação de ataques de hackers estrangeiros, é uma de pelo menos três agências do governo dos EUA comprometidas no hackeamento. Uma fonte familiarizada com o assunto disse que o número de agências afetadas deve aumentar nos próximos dias.

Leia e assista também:

Tesouro dos EUA classifica Suíça e Vietnã como manipuladores de moeda
Alasca confirma caso de reação adversa severa a vacina contra Covid-19
Fed mantém juros parados e deve seguir comprando títulos do governo

Embora o escopo e a escala exatos do ataque hacker ainda devam ser verificados, já está ficando claro que isso marca uma das violações mais significativas sofridas pelo governo dos Estados Unidos nos últimos anos. 

Também mostra que a Rússia e outros atores estrangeiros continuam a explorar as vulnerabilidades cibernéticas dos Estados Unidos. É uma questão que provavelmente representará um desafio para o próximo governo Biden.

As autoridades suspeitam que uma violação também pode ter ocorrido nos sistemas de computadores do Departamento do Tesouro e dos Correios dos Estados Unidos (USPS na sigla em inglês), de acordo com uma autoridade do alto escalão do governo, que confirmou a continuidade das investigações.

Questionado sobre se o sistema do USPS teria sido violado, um porta-voz da companhia disse à CNN: “O Serviço Postal dos EUA foi informado do incidente cibernético na SolarWinds pelo Departamento de Segurança Interna (DHS) em 13 de dezembro de 2020. Como acontece com qualquer notificação dessa natureza, o USPS está conduzindo uma revisão completa de seus sistemas e processos para proteger sua rede e garantir a integridade de seus sistemas”. 

O Departamento de Agricultura não respondeu a um pedido de entrevista. A CNN já havia confirmado a violação ao Departamento de Comércio e ao DHS, embora o DHS não tenha especificado qual de seus departamentos foi afetado.

Uma autoridade de defesa disse à CNN que uma avaliação ainda está em processo para determinar se houve algum impacto nas redes do Departamento de Defesa. O secretário de Defesa em exercício, Christopher Miller, teria recebido um briefing sobre os ataques na segunda-feira, acrescentou uma autoridade.

Se alguma rede de defesa for comprometida, o Comando Cibernético dos EUA “está posicionado para uma ação rápida”, disse um porta-voz, acrescentando que o órgão mantém “estreita coordenação com as agências governamentais, indústrias e parceiros acadêmicos para avaliar e mitigar qualquer problema”.

Como parte de sua resposta, o governo colocou em prática a Diretiva de Política Presidencial 41, um plano da era Obama para executar uma resposta do Governo Federal a qualquer incidente cibernético, envolvendo entidades governamentais ou do setor privado. Para incidentes cibernéticos significativos, a diretiva também estabelece um plano para coordenar uma resposta entre as agências e exige que os Departamentos de Justiça e Segurança Interna auxiliem as entidades afetadas por incidentes cibernéticos.

Suspeita sobre a Rússia

Embora as autoridades norte-americanas acreditem que uma entidade ligada à Rússia ou indivíduos russos sejam responsáveis pelos ataques, eles ainda não finalizaram a designação dos responsáveis, segundo uma fonte do governo.

O Conselho de Segurança Nacional decidiu convocar duas reuniões diárias com o Grupo de Resposta Cibernética para determinar o escopo, escala e impacto do hackeamento, acrescentaram.

Na primeira das reuniões na segunda-feira, as autoridades chegaram mais perto de apontar um grupo apoiado pela Rússia como o responsável, mas as investigações forenses ainda estão em andamento, disse a autoridade à CNN.

Uma reunião marcada para o mesmo dia tem como objetivo determinar quais agências do governo foram comprometidas. Até agora, apenas o Departamento de Comércio disse publicamente que experimentou uma violação, mas outras agências também parecem ter sido visadas.

“Temos um palpite sobre quem está por trás das violações”, afirmou outro funcionário do governo, também confirmando a reunião do Grupo de Resposta a Emergências Cibernéticas na segunda-feira. “Mas análises forenses como esta levam tempo para acertar os resultados, a menos que sejam descuidados sobre isso”.

As primeiras declarações emitidas pela empresa de tecnologia SolarWinds, cujo sistema foi violado por hackers, sugerem que a operação era sofisticada e “extremamente direcionada”, o que significa que pode levar algum tempo até que a culpa seja formalmente atribuída.

Mas, enquanto isso, as principais autoridades dos EUA, incluindo o secretário de Estado Mike Pompeo, não hesitam em sugerir que a Rússia está envolvida.

Quando questionado sobre o ataque hacker na segunda-feira, Pompeo citou esforços consistentes da Rússia para violar servidores de agências e empresas governamentais norte-americanas, mas não deu detalhes adicionais.

“Não posso dizer muito além de que tem havido um esforço consistente dos russos para tentar entrar nos servidores americanos, não apenas de agências governamentais, mas de empresas também”, disse Pompeo em entrevista à Rádio Breitbart News.

A embaixada russa em Washington, em contrapartida, nega veementemente qualquer envolvimento do país no hackeamento, que foi relatado pela primeira vez pela Reuters no domingo (13). “Já houve outras tentativas infundadas da mídia dos EUA de culpar a Rússia pelos ataques de hackers a órgãos governamentais dos EUA”, afirmou a embaixada, em comunicado.

“É muito cedo para entender a profundidade e a escala da violação recente que afeta o Departamento de Comércio e outras agências governamentais”, observou Tony Lawrence, CEO e fundador da VOR Technology and Light Rider. “Os russos têm programas cibernéticos muito avançados e é provável que haja pontos de apoio nesses sistemas que não foram detectados e nem contestados. Em 2008, os russos executaram um ataque cibernético usando pen drives, comumente conhecido como Buckshot Yankee, e é possível que a violação atual esteja relacionada a esse ataque anterior”.

Ligação com ataque anterior?

No entanto, apesar da alegação da embaixada de que “a Rússia não conduz operações ofensivas no domínio cibernético”, Moscou foi associada a várias violações recentes, incluindo o hackeamento do FireEye da semana passada, um ataque que comprometeu as ferramentas do chamado “Red Team”, usadas para proteger clientes, inclusive os governamentais.

Nas duas postagens de blog no domingo, a empresa de segurança cibernética vinculou a vulnerabilidade da SolarWinds diretamente à violação que sofreu. Uma fonte familiarizada com o assunto disse anteriormente à CNN que o ataque provavelmente foi realizado por um grupo afiliado à Rússia conhecido como APT29.

A FireEye descreveu uma “campanha global de intrusão” que tira proveito de uma falha crítica em um produto de monitoramento de rede vendido pela SolarWinds, uma empresa de gerenciamento de rede de TI. As vítimas, de acordo com a segunda postagem do blog, incluem governo, consultorias, empresas de tecnologia, telecomunicações e entidades extrativistas na América do Norte, Europa, Ásia e Oriente Médio. A mensagem acrescenta ainda que deverá haver vítimas adicionais em outros países.

Uma fonte familiarizada com os ataques ao FireEye e aos relatados no domingo também disse à CNN que “está tudo relacionado”.

“Esses ataques são extraordinariamente difíceis de detectar e repelir em tempo real”, disse o informante, acrescentando que, embora os Departamentos de Comércio e Tesouro sejam as vítimas que até agora foram identificadas, “sem dúvida haverá mais.”

O Departamento de Comércio dos Estados Unidos foi a primeira agência a confirmar ter sido vítima de uma violação de dados em um ataque supostamente relacionado à Rússia.

“Podemos confirmar que houve uma violação em um de nossos escritórios”, disse o Departamento de Comércio em um comunicado à CNN no domingo. “Pedimos à CISA e ao FBI que investiguem e não podemos comentar mais no momento.”

A CISA também confirmou o incidente de segurança de dados, embora não tenha revelado imediatamente que houve uma violação. Afirmou à CNN, em um comunicado: “Temos trabalhado em estreita colaboração com nossos parceiros de agência para investigar a atividade recentemente descoberta em redes governamentais.”

“A CISA está fornecendo assistência técnica às entidades afetadas enquanto trabalham para identificar e mitigar quaisquer comprometimentos potenciais”, continuou a declaração.

Segundo o diretor em exercício da CISA, Brandon Wales, a empresa de tecnologia SolarWinds estava comprometida e isso representava “riscos inaceitáveis para a segurança das redes federais”.

Os produtos SolarWinds Orion são usados por várias agências civis federais para gerenciamento de rede, por isso a CISA está pedindo às agências que revisem suas redes em busca de possíveis sinais de violação de dados. Esta é apenas a quinta diretiva de emergência emitida pela CISA desde 2015, quando o órgão foi criado pelo Congresso na Lei de Segurança Cibernética.

A SolarWinds disse em um comunicado no domingo à noite que a violação de seu sistema foi “provavelmente conduzida por um estado-nação externo e pretendia ser um ataque estreito, extremamente direcionado e executado manualmente, em oposição a um ataque amplo em todo o sistema”.

‘Falha grave de segurança nacional’

Em um novo documento financeiro, divulgado na segunda-feira, a empresa de tecnologia SolarWinds disse acreditar que “menos de 18 mil” dos seus 300 mil clientes poderiam ter sido afetados pela vulnerabilidade do software.

A SolarWinds lançou uma atualização de software que corrige a falha e prevê fornecer uma segunda atualização de software até 15 de dezembro para “resolver ainda mais” a lacuna de segurança, acrescentou a empresa.

A Microsoft também respondeu ao ataque hacker em uma postagem de blog durante a noite, dizendo aos clientes ter atualizado seu programa anti-spyware para detectar a vulnerabilidade da SolarWinds.

“Acreditamos que esta seja uma atividade do Estado-nação em escala significativa, dirigida tanto ao governo quanto ao setor privado. Também queremos tranquilizar nossos clientes de que não identificamos vulnerabilidade em nenhum produto ou serviço da Microsoft em nuvem nessas investigações”, disse a postagem.

O senador Ron Wyden, um democrata do Oregon que atua no Comitê de Inteligência do Senado, alertou na segunda-feira que o dano causado pela violação pode ser “muito mais significativo do que se conhece atualmente”.

“Se os relatos forem verdadeiros e os hackers introduzirem com sucesso algum software danoso em vários sistemas do governo federal, nosso país terá sofrido uma grande falha de segurança nacional que pode ter ramificações nos próximos anos”, afirmou em um comunicado à CNN. “Estou pressionando o governo por mais informações sobre o escopo total dessa violação e as medidas que as agências estão tomando para mitigá-la. Temo que o dano seja muito mais significativo do que o conhecido atualmente.”

“Há anos que alertei o governo sobre os princípios básicos de segurança dos sistemas federais e essa violação, infelizmente, prova que estou certo. É hora de descartar a prática negligente de permitir que as agências instalem software de alto risco em sistemas governamentais sem submetê-lo a uma análise de segurança completa “, acrescentou Wyden.

(Com informações de Alex Marquardt, Barbara Starr, Geneva Sands e Kylie Atwood)

(Texto traduzido, clique aqui para ler o original em inglês).