Os cibercriminosos responsáveis pela invasão ao Sistema de Administração Financeira do Governo Federal (Siafi) tinham entre seus objetivos roubar R$ 9 milhões oriundos do Ministério da Gestão e Inovação. De acordo com apuração da Folha de S. Paulo, através do comprometimento de credenciais de agentes públicos, os cibercriminosos conseguiram efetivamente retirar dos cofres públicos ao menos 3,5 milhões de reais.

O incidente foi inicialmente denunciado pela Folha ainda no início dessa semana, quando a Polícia Federal abriu uma investigação em conjunto da Agência Brasileira de Inteligência (Abin) para apurar a brecha de segurança e rastrear as quantias desviadas. Para as autoridades, o acesso indevido foi efetivado com o uso de CPFs e senhas do Gov.br de gestores e ordenadores de despesas do Siafi.

Agora, informações preliminares obtidas pelo jornal apontam que ao menos 3,5 milhões de reais foram roubados da União através desse esquema. Esses valores estão entre o que foi mapeado apenas no âmbito do MGI. Portanto, segundo os investigadores, é possível que a operação tenha desviados mais do que isso, atingindo também outros departamentos da máquina pública federal.

A PF já recuperou cerca de 2 milhões de reais do Ministério da Gestão, enviados por meio de chave de Pix aleatória a uma conta bancária da empresa Adonai Comércio, atuante no mercado varejista de móveis em Campinas (SP). A operação teria sido feita na noite de véspera da Sexta-Feira Santa (28 de março), e só foi percebida pelo MGI na semana seguinte, em 1º de abril.

O dono da Adonai, Eliezer Toledo Bisco, afirmou não ter nenhuma relação com a ação criminosa, uma vez que os seus dados cadastrais corporativos também teriam sido comprometidos. Com essas informações, os hackers poderiam ter aberto contas falsas em bancos para receber o dinheiro roubado.

“Abri protocolos na Receita Federal para entender o que havia acontecido, e me informaram que hackers retificaram as informações de faturamento. Após registrar um boletim de ocorrência, descobri que havia 55 restituições agendadas. Com todas as informações, a Receita cancelou tudo, mas não é a primeira vez que sou vítima desse tipo de golpe”, explicou Toledo à Folha de S. Paulo.

Urgência por novas medidas de Segurança

Conforme as apurações, o incidente movimentou uma série de ações informativas do Tesouro Nacional, órgão gestor do Siafi, para tentar coibir novos comprometimentos de credenciais por meio de ações de phishing. Todavia, as mesmas orientações enviadas pelo Tesouro acabaram cooptadas pelo Cibercrime, que passou a usar esses mesmos alertas para enviar links maliciosos aos usuários, visando roubar novos acessos corporativos.

Para evitar novos vazamentos desse tipo, o Centro de Prevenção, Tratamento e Resposta à Incidentes do Governo Federal (CTIR Gov) emitiu um alerta a todas as instituições da União dois dias antes das publicações da Folha. Segundo o CTIR, era imperativo que o governo adotasse Múltiplos Fatores de Autenticação (MFA) e utilização de certificados de Governo para acessos de privilégio elevado.

“O CTIR Gov, colaborativamente com o CISC Gov.Br, verifica a tendência de aumento do número de credenciais válidas comercializadas de modo ilícito, para possibilitar acesso indevido e, como consequência, permitir outras ações maliciosas como disseminação de phishing, malwares, movimentação lateral e ataques de maior proporção, como Ransomware, por exemplo”, diz o comunicado.

Mesmo assim, informações obtidas pelo jornal indicam que mesmo os certificados digitais foram burlados por criminosos, que utilizaram dados de servidores obtidos anteriormente para falsificar os documentos de empresas privadas em nome deles, resultado da demora em responder à exposição dos dados. Atualmente, apenas certificações emitidas pelo Serpro estão sendo autorizadas.

*Com informações da Folha de S. Paulo, da CNN Brasil e do CTIR Gov.