O governo do presidente americano, Donald Trump, reconheceu neste domingo (13) que hackers agindo sob comando de um governo estrangeiro —provavelmente uma agência de inteligência russa, de acordo com especialistas federais e privados— invadiram uma série de redes governamentais, incluindo as dos departamentos de Tesouro e do Comércio, e tiveram livre acesso aos seus sistemas de email.

Autoridades disseram que há uma busca em andamento para determinar se outras partes do governo foram vítimas do que parece ser um dos mais sofisticados, e talvez um dos maiores, ataques a sistemas federais nos últimos cinco anos.

Ainda de acordo com esses funcionários, agências relacionadas à segurança nacional também foram afetadas, apesar de que não está claro se esses sistemas contêm informação altamente confidencial.

A Casa Branca disse pouco sobre o episódio publicamente, o que sugere que, enquanto o governo estava preocupado com uma interferência russa na eleição de 2020, agências trabalhando para a administração —e sem relações com as eleições— foram objeto de um ataque sofisticado, sobre o qual não tinham consciência até semanas atrás.

"O governo dos EUA está ciente dessa situação, e estamos tomando todas as medidas necessárias para identificar e remediar quaisquer questões relacionadas a esse episódio", disse John Ullyot, porta-voz do Conselho de Segurança Nacional, em um comunicado.

O Departamento de Comércio reconheceu que uma de suas agências foi alvo do ataque, sem nomeá-la, e a agência de segurança cibernética do Departamento de Segurança Interna, cujo chefe foi demitido por Trump no mês passado, por declarar que não houve fraude nas eleições, disse em um comunicado que também foi alvo.

A motivação dos ataques ao Departamento do Tesouro e ao Departamento de Comércio ainda não está clara, de acordo com duas pessoas ligadas ao assunto. Uma fonte governamental disse que ainda é cedo para dizer quais são as extensões dos danos dos ataques e quanto material foi comprometido.

A revelação aconteceu menos de uma semana depois que a NSA (Agência de Segurança Nacional) —responsável tanto por invadir redes de computadores estrangeiras quanto por defender sistemas de segurança nacionais sensíveis do governo federal— ter emitido um alerta dizendo que "atores agindo sob influência russa" estavam explorando falhas num sistema amplamente usado pelo governo federal.

Na época, a NSA se recusou a dar mais detalhes sobre o motivo do aviso. Pouco depois, a FireEye, empresa líder em segurança cibernética, anunciou que hackers trabalhando para um estado haviam roubado algumas de suas ferramentas que permitem encontrar vulnerabilidades nos sistemas de seus clientes, incluindo o governo federal. Essa investigação também apontou na direção da S.V.R., uma das principais agências de inteligência russas —por vezes, chamada de Cozy Bear ou A.P.T29.

Os clientes da FireEye, incluindo o Departamento de Segurança Interna e agências de inteligência, contratam a empresa para simular ataques hackers aos seus sistemas, usando o banco de dados de técnicas que a empresa observou no mundo todo.

As ferramentas do seu "time vermelho" —que imitam um ataque hacker real— são usadas para tampar falhas de seguranças em redes. Assim, os hackers que roubaram as ferramentas da FireEye adicionaram esse conhecimento ao seus recursos. Mas a FireEye não foi a única a ser afetada.

A ação, os investigadores afirmam, envolveu hackers inserindo seu código em atualizações de software usado para gerenciar redes por uma empresa chamada SolarWinds. Seus serviços são usados ​​em redes corporativas e federais, e o malware utilizado foi minimizado para evitar que fosse detectado.

A empresa, com sede em Austin, no Texas, afirma ter mais de 300 mil clientes, incluindo muitas das empresas da lista da Fortune 500 do país. Mas não está claro quantas dessas empresas usam a plataforma Orion que os hackers russos invadiram, ou se todas eram alvos.

Se a conexão da Rússia for confirmada, será o mais sofisticado roubo de dados do governo americano por Moscou desde episódios em 2014 e 2015, nos quais agências de inteligência russas obtiveram acesso a sistemas de email não confidenciais da Casa Branca, do Departamento de Estado e do Estado-Maior Conjunto.

Passaram-se anos até que os danos fossem revertidos, mas o então presidente, Barack Obama, decidiu não apontar russos como atores do processo —uma decisão que muitos daquela administração entendem agora como um erro.

O mesmo grupo passou a hackear os sistemas do Comitê Nacional Democrata e de altos funcionários na campanha de Hillary Clinton, desencadeando investigações e temores de que o mesmo acontecesse na eleição de 2020.

"Parece haver muitas vítimas dessa ação, tanto no governo quanto no setor privado", afirmou Dmitri Alperovitch, cofundador do CrowdStrike, uma firma de segurança cibernética que ajudou a localizar os russos no sistema do Comitê Nacional Democrata quatro anos atrás.

Para Alperovitch, o ataque é "não muito diferente do que vimos entre 2014 e 1015, quando realizaram uma campanha maciça e causaram danos a diferentes vítimas".

De acordo com investigadores do setor privado, os ataques ao FireEye levaram a uma busca mais ampla para descobrir em quais outros sistemas federais e privados hackers russos poderiam se alojar.

A FireEye forneceu alguns códigos-chaves para a NSA e a Microsoft, de acordo com autoridades, usados para identificar ataques semelhantes em sistemas federais. Isso levou ao alerta de emergência da semana passada.

A maioria dos casos de ataques de hackers envolve o roubo de nomes e senhas, mas este ataque foi mais sofisticado. Uma vez que eles estivessem no software de gerenciamento de rede SolarWinds, os russos, disseram os investigadores, foram capazes de inserir tokens falsificados, que são indicadores eletrônicos que fornecem uma garantia para a Microsoft, Google ou outros provedores que asseguram qual a identidade do sistema do computador com o qual seus sistemas de email estão conversando.

Usando uma falha difícil de detectar, os hackers conseguiram enganar o sistema e obter acesso, sem serem detectados. O Ministério de Relações Exteriores da Rússia não se manifestou após ser procurado, na noite deste domingo (13), para comentar o caso.