4 maio 2024
A Polícia Federal tomou conhecimento da invasão ao sistema de administração financeira do governo federal dois dias após o governo identificar o ataque ao Siafi, em 1º de abril. A corporação foi alertada no dia 3 de abril, quando o Tesouro Nacional avisou o órgão sobre o desvio de R$ 2 milhões do MGI (Ministério da Gestão e Inovação). No total, R$ 3,8 milhões foram subtraídos da pasta.
Em nota divulgada na segunda-feira (22), a PF informou inicialmente que foi acionada no dia 5 de abril, mas a reportagem apurou que o primeiro contato foi antes. Procurada novamente, a corporação confirmou que “a comunicação formal do crime no dia 3 e, após os trâmites regulares, instaurou o inquérito no dia 5”.
“Cumpre destacar que medidas iniciais e urgentes necessárias para minimizar os danos ao funcionamento do sistema foram tomadas imediatamente após o recebimento das informações iniciais”, diz a PF.
Os criminosos aproveitaram a última hora de funcionamento do sistema no dia 28 de março, véspera de feriado (Sexta-feira Santa), para fazer as primeiras tentativas de pagamento irregular. O desvio só foi identificado pelo MGI na segunda-feira, 1º de abril.
Na terça (2) à tarde, o MGI avisou o Tesouro Nacional, órgão gestor do Siafi, sobre o ocorrido. Documento obtido pela reportagem mostra que a pasta também acionou uma das instituições financeiras que mantinham a conta que recebeu os valores desviados.
O Tesouro Nacional acionou a PF na quarta (3). O órgão também pediu apoio do Banco Central para tentar bloquear os valores.
Dos R$ 3,8 milhões desviados do MGI nessas operações, R$ 2 milhões foram recuperados até agora. Como mostrou a reportagem, o pagamento foi feito para uma conta em nome de um estabelecimento comercial em Campinas (SP) e originalmente estava reservado a um contrato do governo para manutenção de software. O empresário nega ter recebido o dinheiro e diz que seus dados foram roubados.
Segundo interlocutores com conhecimento do caso, o governo acreditou, num primeiro momento, se tratar de um episódio pontual, restrito ao âmbito do MGI e decorrente do uso indevido de credenciais de servidores da pasta. Só neste ministério, os criminosos tentaram movimentar ao menos R$ 9 milhões.
Novas tentativas de desvios na Câmara dos Deputados e no TSE (Tribunal Superior Eleitoral) entre os dias 3 e 5, porém, dispararam um sinal de alerta no Tesouro de que se tratava de uma ação articulada contra o sistema de pagamentos da União.
O órgão acionou novamente a PF no dia 5. Desde então, a investigação ficou a cargo da Diretoria de Combate a Crimes Cibernéticos. As diligências são conduzidas em segredo de Justiça.
O Tesouro implementou medidas adicionais de segurança para autenticar os usuários habilitados a operar o sistema e autorizar pagamentos.
Em nota divulgada na segunda, o órgão confirmou a “utilização indevida de credenciais obtidas de modo irregular” e disse que “as tentativas de realizar operações na plataforma foram identificadas”. O Tesouro afirmou ainda que as ações “não causaram prejuízos à integridade do sistema”.
Segundo interlocutores que auxiliam nas investigações, gestores habilitados para fazer movimentações financeiras dentro do Siafi tiveram seus acessos por meio do gov.br utilizados por terceiros sem autorização.
A suspeita é que os invasores coletaram os dados via sistema de pesca de senhas (com uso de links maliciosos, por exemplo). Uma das hipóteses é que essa coleta se estendeu por meses até os suspeitos reunirem um volume considerável de senhas para levar a cabo o ataque.
Outros artifícios também podem ter sido empregados pelos invasores. A plataforma tem um mecanismo que permite desabilitar e recriar o acesso a partir do CPF do usuário, o que pode ter viabilizado o uso indevido do sistema.
Na prática, os criminosos conseguiram alterar a senha de outros servidores, ampliando a escala da ação.
Em poder dessas credenciais qualificadas, eles acessaram ordens bancárias e alteraram os dados do destinatário dos pagamentos.
Para tentar coibir novos desvios, o governo endureceu as exigências de segurança e acesso ao sistema de pagamentos. Primeiro, passou a exigir certificado digital. No entanto, o governo identificou que os criminosos falsificaram certificados digitais emitidos por empresas privadas para continuar efetuando os desvios.
Desde a última segunda-feira (22), o Tesouro exige que o certificado digital seja emitido pelo Serpro, empresa pública federal do setor de tecnologia. A medida tem gerado reclamações dos ministérios, que enfrentam maior burocracia para realizar seus pagamentos regulares.
Dadas as características da ação, interlocutores do governo afirmam que o ataque foi muito bem articulado, pois apenas alguns servidores têm nível de acesso elevado o suficiente para emitir ordens bancárias em nome da União. Isso indica uma atuação direcionada por parte dos invasores.
Além disso, técnicos observam que o Siafi é um sistema complexo, pouco intuitivo, e operá-lo requer conhecimento especializado sobre a plataforma.
O TCU (Tribunal de Contas da União) vai fazer uma fiscalização para verificar as providências adotadas pelo governo para solucionar o problema.
A corte de contas já vinha realizando uma auditoria no Tesouro Nacional com o objetivo de promover a melhoria na gestão de riscos de segurança da informação, por meio da avaliação dos controles administrativos e técnicos existentes na organização.
A auditoria, ainda em curso, está quase na metade dos trabalhos, mas a equipe apresentou no fim de março aos gestores do Tesouro Nacional um relatório parcial em que apontou evidências de vulnerabilidades.
Não há ainda qualquer indício de que essas vulnerabilidades identificadas e comunicadas ao Tesouro abriram caminho para a invasão ao Siafi. O TCU ainda vai decidir se a fiscalização sobre o episódio se dará no âmbito deste mesmo processo, ou se ensejará a abertura de uma nova auditoria.
Raquel Lopes/Idiana Tomazelli/Mateus Vargas/Julia Chaib/Folhapress