Uma
concessionária no Havaí, um porto na Costa Oeste e um oleoduto estão entre as
vítimas no ano passado, dizem as autoridades
Por Ellen Nakashima
e José Menn
- 11 de dezembro de 2023 às 6h EST
Os militares chineses estão a
aumentar a sua capacidade de perturbar as principais infra-estruturas
americanas, incluindo os serviços de energia e água, bem como os sistemas de
comunicações e transporte, de acordo com responsáveis dos EUA e responsáveis
pela segurança da indústria.
Hackers afiliados ao Exército
de Libertação Popular da China invadiram os sistemas informáticos de cerca de
duas dezenas de entidades críticas durante o ano passado, disseram estes
especialistas.
As intrusões fazem parte de um
esforço mais amplo para desenvolver formas de semear o pânico e o caos ou
complicar a logística no caso de um conflito EUA-China no Pacífico, disseram.
Entre as vítimas estão uma
concessionária de água no Havaí, um importante porto da Costa Oeste e pelo
menos um oleoduto e gasoduto, disseram ao The Washington Post pessoas
familiarizadas com os incidentes. Os hackers também tentaram invadir a
operadora da rede elétrica do Texas, que opera independentemente dos sistemas
elétricos do resto do país.
Várias entidades fora dos
Estados Unidos, incluindo concessionárias de energia elétrica, também foram
vítimas dos hackers, disseram as pessoas, que falaram sob condição de
anonimato devido à delicadeza do assunto.
Nenhuma das invasões afetou os
sistemas de controle industrial que operam bombas, pistões ou qualquer função
crítica, nem causou interrupção, disseram autoridades
norte-americanas. Mas eles disseram que a atenção dada ao Havaí, que
abriga a Frota do Pacífico, e a pelo menos um porto, bem como aos centros
logísticos, sugere que os militares chineses desejam a capacidade de complicar
os esforços dos EUA para enviar tropas e equipamentos para a região se um
conflito estourar. sobre Taiwan.
Estes detalhes anteriormente
não divulgados ajudam a completar o quadro de uma campanha cibernética
apelidada de Tufão Volt, detectada pela primeira vez há cerca de um ano pelo
governo dos EUA, enquanto os Estados Unidos e a China lutam para estabilizar uma
relação mais antagónica agora do que tem sido em décadas. Os comandantes
militares chineses recusaram-se durante mais de um ano a falar com os seus
homólogos americanos, mesmo quando as intercepções por caças chineses de
aviões espiões dos EUA aumentaram no Pacífico ocidental. O presidente Biden e o presidente chinês Xi Jinping
concordaram apenas no mês passado em restaurar esses canais de
comunicação.
“É
muito claro que as tentativas chinesas de comprometer infra-estruturas críticas
são, em parte, para se pré-posicionarem para serem capazes de perturbar ou
destruir essas infra-estruturas críticas em caso de conflito, para impedir que
os Estados Unidos sejam capazes de projectar poder em Ásia ou para causar o
caos social dentro dos Estados Unidos – para afetar a nossa tomada de decisões
em torno de uma crise”, disse Brandon Wales, diretor executivo da Agência de
Segurança Cibernética e de Infraestrutura (CISA) do Departamento de Segurança
Interna. “Essa é uma mudança significativa em relação à atividade
cibernética chinesa de sete a dez anos atrás, que se concentrava principalmente
na espionagem política e econômica.”
Morgan
Adamski, diretor do Centro de Colaboração em Segurança Cibernética da Agência
de Segurança Nacional, confirmou em um e-mail que a atividade do Volt Typhoon
“parece estar focada em alvos na região Indo-Pacífico, incluindo o Havaí”.
Os
hackers muitas vezes procuraram mascarar seus rastros, direcionando seus
ataques através de dispositivos inócuos, como roteadores domésticos ou de
escritório, antes de chegar às vítimas, disseram as autoridades. Um dos
principais objetivos era roubar credenciais de funcionários que eles poderiam
usar para retornar, fazendo-se passar por usuários normais. Mas alguns dos
seus métodos de entrada não foram determinados.
Os
hackers estão procurando uma maneira de entrar e permanecer sem serem
detectados, disse Joe McReynolds, pesquisador de estudos de segurança da China
na Jamestown Foundation, um think tank focado em questões de
segurança. “Você está tentando construir túneis na infraestrutura de seus
inimigos que você pode usar mais tarde para atacar. Até então, você fica à
espera, realiza o reconhecimento, descobre se pode passar para sistemas de
controle industrial ou para empresas ou alvos mais críticos a montante. E
um dia, se você receber a ordem do alto, você passará do reconhecimento para o
ataque.”
Pesquisadores
de ameaças dizem que hackers chineses tentaram invadir a operadora da rede
elétrica do Texas, que opera independentemente dos sistemas elétricos do resto
do país. (Callaghan O’Hare/Reuters)
As
revelações ao The Post baseiam-se na avaliação anual de ameaças realizada em
fevereiro pelo Gabinete do Diretor de Inteligência Nacional, que alertou que a
China “quase certamente é capaz” de lançar ataques cibernéticos que
perturbariam infraestruturas críticas dos EUA, incluindo oleodutos e gasodutos
e ferrovias. sistemas.
“Se Pequim temesse que um
grande conflito com os Estados Unidos fosse iminente, quase certamente
consideraria a realização de operações cibernéticas agressivas contra
infra-estruturas críticas e activos militares nacionais dos EUA em todo o
mundo”, afirmou a avaliação.
Algumas das vítimas
comprometidas pelo Volt Typhoon eram pequenas empresas e organizações de vários
sectores e “não necessariamente aquelas que teriam uma ligação relevante
imediata a uma função crítica da qual muitos americanos dependem”, disse Eric
Goldstein, director executivo assistente da CISA. Isto pode ter sido “uma
segmentação oportunista... com base em onde eles podem obter acesso” – uma
forma de conseguir uma posição segura numa cadeia de abastecimento na esperança
de um dia passar para clientes maiores e mais críticos, disse ele.
Oficiais militares chineses
descreveram em documentos internos como podem usar ferramentas cibernéticas ou
“guerra em rede” num conflito, disse McReynolds, que leu alguns dos
escritos. Ele disse que os estrategistas militares falam em sincronizar ataques
aéreos e de mísseis com a interrupção das redes de comando e controle,
infraestrutura crítica, redes de satélites e sistemas de logística militar.
Eles falaram sobre a aplicação
dessas ferramentas em invasões anfíbias, disse ele. “Isso é algo que eles
claramente consideram relevante para o cenário de Taiwan”, disse ele, “embora
não digam explicitamente que é assim que vamos dominar Taiwan”.
Isto está longe de ser a
primeira incursão da China no hackeamento de infraestruturas críticas. Em
2012, uma empresa canadiana, a Telvent, cujo software operava remotamente os
principais gasodutos de gás natural na América do Norte, notificou os clientes
de que um hacker sofisticado tinha violado as seus firewalls e roubado dados
relativos aos sistemas de controlo industrial. A empresa de segurança
cibernética Mandiant atribuiu a violação a um prolífico grupo de hackers do
PLA, a Unidade 61398. Cinco membros da unidade foram indiciados em 2014 sob
a acusação de hackear empresas dos EUA.
Em
2014, o Departamento de Justiça indiciou cinco membros do Exército de
Libertação Popular, o exército chinês, sob a acusação de hackear empresas
norte-americanas. (Charles Dharapak/AP)
Na
altura, o governo dos EUA não tinha a certeza se o objectivo da China era
recolher informações ou pré-posicionar-se para perturbar. Hoje, com base
na recolha de informações e no facto de as instalações visadas terem pouca
informação de valor político ou económico, as autoridades norte-americanas
dizem que é claro que a única razão para penetrar nelas é poder conduzir ações
perturbadoras ou destrutivas mais tarde.
O
pesquisador de ameaças Jonathan Condra, da empresa de segurança Recorded Future
– que durante o verão encontrou o Volt Typhoon sondando a rede do Texas – disse
que o sigilo com que os chineses conduziram os ataques vai contra qualquer
noção de que eles queriam que os Estados Unidos conhecessem suas capacidades.
Os
hackers “estavam fazendo isso de forma muito mais furtiva do que se estivessem
tentando ser pegos”, disse ele.
O
governo dos EUA há muito que procura melhorar a coordenação com o sector
privado, que possui a maior parte da infra-estrutura crítica do país, e com
empresas tecnológicas que podem detectar ameaças cibernéticas. Empresas
como a Microsoft compartilham informações anônimas sobre táticas adversárias,
indicadores de que um sistema foi comprometido e mitigações, disse Goldstein da
CISA. Geralmente, essas empresas não detectam a presença do hacker nas
redes dos clientes, mas detectam-na através de comunicações com os servidores
que o hacker está usando para direcionar o ataque, disse ele.
Em
alguns casos, as próprias vítimas procuram assistência da CISA. Em outros,
disse Goldstein, a CISA é alertada por um fornecedor de software ou
comunicações sobre uma vítima e o governo deve buscar uma ordem judicial para
obrigar o fornecedor a revelar a identidade da vítima.
Em
maio, a Microsoft disse ter encontrado o Volt Typhoon se infiltrando em
infraestruturas críticas em Guam e em outros lugares, listando vários
setores. Entre elas estavam empresas de telecomunicações, segundo pessoas
familiarizadas com o assunto. Os hacks foram especialmente preocupantes,
disseram analistas, porque Guam é o território dos EUA mais próximo do
disputado Estreito de Taiwan.
As
intrusões em sectores como os sistemas de água e energia ocorrem num momento em
que a administração Biden procura fortalecer a capacidade das indústrias de se
defenderem através da emissão de regras obrigatórias de segurança
cibernética. No verão de 2021 , a administração implementou as primeiras regulamentações cibernéticas para oleodutos e
gasodutos . Em março, a Agência de Proteção Ambiental anunciou a exigência
de que os estados reportassem ameaças cibernéticas nas suas auditorias aos
sistemas públicos de água. Pouco depois, porém, três estados processaram a
administração, acusando-a de excesso regulatório.
O
presidente Biden disse em 15 de novembro que ele e o presidente chinês Xi
Jinping concordaram em restaurar as comunicações diretas após a
reunião. (Vídeo: Washington Post)
A EPA retirou a regra e pediu ao Congresso que agisse
sobre um regulamento. Entretanto, a agência deve contar com os estados
para reportarem ameaças voluntariamente.
Num comunicado conjunto emitido em Maio, a aliança de
inteligência Five Eyes dos Estados Unidos, Grã-Bretanha, Canadá, Austrália e
Nova Zelândia ofereceu conselhos sobre como caçar os intrusos. Um dos
desafios é a tática dos hackers de evitar a detecção por firewalls e outras
defesas usando ferramentas legítimas para que a presença dos hackers se
misture com a atividade normal da rede. A técnica é chamada de “viver da
terra”.
“Os
dois desafios mais difíceis com estas técnicas são determinar se ocorreu um
compromisso e, uma vez detetado, ter confiança de que o ator foi despejado”,
disse Adamski, da NSA, cujo Centro de Colaboração em Cibersegurança coordena
com a indústria privada.
A
NSA e outras agências recomendam redefinições de senha em massa e melhor
monitoramento de contas com altos privilégios de rede. Eles também
instaram as empresas a exigir formas mais seguras de autenticação
multifatorial, como tokens de hardware, em vez de depender de uma mensagem de
texto enviada ao telefone do usuário, que pode ser interceptada por governos
estrangeiros.
Apesar
do escrutínio intensificado resultante do comunicado de maio, os hackers
persistiram, buscando novos alvos.
Em
agosto, de acordo com a Recorded Future, os hackers tentaram fazer conexões da
infraestrutura usada pelo Volt Typhoon com domínios ou subdomínios da Internet
usados pela Comissão de Utilidade Pública do Texas e pelo Conselho de
Confiabilidade Elétrica do Texas, que opera a rede elétrica daquele estado. Embora
não haja provas de que as tentativas de penetração no sistema tenham sido
bem-sucedidas, o esforço destaca os tipos de alvos nos quais os militares
chineses estão interessados. As duas agências do Texas recusaram-se a responder
a perguntas sobre os incidentes do The Post.
O
Conselho de Confiabilidade disse que trabalha em estreita colaboração com
agências federais e grupos industriais e que possui sistemas redundantes e
acesso controlado como parte de uma “defesa em camadas”.
Nas
semanas que antecederam a reunião Biden-Xi no mês passado, funcionários da NSA
falando em conferências da indústria repetiram o apelo ao sector privado para
partilhar informações sobre tentativas de pirataria informática. A NSA
pode investigar as redes dos adversários no exterior, enquanto as empresas dos
EUA têm visibilidade nas redes corporativas nacionais. Juntos, a indústria
e o governo podem ter uma visão mais completa dos objectivos, tácticas e
motivos dos atacantes, dizem as autoridades dos EUA.
A
China “tem um estoque de vulnerabilidades estratégicas” ou falhas de segurança
não reveladas que pode usar em ataques furtivos, disse Adamski no mês passado
na conferência CyberWarCon em Washington. “Esta é uma luta pela nossa
infraestrutura crítica. Temos que tornar isso mais difícil para eles.”
O tema das intrusões cibernéticas chinesas em infraestruturas críticas estava numa lista proposta de pontos de discussão a serem levantados no encontro de Biden com Xi, de acordo com pessoas familiarizadas com o assunto, mas não foi abordado na reunião de quatro horas.
