Empresas de tecnologia dizem que há poucas dúvidas da Rússia por trás de grande hack

As principais empresas de tecnologia disseram na terça-feira que uma violação de meses de redes corporativas e governamentais era tão sofisticada, focada e trabalhosa que uma nação tinha que estar por trás dela, com todas as evidências apontando para a Rússia.

Na primeira audiência no Congresso sobre a violação, representantes de empresas de tecnologia envolvidas na resposta descreveram um hack de precisão, ambição e escopo quase deslumbrantes. Os perpetradores furtivamente coletaram e-mails e documentos específicos em uma lista de alvos dos Estados Unidos e de outros países.

“Não vimos esse tipo de sofisticação combinado com esse tipo de escala”, disse o presidente da Microsoft, Brad Smith, ao Comitê de Inteligência do Senado.

Investigadores forenses estimaram que pelo menos 1.000 engenheiros altamente qualificados teriam sido necessários para desenvolver o código que sequestrou o software de rede amplamente usado da SolarWinds, com sede no Texas, para implantar malware em todo o mundo por meio de uma atualização de segurança.

“Vimos evidências substanciais que apontam para a agência de inteligência estrangeira russa e não encontramos nenhuma evidência que nos leve a qualquer outro lugar”, disse Smith.

Autoridades de segurança nacional dos EUA também disseram que a Rússia provavelmente foi a responsável pela violação, e o governo do presidente Joe Biden está avaliando medidas punitivas contra a Rússia pelo hack e por outras atividades. Moscou negou responsabilidade pela violação.

Autoridades disseram que o motivo do hack, descoberto pela empresa de segurança privada FireEye em dezembro, parecia ser a coleta de informações. Sobre o quê, eles não disseram.

Pelo menos nove agências governamentais e 100 empresas privadas foram violadas, mas o que foi levado não foi revelado.

A secretária de imprensa da Casa Branca, Jen Psaki, disse na terça-feira que levariam “semanas, não meses” antes que os EUA respondessem à Rússia.

“Pedimos à comunidade de inteligência que trabalhe mais para enfatizar a atribuição que o governo anterior fez sobre precisamente como o hack ocorreu, qual é a extensão dos danos e qual é o escopo e a escala da intrusão”, disse Psaki. “E ainda estamos trabalhando nisso agora.”

O CEO da FireEye, Kevin Mandia, disse ao Senado que sua empresa teve quase 100 pessoas trabalhando para estudar e conter a violação desde que a detectaram, quase por acidente, em dezembro, e alertaram o governo dos Estados Unidos.

Os hackers instalaram silenciosamente o código malicioso pela primeira vez em outubro de 2019 em redes direcionadas, mas não o ativaram para ver se podiam permanecer sem serem detectados. Eles voltaram em março e imediatamente começaram a roubar as credenciais de login de pessoas autorizadas a entrar na rede para que pudessem ter uma “chave secreta” para se movimentar à vontade, disse Mandia.

Uma vez detectados, “eles desapareceram como fantasmas”, disse ele.

“Não tenho dúvidas de que isso foi planejado”, disse o executivo de segurança. “A questão realmente é onde está o próximo e quando vamos encontrá-lo?”

As agências governamentais violadas incluem os departamentos do Tesouro, Justiça e Comércio, mas a lista completa não foi divulgada publicamente. O presidente da Microsoft, que está trabalhando com a FireEye na resposta, disse que há vítimas em todo o mundo, incluindo Canadá, México, Espanha e Emirados Árabes Unidos.

O painel, que também incluiu Sudhakar Ramakrishna, CEO da SolarWinds que assumiu a empresa após a invasão, e George Kurtz, presidente e CEO da CrowdStrike, outra empresa líder de segurança, enfrentou questões não apenas sobre como a violação ocorreu, mas também se as vítimas de hackers precisam ser legalmente obrigadas a comparecer quando são violadas. Mesmo agora, três meses após a revelação da violação, a identidade da maioria das vítimas permanece desconhecida.

O Congresso considerou no passado se deveria exigir que as empresas relatassem que foram vítimas de um hack, mas isso gerou preocupações legais, incluindo se elas poderiam ser responsabilizadas pelos clientes pela perda de dados.

As autoridades dos Estados Unidos também estão considerando a possibilidade de conceder recursos e autoridade adicionais à Agência de Infraestrutura e Segurança Cibernética ou outras agências para que possam desempenhar um papel mais vigoroso no trabalho de prevenção de violações futuras.

Outra medida considerada é a criação de uma nova agência, como o National Transportation Safety Board, que poderia rapidamente entrar e avaliar uma violação e determinar se há problemas que precisam ser corrigidos.

O senador Ron Wyden, uma das vozes mais proeminentes em questões cibernéticas no Senado, alertou que os EUA devem primeiro se certificar de que as agências governamentais violadas neste incidente tenham tomado as medidas de segurança necessárias.

“A impressão que o povo americano pode ter com esta audiência é que os hackers são adversários tão formidáveis ​​que não havia nada que o governo americano ou nossas maiores empresas de tecnologia pudessem ter feito para se proteger”, disse Wyden, um democrata do Oregon. “Minha opinião é que a mensagem leva a leis que violam a privacidade e a bilhões de fundos do contribuinte para segurança cibernética”.