As Forças Armadas da China estão incrementando sua capacidade de perturbar infraestruturas críticas dos Estados Unidos, incluindo serviços de fornecimento de energia e água, assim como sistemas de comunicações e transportes, de acordo com autoridades americanas e responsáveis por segurança na indústria.
Hackers afiliados ao Exército de Libertação Popular invadiram sistemas computacionais de aproximadamente uma dúzia de entidades críticas ao longo do ano passado, afirmam esses especialistas.
As invasões são parte de um esforço mais amplo de desenvolver maneiras de semear pânico e caos ou perturbar logísticas na eventualidade de um conflito EUA-China no Pacífico, afirmaram eles.
Entre as vítimas estiveram uma instalação hídrica no Havaí, um grande porto na Costa Oeste e pelo menos uma rede de tubulações de petróleo e gás natural, segundo relataram ao Washington Post pessoas familiarizadas com os incidentes. Os hackers também tentaram invadir o operador do sistema de eletricidade do Texas, que opera independentemente das redes de transmissão do restante do país.
Várias entidades fora dos EUA, incluindo empresas de eletricidade, também foram vítimas dos hackers, afirmaram as fontes, que falaram sob condição de anonimato em razão da sensibilidade do assunto.
Nenhuma invasão afetou sistemas de controle industrial que operam bombas, motores ou outro tipo de função crítica, nem causou nenhuma perturbação, afirmaram autoridades americanas. Mas elas disseram que a atenção ao Havaí, lar da Frota do Pacífico dos EUA, e a pelo menos um porto, assim como a centros de logística, sugere que os militares chineses querem a capacidade de complicar esforços americanos para enviar soldados e equipamentos para a região se um conflito sobre Taiwan irromper.
Esses detalhes, revelados com exclusividade, ajudam a compor uma visão de uma campanha cibernética apelidada de Tufão Volt, detectada pela primeira vez cerca de um ano atrás pelo governo americano, conforme EUA e China enfrentam dificuldades para estabilizar uma relação que neste momento atravessa o período de maior antagonismo em em décadas. Os comandantes militares chineses recusaram-se por mais de um ano a conversar com suas contrapartes americanas, mesmo em casos cada vez mais comuns no Pacífico Ocidental em que caças de combate chineses quase interceptaram aviões-espiões dos EUA. O presidentes dos EUA, Joe Biden, e da China, Xi Jinping, concordaram em restaurar esses canais de comunicação no mês passado.]
Leia mais
“Está muito claro que as tentativas chinesas de comprometer infraestruturas críticas são em parte para se pré-posicionar no sentido de serem capazes de perturbar ou destruir aquelas infraestruturas críticas na eventualidades de um conflito, ou até para evitar que Washington seja capaz de projetar poder na Ásia ou para provocar caos social dentro dos EUA — para afetar nossa tomada de decisão numa crise”, afirmou o diretor-executivo da Agência de Cibersegurança e Infraestrutura (Cisa), do Departamento de Segurança Interna, Brandon Wales. “Trata-se de uma mudança significativa em relação à atividade cibernética da China de sete a dez anos atrás, que tinha foco principalmente em espionagem política e econômica.
O diretor do Centro de Colaboração em Cibersegurança da Agência de Segurança Nacional (NSA), Morgan Adamski, confirmou por e-mail que a atividade Tufão Volt “parece ter foco em alvos dentro da região do Indo-Pacífico, a incluir o Havaí”.
Os hackers com frequência mascaram seus rastros realizando seus ataques por meio de dispositivos inofensivos, como roteadores de residências ou empresas, antes de alcançar suas vítimas, afirmaram autoridades. Um objetivo crítico foi roubar credenciais de funcionários que eles poderiam usar para retornar, disfarçados de usuários normais. Mas alguns de seus métodos de entrada não foram determinados.
Os hackers buscam uma maneira de entrar nos sistemas e ficar dentro sem ser detectados, afirmou o pesquisador Joe McReynolds, que estuda segurança chinesa na Fundação Jamestown, um instituto de análise com foco em questões de segurança. “Você está tentando construir túneis de acesso à infraestrutura de seu inimigo para poder usar posteriormente para atacar. Até lá, você fica em espera, faz reconhecimentos, aprende como entrar em sistemas de controle industrial, em empresas mais importantes ou alvos de nível mais alto. E um dia, se vier a ordem de cima, você passa do modo de reconhecimento para o modo de ataque.”
As revelações do Post reforçam as constatações da análise anual de ameaças do Escritório da Diretora de Inteligência Nacional, que alertaram, em fevereiro, que a China “quase certamente é capaz” de lançar ciberataques que perturbariam infraestruturas críticas nos EUA, incluindo tubulações de petróleo e gás natural e sistemas ferroviários.
“Se Pequim temesse que um grande conflito com os EUA era iminente, quase certamente consideraria praticar operações cibernéticas agressivas contra infraestruturas domésticas críticas e ativos dos EUA em todo o mundo”, afirmou a análise.
Algumas das vítimas do Tufão Volt foram empresas e organizações menores, de de setores variados e “não necessariamente que tivesse conexão imediata e relevante com algum serviço crítico do qual os americanos possam depender”, afirmou o diretor-executivo da Cisa, Eric Goldstein. Pode ter havido uma “mira oportunista (…) com base nos locais em que eles conseguem acesso” — como uma maneira de obter um ponto de apoio numa cadeia de fornecimento na esperança de um dia alcançar clientes mais importantes, afirmou ele.
Oficiais militares chineses descreveram em documentos internos como poderiam usar ferramentas cibernéticas ou “guerra de redes” em um conflito, afirmou McReynolds, que analisou parte dos registros. Ele afirmou que estrategistas militares falam em sincronizar ataques aéreos e de mísseis com interrupções de redes de comando e controle, infraestruturas críticas, redes de satélites e sistemas de logística militar.
Eles falaram sobre essas ferramentas aplicando-as em invasões anfíbias, afirmou ele. “São coisas que eles claramente consideram muito relevantes em um cenário envolvendo”, afirmou ele, “apesar de não dizerem explicitamente que é assim que eles tomarão Taiwan”.
Esta operação é muito diferente da primeira incursão chinesa em infraestruturas críticas. Em 2012, a empresa canadense Telvent, cujo software operava remotamente grandes gasodutos na América do Norte, notificou os clientes que um hacker sofisticado tinha invadido seus firewalls e roubado dados relacionados a controles de sistemas industriais. A firma de cibersegurança Mandiant constatou que a invasão foi realizada por um prolífico grupo hacker do ELP, chamado Unit 61398. Cinco membros do grupo foram indiciados em 2014 por hackear empresas americanas.
Na época, o governo americano não tinha certeza se o objetivo da China era coletar inteligência ou se pré-posicionar para causar perturbações. Hoje, com base em informações de inteligência e no fato das empresas e instalações afetadas terem poucos dados de inteligência de valor político e econômico, as autoridades americanas afirmam ser evidente que a única razão para invadi-las era ser capaz de conduzir ações de interferência ou destruição posteriormente.
O pesquisador de ameaças Jonathan Condra, da empresa de segurança Recorded Future — que no verão (Hemisfério Norte) descobriu que o Tufão Volt inserida na rede de eletricidade do Texas — afirmou que o nível de sigilo em que os chineses conduziram os ataque indica que eles não queriam que os EUA soubessem de suas capacidades. Os hackers “trabalharam muito mais furtivamente do que se quisessem ser pegos”, afirmou ele.
O governo americano busca há muito melhorar a coordenação com o setor privado, que é dono da maior parte da infraestrutura crítica do país, e empresas de tecnologia capazes de detectar ciberataques. Empresas como Microsoft compartilham dados anonimizados a respeito das táticas dos adversários, indicadores de que um sistema foi comprometido e mitigações, afirmou Goldstein, do Cisa. Geralmente, essas empresas não percebem a presença dos hackers dentro das redes dos clientes, mas a detectam por meio de comunicações com os servidores que os hackers usam para direcionar os ataques, afirmou ele.
Em alguns casos, as próprias vítimas buscam assistência da Cisa. Em outros, afirmou Goldstein, o Cisa é alertado por um software ou fornecedor de rede de comunicação a respeito de uma vítima, e o governo tem de buscar uma ordem judicial para obrigar o fornecedor a revelar a identidade da vítima.
Confira também
Em maio, a Microsoft afirmou que encontrou um Tufão Volt infiltrado em infraestruturas críticas em Guam e outras partes, listando uma série de setores. As vítimas incluíam empresas de telecomunicações, de acordo com fontes familiarizadas com o assunto. Os ataques-hacker foram especialmente preocupantes, afirmaram analistas, porque Guam é o território americano mais próximo ao contestado Estreito de Taiwan.
As invasões em setores como sistemas hídricos e redes de eletricidade ocorrem enquanto o governo Biden busca fortalecer a capacidade da indústria de se defender, aplicando uma série de regras obrigatórias de cibersegurança. No verão de 2021, o governo americano publicou as primeiras regulações de Washington sobre cibersegurança em tubulações de petróleo e gás natural. Em março, a Agência de Proteção Ambiental (EPA) anunciou um requerimento para que os Estados relatem ameaças cibernéticas em suas auditorias de sistemas públicos de abastecimento de água. Pouco depois, contudo, três Estados abriram processos contra o governo federal na Justiça, acusando-o de exceder poderes regulatórios.
A EPA retirou a regra e pediu para o Congresso produzir a regulação. Enquanto isso, a agência dependem dos Estados relatarem as ameaças voluntariamente.
Numa análise conjunta publicada em maio, a aliança em inteligência Cinco Olhos, um acordo que reúne EUA, Reino Unido, Canadá, Austrália e Nova Zelândia, ofereceu orientações sobre como caçar invasores. Um dos desafios é a tática hacker de evitar detecção de firewalls e outras defesas usando ferramentas legitimamente, para que a presença dos hackers se mescle à atividade normal da rede. A técnica é chamada “viver da terra”.
“Os dois desafios mais difíceis com essas técnicas é determinar que um comprometimento ocorreu; e então, uma vez que a invasão é detectada, é difícil ter certeza de que o perpetrador foi expulso”, afirmou Adamski, da NSA, cujo Centro de Colaboração em Cibersegurança trabalha em coordenação com o setor privado.
A NSA e outras agências recomendam redefinições massivas de senhas e melhor monitoramento de contas que tenham privilégios de rede elevados. Elas também pediram às empresas para exigir mais formas seguras de autenticação multifator, como tokens de hardware, em vez de depender de mensagens de texto para os telefones dos usuários, que podem ser interceptadas por governos estrangeiros.
Apesar do escrutínio incrementado após a revelação de maio, os hackers persistiram, buscando novos alvos.
Em agosto, de acordo com a Recorded Future, os hackers tentaram fazer conexões a partir de infraestruturas que tinham sido usadas pelo Tufão Volt para domínios ou subdomínios de internet usados pela Comissão de Serviços Públicos e pelo Conselho de Segurança Elétrica do Texas, que opera a rede de transmissão de eletricidade no Estado. Apesar de não haver nenhuma evidência de as tentativas de invasão do sistema terem sido bem-sucedidas, o esforço evidencia o tipo de alvo que interessa aos militares chineses. As duas agências texanas recusaram-se a responder perguntas do Post sobre os incidentes.
O Conselho de Segurança Elétrica afirmou que trabalha proximamente com agências federais e grupos da indústria e que usa sistemas redundantes e controles de acesso como parte de uma “defesa em camadas”.
Nas semanas que antecederam a reunião entre Biden e Xi, no mês passado, autoridades da NSA repetiram chamados em conferências da indústria para que o setor privado compartilhe informações sobre tentativas de invasões hacker. A NSA pode vigiar as redes dos adversários no exterior, enquanto as empresas americanas conseguem observar as redes corporativas dentro do país. Juntos, a indústria e o governo podem conseguir obter uma percepção mais completa sobre objetivos, táticas e motivações dos adversários dos EUA, afirmam autoridades americanas.
A China “está sentada sobre uma pilha de vulnerabilidades estratégicas”, ou falhas de segurança não reveladas que o país pode usar em ataques furtivos, afirmou Adamski no mês passado na conferência CyberWarCon, em Washington. “É uma luta por nossa infraestrutura crítica. Nós temos que dificultar as coisas para eles.”
O tópico das intrusões cibernéticas da China em infraestruturas críticas figurou numa lista proposta de temas a serem levantados no encontro de Biden com Xi, de acordo com fontes familiarizadas com o assunto, mas não foi abordado nas quatro horas de reunião. / TRADUÇÃO DE GUILHERME RUSSO