Os criminosos que invadiram o sistema responsável pelos pagamentos do governo federal, chamado de Siafi, tentaram movimentar R$ 9 milhões do Ministério da Gestão e Inovação em Serviços Públicos. De acordo com a Polícia Federal, parte dos recursos foi bloqueada.
Os ataques teriam acontecido há cerca de duas semanas e direcionados à área de autenticação do sistema integrado de administração financeira da Secretaria do Tesouro do Ministério da Fazenda. A pasta, chefiada por Fernando Haddad, identificou um ataque de ransomware à rede interna e medidas de contenção foram imediatamente aplicadas.
O ransomware é um tipo de software malicioso utilizado por cibercriminosos para infectar um computador ou uma rede, bloqueando o acesso ao sistema e criptografando os dados. Os efeitos da ação criminosa estão sendo avaliados pelos especialistas do governo.
A Polícia Federal abriu uma investigação sobre o caso. Os criminosos atuaram em ataques direcionados ao sistema de entrada de usuários autorizados a realizar pagamentos. Com as credenciais verdadeiras, eles teriam inserido ordens de pagamento e desviado recursos públicos.
Um dos pagamentos teria sido feito com o login roubado de um gestor da Câmara dos Deputados, via Pix, o mesmo usuário que teria gerado a chamada ordem de serviço. Na instituição, os pagamentos sequer poderiam ocorrer na modalidade. Também não poderiam ser realizados pelo mesmo CPF de quem gerou a ordem.
A investigação corre em sigilo e conta com o apoio da Abin (Agência Brasileira de Inteligência). Os suspeitos teriam desviado recursos públicos da União, sendo R$ 9 milhões apenas dos cofres do ministério comandado por Esther Dweck.
“Não foi um hacker que quebrou a segurança [do Siafi], não foi isso. Foi um problema de autenticação. É isso que a Polícia Federal está apurando e está rastreando para chegar aos responsáveis”, disse o ministro da Fazenda, Fernando Haddad. “O sistema está preservado. Foi uma questão de autenticação. É alguém que tinha acesso.”
Nesta terça-feira (23), Haddad disse que as investigações teriam descoberto um dos responsáveis pelo ataque. “Não acredito que esteja completo o ciclo de investigação, mas teve início e parece que um dos responsáveis foi identificado. Eu não tenho nome, nada disso, porque a investigação está sendo feita sob sigilo justamente para evitar que as coisas não cheguem ao fim”, disse.
A informação, porém, não é confirmada pela PF, que continua investigando os responsáveis pelo crime. Em nota oficial, o Tesouro Nacional afirmou que o episódio não configura uma invasão, “mas sim uma utilização indevida de credenciais obtidas de modo irregular”. “As tentativas de realizar operações na plataforma foram identificadas e não causaram prejuízos à integridade do sistema”, diz o comunicado. O Tesouro reforçou, ainda, que todas as medidas estão sendo tomadas em resposta ao caso, “incluindo a implementação de ações adicionais para reforçar a segurança do sistema”.
*Com informações da Agência Brasil