Invasores do Siafi tentaram movimentar ao menos R$ 9 milhões só em um ministério
Criminosos conseguiram desviar ao menos R$ 3,5 milhões, dos quais R$ 2 milhões foram recuperados
(Folhapress) Os criminosos que invadiram o sistema de administração financeira do governo federal, o Siafi, usado na execução de pagamentos, tentaram movimentar ao menos R$ 9 milhões do Ministério da Gestão e Inovação.
Segundo as apurações preliminares, eles conseguiram desviar no mínimo R$ 3,5 milhões do órgão, dos quais R$ 2 milhões já foram recuperados.
A invasão ao Siafi foi relevada pela Folha. O Tesouro Nacional, órgão gestor do Siafi, implementou medidas adicionais de segurança para autenticar os usuários habilitados a operar o sistema e autorizar pagamentos.
Em nota, o órgão confirmou a “utilização indevida de credenciais obtidas de modo irregular” e disse que “as tentativas de realizar operações na plataforma foram identificadas”. O Tesouro afirmou ainda que as ações “não causaram prejuízos à integridade do sistema”.
Integrantes do governo relatam que os criminosos realizaram três operações Pix a partir dos recursos do MGI, para três bancos diferentes.
Os investigadores conseguiram reaver os valores transferido para duas instituições, mas o maior volume, repassado para uma terceira instituição, não pôde ser recuperado porque o dinheiro já havia sido direcionado para outras contas.
Os valores em questão dizem respeito apenas ao que foi mapeado no âmbito do MGI. De acordo com investigadores da PF, os invasores conseguiram movimentar valores maiores que os R$ 3,5 milhões.
Ainda não há confirmação pública dos montantes envolvidos, nem quais órgãos foram alvo da ação criminosa. A Polícia Federal investiga o caso com apoio da Abin (Agência Brasileira de Inteligência).
Para conseguir fazer as transferências, os criminosos roubaram ao menos sete senhas de servidores que têm perfil de ordenadores de despesa —ou seja, têm permissão para emitir ordens bancárias em nome da União.
Houve tentativas de pagamento em pelo menos três órgãos: MGI, Câmara dos Deputados e TSE (Tribunal Superior Eleitoral).
Na Câmara, os criminosos não tiveram êxito porque uma série de barreiras de segurança impediu a conclusão das transações.
Segundo interlocutores que auxiliam nas investigações, gestores habilitados para fazer movimentações financeiras dentro do Siafi tiveram seus acessos por meio do gov.br utilizados por terceiros sem autorização.
As apurações indicam que os invasores conseguiram acessar o Siafi utilizando o CPF e a senha do gov.br de gestores e ordenadores de despesas para operar a plataforma de pagamentos.
A Polícia Federal disse, em nota, que soube dos ataques em 5 de abril, quando começaram as apurações. As diligências são conduzidas em segredo de Justiça.
O Tesouro realizou uma reunião com diferentes agentes financeiros do governo no dia 12 de abril para comunicar a existência de um ataque ao Siafi e ao gov.br.
Segundo relatos, o órgão gestor do sistema teria informado que no fim de março, nas proximidades da Páscoa, os criminosos conseguiram se apropriar de um perfil com acesso privilegiado dentro do sistema e usaram isso para acessar ordens bancárias e alterar os ordenadores da despesa e os beneficiários dos valores.
O Tesouro chegou a suspender a emissão de ordens bancárias por meio do Pix (OB Pix), instrumento preferencial utilizado pelos invasores para desviar os recursos.
Como mostrou a Folha, a suspeita é que os invasores coletaram os dados sem autorização via sistema de pesca de senhas (com uso de links maliciosos, por exemplo). Uma das hipóteses é que essa coleta se estendeu por meses até os suspeitos reunirem um volume considerável de senhas para levar a cabo o ataque.
Outros artifícios também podem ter sido empregados pelos invasores. A plataforma tem um mecanismo que permite desabilitar e recriar o acesso a partir do CPF do usuário, o que pode ter viabilizado o uso indevido do sistema.
Na prática, os invasores conseguiram alterar a senha de outros servidores, ampliando a escala da ação.
Dadas as características, interlocutores do governo afirmam que se trata de uma ação muito bem articulada, pois apenas alguns servidores têm nível de acesso elevado o suficiente para emitir ordens bancárias em nome da União. Isso indica uma atuação direcionada por parte dos invasores.
Além disso, técnicos observam que o Siafi é um sistema complexo, pouco intuitivo, e operá-lo requer conhecimento especializado sobre a plataforma. Alguns chegaram a mencionar que há fragilidades de segurança no sistema.
O TCU (Tribunal de Contas da União) vai fazer uma fiscalização para verificar as providências adotadas pelo governo para solucionar o problema.
A corte de contas já vinha realizando uma auditoria no Tesouro Nacional com o objetivo de promover a melhoria na gestão de riscos de segurança da informação, por meio da avaliação dos controles administrativos e técnicos existentes na organização.
A auditoria, ainda em curso, está quase na metade dos trabalhos, mas a equipe apresentou no fim de março aos gestores do Tesouro Nacional um relatório parcial em que apontou evidências de vulnerabilidades.
Não há qualquer evidência de que essas vulnerabilidades identificadas e comunicadas ao Tesouro abriram caminho para a invasão ao Siafi ou de qualquer relação com o caso. O TCU ainda vai decidir se a fiscalização sobre o episódio se dará no âmbito deste mesmo processo, ou se ensejará a abertura de uma nova auditoria.
ENTENDA O CASO
O que é o Siafi?
O Siafi (Sistema Integrado de Administração Financeira do Governo Federal) é um sistema operacional desenvolvido pelo Tesouro Nacional em conjunto com o Serpro. Ele foi implementado em janeiro de 1987 e, desde então, é o principal instrumento utilizado para registro, acompanhamento e controle da execução orçamentária, financeira, patrimonial e contábil do governo federal.
É por meio dele que o governo realiza o empenho de despesas (a primeira fase do gasto, quando é feita a reserva para pagamento), bem como os pagamentos das dotações orçamentárias via emissão de ordens bancárias.
Quem usa o Siafi?
Gestores de órgãos administração pública direta, das autarquias, fundações e empresas públicas federais e das sociedades de economia mista que estiverem contempladas no Orçamento Fiscal ou no Orçamento da Seguridade Social da União.
O que está sob investigação?
Invasores utilizaram credenciais válidas de servidores e acessaram o Siafi utilizando o CPF e a senha desses gestores e ordenadores de despesas para operar a plataforma de pagamentos. A PF investiga o caso com apoio da Abin. O governo ainda apura a extensão dos impactos.