O sistema de administração financeira do governo federal, o Siafi, usado na execução de pagamentos, foi alvo de uma invasão no mês de abril. Há suspeita de que os autores do ataque conseguiram emitir ordens bancárias e desviar recursos da União.
A Polícia Federal investiga o caso e atua no rastreio dos suspeitos com apoio da Abin (Agência Brasileira de Inteligência).
O Tesouro Nacional, órgão gestor do Siafi, implementou medidas adicionais de segurança para autenticar os usuários habilitados a operar o sistema e autorizar pagamentos.
Em nota, o órgão confirmou a “utilização indevida de credenciais obtidas de modo irregular” e disse que “as tentativas de realizar operações na plataforma foram identificadas”. O Tesouro afirmou ainda que as ações “não causaram prejuízos à integridade do sistema”.
Segundo interlocutores que auxiliam nas investigações, o sistema de autenticação dos usuários por meio do portal gov.br sofreu um ataque. Com a falha de segurança, gestores habilitados para fazer movimentações financeiras tiveram seus acessos utilizados por terceiros sem autorização.
As apurações indicam que os invasores conseguiram acessar o Siafi utilizando o CPF e a senha do gov.br de gestores e ordenadores de despesas para operar a plataforma de pagamentos.
A suspeita é que os invasores coletaram os dados sem autorização via sistema de pesca de senhas (com uso de links maliciosos, por exemplo). Uma das hipóteses é que essa coleta se estendeu por meses até os suspeitos reunirem um volume considerável de senhas para levar a cabo o ataque.
Outros artifícios também podem ter sido empregados pelos invasores. A plataforma tem um mecanismo que permite desabilitar e recriar o acesso a partir do CPF do usuário, o que pode ter viabilizado o uso indevido do sistema.
Na prática, os invasores conseguiram alterar a senha de outros servidores, ampliando a escala da ação.
Dadas as características, interlocutores do governo afirmam que se trata de uma ação muito bem articulada, pois apenas alguns servidores têm nível de acesso elevado o suficiente para emitir ordens bancárias em nome da União. Isso indica uma atuação direcionada por parte dos invasores.
Além disso, técnicos ouvidos pela Folha observam que o Siafi é um sistema complexo, pouco intuitivo, e operá-lo requer conhecimento especializado sobre a plataforma.
De acordo com as apurações preliminares, uma das tentativas de invasão se deu no início de abril por meio do uso não autorizado de acessos pertencentes a gestores da Câmara dos Deputados.
A fraude foi detectada porque o CPF do gestor utilizado para tentar emitir uma ordem bancária por meio do Pix (OB Pix) era o mesmo de quem fez a liquidação da despesa. Nas regras de administração financeira federal, a liquidação e o pagamento precisam ser autorizados por gestores distintos.
Além disso, apesar da possibilidade, a Câmara não adota como procedimento a execução de pagamentos via Pix.
Na ocasião, outro fator que dificultou a ação dos invasores foi o fato de que a OB Pix já estava desabilitada. Segundo os relatos, outra unidade gestora já havia sido alvo do mesmo tipo de ataque, e o Tesouro adotou a suspensão como medida preventiva.
As suspeitas indicam que houve uso indevido dos acessos do gov.br para operar o Siafi em outros órgãos do Executivo. O governo ainda apura os impactos nos ministérios.
Folha Mercado
Receba no seu email o que de mais importante acontece na economia; aberta para não assinantes.
Segundo interlocutores que auxiliam nas investigações, há suspeita de pagamentos com substituição do destinatário original da dotação orçamentária, caracterizando o desvio. Não há confirmação oficial sobre os montantes envolvidos, nem quais órgãos foram alvo da ação.
A Abin informou que “acompanha o caso em colaboração com as autoridades competentes”.
Em nota, o Tesouro disse que trabalha em colaboração com as autoridades competentes para a conclusão das investigações e que “reitera seu compromisso com a transparência, a segurança dos sistemas governamentais e a preservação do adequado zelo das informações, até o término das apurações”.
O órgão gestor do Siafi afirmou ainda não ver o episódio como uma “invasão”, mas sim uma “utilização indevida de credenciais obtidas de modo irregular”.
“Todas as medidas necessárias vêm sendo tomadas pela STN [Secretaria do Tesouro Nacional] em resposta ao caso, incluindo a implementação de ações adicionais para reforçar a segurança do sistema.”
O Ministério da Gestão e Inovação informou que o episódio “não configura uma falha de segurança no gov.br, mas sim uma utilização indevida de credenciais obtidas de modo irregular”. A pasta disse que o caso está sendo investigado e recomentou a todos os usuários a utilização de ferramentas de segurança disponíveis, como validação em duas etapa e a gestão de dispositivos que acessam a conta.
Após os episódios do início do mês, o Tesouro comunicou aos gestores e ordenadores de despesa que o acesso ao Siafi passaria a ser feito apenas por meio do certificado digital.
Mesmo assim, o governo detectou novas tentativas de invasão com a utilização de certificados digitais emitidos por empresas privadas. As apurações preliminares indicam que os invasores conseguiram emitir os certificados em nome dos servidores públicos habilitados no sistema de pagamentos.
Nesta segunda-feira (22), o gestor do Siafi passou a exigir acesso com certificado digital emitido pelo Serpro, empresa pública federal do ramo de tecnologia.
O alerta sobre essa última mudança foi emitido na noite de sexta-feira (19), às 19h52 —o sistema fecha às 20h e não opera nos fins de semana. A nova regra passou a ser implementada nesta segunda.
O comunicado foi emitido pelo Centro de Prevenção, Tratamento e Resposta a Incidentes Cibernéticos do Governo (CTIR Gov), em colaboração com o Centro Integrado de Segurança Cibernética do Governo Digital.
O ministro Fernando Haddad (Fazenda) disse nesta segunda disse que o problema não é do Siafi em si, mas sim de autenticação de acesso.
“É isso que está sendo apurado. Como é que alguém teve acesso tendo sido autenticado. Ou seja, não foi uma ação de um hacker que quebrou segurança, não foi isso. Foi um problema de autenticação. É isso que a Polícia Federal está apurando e obviamente que está rastreando para chegar nos responsáveis”, afirmou.
O ministro da Fazenda, pasta à qual o Tesouro Nacional é ligado, afirmou ainda que não tem informação dos valores envolvidos.
“Isso estava sendo mantido em sigilo inclusive dos ministros. Estava entre o Tesouro e acho que a Polícia Federal, e eu soube no mesmo momento que vocês. Agora eu vou inclusive informar o presidente [Lula] das informações que eu tenho. Mas repito, não foi uma ação hacker contra o sistema. O sistema está preservado, foi uma questão de autenticação”, acrescentou.
O Siafi já havia sido alvo de uma tentativa de invasão em 2021. Na época, o então Ministério da Economia informou que medidas de contenção foram imediatamente aplicadas pela Polícia Federal e que não houve danos ao sistema.
A invasão na ocasião foi do tipo “ransomware”. Nessa modalidade de ação, dados da instituição atacada são coletados e pode haver bloqueio do sistema. Em seguida, os criminosos fazem cobrança de uma espécie de resgate, com pedido de pagamento que pode ser em moedas digitais.
ENTENDA O CASO
O que é o Siafi?
O Siafi (Sistema Integrado de Administração Financeira do Governo Federal) é um sistema operacional desenvolvido pelo Tesouro Nacional em conjunto com o Serpro. Ele foi implementado em janeiro de 1987 e, desde então, é o principal instrumento utilizado para registro, acompanhamento e controle da execução orçamentária, financeira, patrimonial e contábil do governo federal.
É por meio dele que o governo realiza o empenho de despesas (a primeira fase do gasto, quando é feita a reserva para pagamento), bem como os pagamentos das dotações orçamentárias via emissão de ordens bancárias.
Quem usa o Siafi?
Gestores de órgãos administração pública direta, das autarquias, fundações e empresas públicas federais e das sociedades de economia mista que estiverem contempladas no Orçamento Fiscal ou no Orçamento da Seguridade Social da União.
O que está sob investigação?
Invasores utilizaram credenciais válidas de servidores e acessaram o Siafi utilizando o CPF e a senha desses gestores e ordenadores de despesas para operar a plataforma de pagamentos. A PF investiga o caso com apoio da Abin. O governo ainda apura a extensão dos impactos.
O senador e ex-vice-presidente da República Hamilton Mourão (Republicanos-RS) chamou de "fanfarronada" o plano de golpe de Estado revelado pela Polícia Federal na Operação...