O governo Biden está caçando um código de computador malicioso que acredita que a China escondeu nas profundezas das redes que controlam redes elétricas, sistemas de comunicação e suprimentos de água que alimentam bases militares nos Estados Unidos e em todo o mundo, de acordo com militares americanos, inteligência e autoridades de segurança nacional. .
A descoberta do malware levantou temores de que hackers chineses, provavelmente trabalhando para o Exército Popular de Libertação, tenham inserido um código projetado para interromper as operações militares dos EUA em caso de conflito, inclusive se Pequim se mover contra Taiwan nos próximos anos.
O malware, disse um funcionário do Congresso, era essencialmente “uma bomba-relógio” que poderia dar à China o poder de interromper ou desacelerar as implantações militares americanas ou operações de reabastecimento cortando energia, água e comunicações com as bases militares dos EUA. Mas seu impacto pode ser muito mais amplo, porque essa mesma infraestrutura geralmente abastece as casas e empresas dos americanos comuns, de acordo com autoridades americanas.
As primeiras pistas públicas da campanha de malware começaram a surgir no final de maio, quando a Microsoft disse ter detectado um misterioso código de computador em sistemas de telecomunicações em Guam, a ilha do Pacífico com uma vasta base aérea americana, e em outras partes dos Estados Unidos. Mas isso acabou sendo apenas uma pequena fatia do problema que a Microsoft podia ver por meio de suas redes.
Mais de uma dúzia de autoridades americanas e especialistas do setor disseram em entrevistas nos últimos dois meses que o esforço chinês vai muito além dos sistemas de telecomunicações e é anterior ao relatório de maio em pelo menos um ano. Eles disseram que o esforço do governo dos EUA para caçar o código e erradicá-lo já está em andamento há algum tempo. A maioria falou sob condição de anonimato para discutir avaliações confidenciais e, em alguns casos, sigilosas.
Eles dizem que as investigações até agora mostram que o esforço chinês parece mais difundido – nos Estados Unidos e em instalações americanas no exterior – do que inicialmente imaginavam. Mas as autoridades reconhecem que não conhecem toda a extensão da presença do código nas redes em todo o mundo, em parte porque ele está muito bem oculto.
A descoberta do malware desencadeou uma série de reuniões na Sala de Situação na Casa Branca nos últimos meses, enquanto altos funcionários do Conselho de Segurança Nacional, do Pentágono, do Departamento de Segurança Interna e das agências de espionagem do país tentam entender o escopo do problema e traçar uma resposta.
Funcionários do governo Biden começaram a informar membros do Congresso, alguns governadores de estado e empresas de serviços públicos sobre as descobertas e confirmaram algumas conclusões sobre a operação em entrevistas ao The New York Times.
Há um debate dentro do governo sobre se o objetivo da operação visa principalmente perturbar os militares ou a vida civil de forma mais ampla no caso de um conflito. Mas as autoridades dizem que as buscas iniciais pelo código se concentraram primeiro em áreas com alta concentração de bases militares americanas.
Em resposta às perguntas do The Times, a Casa Branca emitiu um comunicado na noite de sexta-feira que não fazia referência à China ou às bases militares.
“O governo Biden está trabalhando incansavelmente para defender os Estados Unidos de quaisquer interrupções em nossa infraestrutura crítica, inclusive coordenando esforços interagências para proteger sistemas de água, oleodutos, sistemas ferroviários e de aviação, entre outros”, disse Adam R. Hodge, porta-voz interino. para o Conselho de Segurança Nacional.
Ele acrescentou: “O presidente também determinou práticas rigorosas de segurança cibernética pela primeira vez”. O Sr. Hodge estava se referindo a uma série de ordens executivas, algumas motivadas por preocupações com o SolarWinds, software comercial usado amplamente pelo governo dos EUA que foi violado por uma operação de vigilância russa, e o ataque de ransomware Colonial Pipeline por um grupo criminoso russo. Esse ataque resultou no corte temporário de metade dos suprimentos de gasolina, combustível de aviação e diesel que circulam na Costa Leste.
O governo dos EUA e a Microsoft atribuíram o recente ataque de malware a atores patrocinados pelo estado chinês, mas o governo não revelou por que chegou a essa conclusão. Há um debate entre diferentes braços do governo dos EUA sobre a intenção das invasões, mas não sobre sua origem.
A revelação pública da operação de malware ocorre em um momento especialmente difícil nas relações entre Washington e Pequim, com confrontos que incluem ameaças chinesas contra Taiwan e esforços americanos para proibir a venda de semicondutores altamente sofisticados ao governo chinês. Muitas das tensões no relacionamento foram motivadas não apenas pela competição tecnológica, mas também por acusações mútuas de atividade maliciosa no ciberespaço.
Os Estados Unidos culparam a China por uma variedade de grandes hacks contra agências e infraestrutura dos EUA e acusaram a potência estrangeira de espionar de um balão do tamanho de um ônibus que atravessou os Estados Unidos em fevereiro, até ser abatido na Carolina do Sul. De sua parte, a China acusou os Estados Unidos de hackear a Huawei, sua gigante das telecomunicações. Documentos secretos divulgados há uma década por Edward Snowden, um ex-contratado da Agência de Segurança Nacional agora exilado na Rússia, confirmaram que as agências de inteligência americanas fizeram exatamente isso.
Mas quase todos esses casos envolviam coleta de informações. A descoberta do código malicioso na infraestrutura americana, disse um dos conselheiros mais antigos de Biden, “levanta a questão para o que, exatamente, eles estão se preparando”.
Se ganhar vantagem em um confronto com Taiwan está no centro da intenção da China, desacelerar as implantações militares americanas em alguns dias ou semanas pode dar à China uma janela na qual teria mais facilidade em assumir o controle da ilha pela força.
A preocupação chinesa com a intervenção americana provavelmente foi alimentada pelas várias declarações do presidente Biden nos últimos 18 meses de que defenderia Taiwan com tropas americanas, se necessário.
Outra teoria é que o código destina-se a distrair. As autoridades chinesas, avaliaram as agências de inteligência dos EUA, podem acreditar que durante um ataque a Taiwan ou outra ação chinesa, quaisquer interrupções na infraestrutura dos EUA poderiam fixar a atenção dos cidadãos americanos de tal forma que eles pensariam pouco sobre um conflito no exterior.
A embaixada chinesa em Washington emitiu um comunicado no sábado após a publicação deste artigo, negando que se envolva em hacking e acusando os Estados Unidos de serem um infrator muito maior. “Sempre nos opusemos firmemente e reprimimos todas as formas de ataque cibernético de acordo com a lei”, disse Haoming Ouyang, porta-voz da embaixada.
“As agências do governo chinês enfrentam inúmeros ataques cibernéticos todos os dias, a maioria dos quais vem de fontes nos EUA”, escreveu ele, acrescentando: “Esperamos que as partes relevantes parem de difamar a China com acusações infundadas”.
As autoridades chinesas nunca admitiram que a China estava por trás do roubo de arquivos de autorização de segurança de cerca de 22 milhões de americanos – incluindo seis milhões de conjuntos de impressões digitais – do Office of Personnel Management durante o governo Obama. Essa exfiltração resultou em um acordo entre o presidente Obama e o presidente Xi Jinping que resultou em um breve declínio na ciberatividade chinesa maliciosa. Desde então, o acordo entrou em colapso.
Agora, as ciberoperações chinesas parecem ter mudado. As últimas invasões são diferentes das do passado porque a interrupção, e não a vigilância, parece ser o objetivo, dizem as autoridades americanas.
No Aspen Security Forum no início deste mês, Rob Joyce, diretor de segurança cibernética da Agência de Segurança Nacional, disse que o recente hack da China visando o embaixador americano em Pequim, Nicholas Burns, e a secretária de comércio, Gina Raimondo, era espionagem tradicional. O balão espião derrubado no início deste ano também chamou a atenção do público, mas gerou menos preocupação dentro da comunidade de inteligência. Oficiais de inteligência e outros no governo Biden viam essas operações como o tipo de jogos de espionagem contra espionagem que Washington e Pequim realizam um contra o outro há décadas.
Em contraste, Joyce disse que as invasões em Guam foram “realmente perturbadoras” por causa de seu potencial perturbador.
O código chinês, dizem as autoridades, parece direcionado a serviços públicos comuns que atendem tanto à população civil quanto às bases militares próximas. Apenas as instalações nucleares americanas têm sistemas de comunicação autônomos, eletricidade e tubulações de água. (O código não foi encontrado em sistemas classificados. As autoridades se recusaram a descrever as redes militares não classificadas nas quais o código foi encontrado.)
Enquanto o planejamento mais sensível é realizado em redes classificadas, os militares usam rotineiramente redes não classificadas, mas seguras, para comunicações básicas, assuntos de pessoal, logística e questões de abastecimento.
As autoridades dizem que, se o malware for ativado, não está claro o quão eficaz seria em retardar uma resposta americana – e que o governo chinês também pode não saber. Em entrevistas, as autoridades disseram acreditar que, em muitos casos, as comunicações, redes de computadores e redes elétricas poderiam ser restauradas rapidamente em questão de dias.
Mas os analistas de inteligência concluíram que a China pode acreditar que há utilidade em qualquer ataque perturbador que possa retardar a resposta dos EUA.
A descoberta inicial da Microsoft em Guam – lar das principais bases da Força Aérea e da Marinha dos EUA – foi atribuída pela empresa a um grupo de hackers patrocinado pelo estado chinês que a empresa batizou de Volt Typhoon.
Um aviso da Agência de Segurança Cibernética e Infraestrutura do Departamento de Segurança Interna, a Agência de Segurança Nacional e outros divulgados no mesmo dia também disseram que o malware era do grupo de hackers chinês patrocinado pelo estado e estava “vivendo da terra”. A frase significa que ele estava evitando a detecção ao se misturar com a atividade normal do computador, conduzida por usuários autorizados. Mas o aviso não delineou outros detalhes da ameaça.
Alguns funcionários consideraram brevemente se deveriam deixar o malware no local, monitorar silenciosamente o código que encontraram e preparar planos para tentar neutralizá-lo, caso fosse ativado. Monitorar as invasões permitiria que eles aprendessem mais sobre isso e possivelmente levaria os hackers chineses a uma falsa sensação de que sua penetração não havia sido exposta.
Mas altos funcionários da Casa Branca rapidamente rejeitaram essa opção e disseram que, dada a ameaça potencial, o caminho prudente era extirpar o malware ofensivo o mais rápido possível.
Ainda assim, há riscos.
Especialistas americanos em segurança cibernética são capazes de remover parte do malware, mas algumas autoridades disseram que há preocupações de que os chineses possam usar técnicas semelhantes para recuperar o acesso rapidamente.
A remoção do malware Volt Typhoon também corre o risco de alertar as forças de hackers cada vez mais talentosas da China sobre quais invasões os Estados Unidos são capazes de encontrar e o que está faltando. Se isso acontecer, a China poderá melhorar suas técnicas e ser capaz de reinfectar sistemas militares com softwares ainda mais difíceis de encontrar.
As recentes penetrações chinesas têm sido extremamente difíceis de detectar. A sofisticação dos ataques limita o quanto o software implantado está se comunicando com Pequim, dificultando sua descoberta. Muitos hacks são descobertos quando especialistas rastreiam informações extraídas de uma rede ou acessos não autorizados são feitos. Mas esse malware pode ficar inativo por longos períodos de tempo.
Falando no início deste mês em uma cúpula de inteligênciaGeorge Barnes, vice-diretor da Agência de Segurança Nacional, disse que os ataques do Volt Typhoon demonstraram o quanto a China se tornou mais sofisticada ao penetrar nas redes do governo e do setor privado.
Barnes disse que, em vez de explorar falhas de software para obter acesso, a China encontrou maneiras de roubar ou imitar as credenciais dos administradores de sistema, as pessoas que administram as redes de computadores. Uma vez em mãos, os hackers chineses têm essencialmente a liberdade de ir a qualquer lugar em uma rede e implantar seu próprio código.
“A China está firme e determinada a penetrar em nossos governos, nossas empresas, nossa infraestrutura crítica”, disse Barnes.
“Antigamente, as atividades de ciberoperações da China eram muito barulhentas e muito rudimentares”, continuou ele. “Eles continuaram a trazer recursos, sofisticação e massa para seu jogo. Assim, a sofisticação continua a aumentar.”
