Nos últimos dias, o Hack relatou invasões cibernéticas visando a FireEye e, posteriormente, várias entidades do governo dos EUA. Embora as investigações ainda estejam em andamento, tudo indica que essa cadeia de ataques só foi possível graças ao comprometimento do software da SolarWinds, líder global na prestação de serviços de TI e que possui mais de 300 mil clientes em todo o mundo.
A Microsoft também é cliente da marca, e nesta quinta-feira (17), revelou ter sido mais uma vítima da manobra maliciosa. “Como outros clientes SolarWinds, temos procurado ativamente por indicadores desse ator e podemos confirmar que detectamos binários SolarWinds maliciosos em nosso ambiente, que isolamos e removemos. Não encontramos evidências de acesso a serviços de produção ou dados de clientes ”, diz ele.
De acordo com o Mountain View Giant, as investigações até agora mostram que, ao que parece, seus sistemas e recursos não foram usados para atacar terceiros. É importante notar que, no mesmo dia, Brad Smith, o atual presidente da empresa, publicou um longo comunicado descrevendo este episódio como “um momento de ajuste de contas” e destacando os esforços da Microsoft para combater este ator malicioso.
“Infelizmente, o ataque representa um ataque amplo e bem-sucedido baseado em espionagem tanto contra informações confidenciais do governo dos Estados Unidos quanto contra ferramentas de tecnologia usadas pelas empresas para protegê-las. O ataque está em andamento e está sendo ativamente investigado e tratado por equipes de segurança cibernética nos setores público e privado, incluindo a Microsoft ”, explica Brad.
Além de revogar certificados para arquivos trojanizados e atualizar o Windows Defender para identificar versões maliciosas do plugin SolarWinds Orion Platform, ela também firmou uma parceria com o gerenciador de domínio GoDaddy para controlar o domínio avsvmcloud [.] Com, que estava sendo usado por criminosos para gerenciar seu centro de comando e controle (C2).
Além disso, Brad destaca que identificou pelo menos 40 clientes da SolarWinds que foram atacados “mais precisamente” e que foram “comprometidos por meio de medidas sofisticadas adicionais”. Esses consumidores já foram notificados; 80% delas estão nos EUA, mas também há empresas no Canadá, México, Bélgica, Espanha, Reino Unido, Israel e Emirados Árabes Unidos.
O que aconteceu?
A onda de ataques, que começou a ser identificada no dia 8 deste mês, ainda permanece com várias incógnitas. Aparentemente, estamos vendo um ataque coordenado do grupo de hackers estatal russo APT29 (mais conhecido como Cozy Bear) ao governo dos EUA e a empresas que fornecem serviços de tecnologia da informação e segurança cibernética.
Para iniciar o ataque, os atacantes conseguiram, de alguma forma, comprometer o sistema de compilação e distribuição de software da SolarWinds, multinacional que presta serviços não só a várias empresas ligadas ao governo dos Estados Unidos, mas também aos próprios entes públicos. Uma vez bem-sucedidos nesse compromisso, os atores infectaram um plugin para a plataforma SolarWinds Orion com um trojan.
A versão maliciosa do plugin – que, segundo estimativas, foi baixada pelo menos 18.000 vezes – cria um backdoor no sistema da vítima por meio de malware que foi denominado Solorigate pela Microsoft e SUNBURST pela FireEye. Como tal, a manobra é categorizada como um ataque à cadeia de abastecimento, já que a SolarWinds (fornecedor) foi atacada simplesmente como um meio de atingir o alvo principal (cliente).