O que é o ataque SolarWinds e eu fui afetado?

No final de 2020, havia um nome dominando o cenário de segurança: SolarWinds.

Os invasores usaram o software SolarWinds como um ponto de partida para outros alvos em um processo conhecido como ataque à cadeia de suprimentos.

O resultado foi dezenas de milhares de vítimas, violações de dados em várias agências governamentais e uma audiência no Congresso apresentando alguns dos principais nomes em tecnologia e segurança, incluindo Microsoft, FireEye e CrowdStrike.

Então, o que é SolarWinds? O que aconteceu durante um dos maiores ataques cibernéticos dos últimos tempos?

O que é SolarWinds?

SolarWinds é uma empresa conhecida que desenvolve e fornece ferramentas de gerenciamento de sistema. Entre sua clientela estão centenas de empresas Fortune 500, bem como várias agências governamentais dos Estados Unidos e de outros países.

A SolarWinds desenvolve e distribui um sistema de gerenciamento chamado Orion. As empresas podem usar o Orion para gerenciar recursos de TI, realizar tarefas administrativas, monitoramento interno e externo e muito mais.

O software SolarWinds Orion está no centro do ataque ao SolarWinds.

O que aconteceu com o software SolarWinds Orion?

SolarWinds Orion tem mais de 33.000 clientes. Cada um desses clientes recebe atualizações de software diretamente da SolarWinds, que envia atualizações ao vivo para os clientes. O cliente Orion instala a atualização quando ela chega e tudo continua funcionando normalmente.

No início de 2020, um grupo de hackers violou silenciosamente a infraestrutura da SolarWinds e adicionou código malicioso a um pacote de atualização do SolarWinds Orion. Quando a atualização foi enviada para os milhares de clientes do SolarWinds Orion, os arquivos maliciosos foram com ela.

Uma vez que a atualização atingiu as redes dos clientes, era apenas uma questão de esperar que o cliente instale os arquivos maliciosos, criando um backdoor em sua rede no processo.

A versão Trojanized do software Orion foi instalada em milhares de computadores em várias redes de alto perfil. Esta é uma parte central do ataque à cadeia de abastecimento. Um fornecedor com acesso a outras redes é identificado e atacado, mas não é o único alvo. Os invasores estão usando o fornecedor como uma plataforma de lançamento para as redes de outros alvos.

Produtos da Microsoft também atingem ataques à cadeia de suprimentos

A SolarWinds não foi a única empresa de tecnologia cujos produtos foram incluídos em um ataque à cadeia de suprimentos. A Microsoft foi vítima do ataque geral, mas os revendedores e distribuidores de produtos da Microsoft também foram alvos de comprometer outras redes vinculadas.

Os invasores primeiro tentaram obter acesso direto à infraestrutura do Office 365 da Microsoft. Mas quando eles falharam, a atenção se voltou para os revendedores da Microsoft. Pelo menos um provedor de serviços em nuvem da Microsoft foi visado e usado como um trampolim para outras redes.

Outra vulnerabilidade de produto da Microsoft, desta vez no aplicativo da Web do Outlook, permitia que os invasores contornassem as verificações de autenticação de dois fatores, acessando contas de email privadas que eram então usadas para coleta de dados.

Além disso, a Microsoft confirmou que o invasor acessou o código-fonte do Windows 10 e outros produtos, embora o código não fosse importante o suficiente para ser considerado um risco.

Quem foi atingido pelo ataque da SolarWinds?

Os atacantes não atacaram imediatamente. Tendo obtido acesso a uma série de redes de alto perfil, o grupo de hackers esperou meses para iniciar a segunda fase do ataque.

O grupo de hackers violou o SolarWinds em março de 2020, mas o primeiro indício da escala da violação não chegou até dezembro de 2020, cerca de nove meses depois.

A firma líder de segurança FireEye anunciou que eles foram as vítimas do hack e que os invasores roubaram algumas de suas ferramentas de hack ofensivas no processo. No momento, a violação do FireEye não estava vinculada ao SolarWinds.

Um fluxo constante de relatórios emergiu de várias agências do governo dos EUA cerca de uma semana depois sobre um ataque pela porta dos fundos. O Tesouro dos Estados Unidos e a Administração de Segurança Nuclear Nacional foram violados, junto com os Departamentos de Segurança Interna, Estado, Defesa, Comércio e Energia e partes do Pentágono.

Na época, falando à BBC , o pesquisador de segurança cibernética, Prof Alan Woodward, disse:

Pós-Guerra Fria, esta é uma das potencialmente maiores penetrações de governos ocidentais que conheço.

A lista de vítimas é extensa, cobrindo vários países, várias empresas de tecnologia e milhares de redes. Nomes como Cisco, Intel, Nvidia, Microsoft, MediaTek, Malwarebytes e Mimecast sofreram violações.

Relacionado: Microsoft bloqueia malware Sunburst na raiz do hack SolarWinds

Como terminou o ataque SolarWinds?

Como você pode esperar de um ataque desse tamanho, não foi tão simples apertar um botão e desligar a violação SolarWinds.

Em primeiro lugar, o SolarWinds não era um ataque de tamanho único. Embora o SolarWinds Orion fosse a plataforma de lançamento principal para as redes-alvo, os invasores usaram seu tempo para criar uma série de tipos de malware exclusivos, emparelhados com outras explorações nunca antes vistas depois de obter acesso.

O Blog de Segurança da Microsoft fornece uma explicação detalhada de como alguns desses tipos de malware funcionam, mas você pode ler uma breve visão geral abaixo:

• GoldMax: GoldMax é escrito em Go e atua como uma porta dos fundos de comando e controle que oculta atividades maliciosas no computador de destino. Conforme descoberto com o ataque SolarWinds, o GoldMax pode gerar tráfego de rede falso para disfarçar seu tráfego de rede malicioso, dando-lhe a aparência de tráfego regular.
• Sibot: Sibot é um malware de dupla finalidade baseado em VBScript que mantém uma presença persistente na rede de destino e para baixar e executar uma carga maliciosa. A Microsoft observa que existem três variantes do malware Sibot, todas com funcionalidades ligeiramente diferentes.
• GoldFinder: este malware também é escrito em Go. A Microsoft acredita que foi "usado como uma ferramenta rastreadora de HTTP personalizada" para registrar endereços de servidor e outras infraestruturas envolvidas no ataque cibernético.

Depois que a Microsoft e outras empresas de segurança aprenderem o suficiente sobre os tipos de malware em jogo, elas podem tentar bloquear seu uso. Só então a limpeza completa pode começar.

O Blog de Segurança da Microsoft também fornece outro trecho importante sobre o "fim" do ataque SolarWinds:

Com o padrão estabelecido desse ator de usar infraestrutura e ferramentas exclusivas para cada alvo, e o valor operacional de manter sua persistência em redes comprometidas, é provável que componentes adicionais sejam descobertos à medida que nossa investigação sobre as ações desse ator de ameaça continua.

Quem estava por trás do ataque SolarWinds?

A grande questão: quem foi? Qual grupo de hackers tem as habilidades para perpetrar um dos maiores e mais avançados hacks da história?

As empresas de tecnologia e o governo dos EUA estão apontando o dedo diretamente para um grupo de hackers apoiado pelo governo russo, embora ainda seja difícil encontrar um grupo com nome específico.

Isso pode significar o infame grupo de hackers Cozy Bear (APT29). A empresa de segurança Kaspersky disse que algumas amostras de malware se parecem com malware usado por um hacker conhecido como Turla, que tem links para o serviço de segurança federal russo, o FSB. Várias autoridades americanas declararam abertamente a acusação da Rússia ou de um grupo de hackers influenciado pela Rússia.

Falando em uma audiência no Senado dos EUA sobre o ataque cibernético , o presidente da Microsoft, Brad Smith, também afirmou que a Rússia estava por trás do ataque. Ele também reiterou que a Microsoft estava "continuando a investigar, pois não acreditamos que todos os vetores da cadeia de suprimentos já tenham sido descobertos ou tornados públicos".

Os líderes das outras empresas de tecnologia que falaram na audiência, CrowdStrike, FireEye e SolarWinds, emitiram declarações semelhantes.

No entanto, sem confirmação ou um pedaço de evidência mortal que o governo dos Estados Unidos possa revelar, continua sendo uma forte alegação. Como o tweet acima indica, o CISA ainda mantém uma evidência, mas não pode revelá-la, para que não queime contatos, fontes e talvez investigações em andamento sobre o ataque.

A SolarWinds acabou?

De acordo com a Microsoft, pode não ser. Mas a verdade é que, com um ataque dessa natureza, que violou tantas redes diferentes em graus variados, provavelmente nunca saberemos a verdadeira extensão do SolarWinds.

Provavelmente existem empresas que foram violadas, mas sua rede foi considerada insuficiente em valor para continuar explorando, e tal é a habilidade do grupo de hackers que eles podem não ter deixado nenhum vestígio de entrada.

Nesse sentido, a SolarWinds não pretendia causar uma cena e sacudir as coisas. Era o oposto: cuidadosamente orquestrado, exigindo grandes quantidades de movimentos de precisão para trabalhar em sintonia para evitar a detecção.

Isso certamente abre a conversa sobre a divulgação responsável de vulnerabilidades, relatórios de bugs e outras maneiras de fortalecer os protocolos de segurança contra esses ataques.

Devo me preocupar com a SolarWinds?

No que diz respeito a consumidores regulares como você e eu, isso está muito, muito acima do nosso nível salarial.

Ataques dessa natureza normalmente não afetam os consumidores regulares, pelo menos não diretamente como um ataque de phishing ou alguém instalando malware em seu computador.