Read, hack, repeat

Agências dos EUA são atacadas pelo mesmo grupo que invadiu a FireEye

Guilherme M. Petry 0 min

Cibercriminosos supostamente ligados ao governo russo, estão direcionando ataques contra diversas empresas e órgãos do governo norte-americano. O Departamento do Comércio, o Departamento do Tesouro, a Agência de Telecomunicações, Informações e Administração Nacional (NTIA), além de outras instituições do governo norte-americano estão entre as principais vítimas.

De acordo com o The Washington Post, que recebeu informações anônimas de pessoas diretamente ligadas ao caso, os ataques podem ter sido organizados pelo grupo APT29 (também conhecido como Cozy Bear), o mesmo grupo responsável pelo roubo de ferramentas da red team, grupo de testes de soluções de defesas da FireEye. Os cibercriminosos conseguiram até acesso aos e-mails internos de algumas das instituições citadas.

Como explicam as fontes anônimas ao jornal, os cibercriminosos teriam inserido trojans em uma atualização da plataforma de gestão de TI da SolarWinds, o software Orion. Essa atualização manipulada e com código malicioso (com assinatura legítima da SolarWinds), ao ser instalada pelos clientes, criava um backdoor que libera o acesso à infraestrutura de TI das empresas, monitorada pela plataforma da SolarWinds.

Assinatura digital do Orion da SolarWinds com backdoor. Foto: FireEye.
Assinatura digital do Orion da SolarWinds com backdoor. Foto: FireEye.

O principal objetivo dos ataques é se infiltrar nas redes governamentais, como também nas redes de empresas privadas, como a FireEye, que possui governos como clientes e com isso, montar um ataque à cadeia de suprimentos (suply chain attack) sofisticado.

A SolarWinds informa que o ataque está direcionado às versões 2019.4 até a 2020.2 do seu software de gestão de TI. “Fomos informados que este ataque foi provavelmente conduzido por um estado-nação externo e destinado a ser um ataque estreito, extremamente direcionado e executado manualmente, em oposição a um ataque amplo em todo o sistema”, escreve a empresa em um comunicado de segurança, publicado no sábado (12).

A Agência de Segurança de Infraestrutura e Cibersegurança dos EUA (CISA) pediu às empresas e organizações ligadas ao governo norte-americano e aos clientes da SolarWinds, que revisem suas redes em busca de atividades suspeitas.

A SolarWinds é uma desenvolvedora de soluções de TI que também oferece serviços de infraestrutura. Com sede no Texas, EUA, ela possui mais de 300 mil clientes pelo mundo todo, o que inclui multinacionais citadas no ranking Fortune 500, agência e instituições governamentais, além de universidades e instituições de ensino.

Só nos Estados Unidos, a SolarWinds trabalha junto com várias empresas de telecomunicações, todos os cinco ramos do exército, Pentágono, Departamento de Estado, NASA, Agência de Segurança Nacional (NSA), serviço postal, Administração Oceânica e Atmosférica Nacional (NOAA), Departamento de Justiça e o gabinete do presidente dos EUA.

A FireEye, que está investigando o caso junto a SolarWinds e ao FBI, informa que esta campanha complexa pode ter começado entre os meses de março, abril e maio de 2020 e ainda está em andamento. “A campanha é obra de um ator altamente qualificado e a operação foi conduzida com significativa segurança operacional”, informa a empresa em um relatório sobre a backdoor.

“SolarWinds.Orion.Core.BusinessLayer.dll é um componente digitalmente assinado do software Orion, da SolarWinds, que contém um backdoor que se comunica via HTTP com servidores de terceiros. Estamos rastreando a versão trojanizada deste plug-in SolarWinds Orion como SUNBURST”, escrevem os pesquisadores no relatório da FireEye.


Fontes:  The Washington Post; SolarWinds; FireEye.

Compartilhar twitter/ facebook/ Copiar link
Você se inscreveu com sucesso no The Hack
Bem vindo de Volta!
Massa! Você se registrou com sucesso.
Sucess! Sua conta está completamente ativada.