Nos últimos dias, a The Hack noticiou invasões cibernéticas direcionadas à FireEye e, posteriormente, a diversas entidades governamentais dos Estados Unidos. Embora as investigações ainda estejam em andamento, tudo indica que essa cadeia de ataques só foi possível graças a comprometimento de um software da SolarWinds, líder global no fornecimento de serviços de TI e que possui mais de 300 mil clientes ao redor do mundo.
- FireEye é invadida por supostos hackers estatais e tem ferramentas de red team roubadas
- Agências dos EUA são atacadas pelo mesmo grupo que invadiu a FireEye
- FireEye invadida: afinal, devemos nos preocupar?
A Microsoft também é cliente da marca, e, nesta quinta-feira (17), revelou ter sido mais uma vítima da manobra maliciosa. “Tal como outros clientes da SolarWinds, temos procurado ativamente por indicadores desse ator e podemos confirmar que detectamos binários maliciosos da SolarWinds em nosso ambiente, os quais isolamos e removemos. Não encontramos evidências de acesso a serviços de produção ou dados de clientes”, afirma.
Segundo a Gigante de Mountain View, as investigações até o momento mostram que, ao que tudo indica, seus sistemas e recursos não foram utilizados para atacar terceiros. Vale observar que, no mesmo dia, Brad Smith, atual presidente da companhia, publicou um longo comunicado descrevendo este episódio como “um momento de acerto de contas” e destacando os esforços da Microsoft para combater esse ator malicioso.
“Infelizmente, o ataque representa uma investida ampla e bem-sucedida com base em espionagem tanto contra informações confidenciais do governo dos EUA quanto às ferramentas de tecnologia usadas pelas empresas para protegê-las. O ataque está em andamento e está sendo ativamente investigado e abordado por equipes de segurança cibernética nos setores público e privado, incluindo a Microsoft”, explica Brad.
Além de revogar os certificados dos arquivos trojanizados e atualizar o Windows Defender para identificar versões maliciosas do plugin SolarWinds Orion Plataform, ela também firmou uma parceria com o gestor de domínios GoDaddy para controlar o domínio avsvmcloud[.]com, que estava sendo utilizado pelos criminosos para gerenciar a sua central de comando e controle (C2).
Ademais, Brad ressalta ter identificado pelo menos 40 clientes da SolarWinds que foram atacados “de forma mais precisa” e que foram “comprometidos através de medidas sofisticadas adicionais”. Esses consumidores já foram notificados; 80% deles está sediado nos EUA, mas também há empresas no Canadá, México, Bélgica, Espanha, Reino Unido, Israel e Emirados Árabes Unidos.
O que aconteceu?
A onda de ataques, que começou a ser identificada no dia 8 deste mês, ainda segue com várias incógnitas. Ao que tudo indica, estamos vislumbrando um ataque coordenado do grupo de hackers estatais APT29 russos (mais conhecido como Cozy Bear) ao governo estadunidense e às empresas que lhe fornecem serviços de tecnologia da informação e segurança cibernética.
Para iniciar o ataque, os invasores conseguiram, de alguma forma, comprometer o sistema de compilação e distribuição de softwares da SolarWinds, multinacional que provê serviços não apenas para várias companhias ligadas ao governo dos EUA, mas também para as próprias entidades públicas em si. Uma vez tendo obtido sucesso nesse comprometimento, os atores infectaram um plugin da plataforma SolarWinds Orion com um trojan.
A versão maliciosa do plugin — que, segundo estimativas, foi baixada pelo menos 18 mil vezes — cria um backdoor no sistema da vítima através de um malware que foi batizado como Solorigate pela Microsoft e como SUNBURST pela FireEye. Dessa forma, a manobra é categorizada como um ataque de cadeia de suprimentos, já que a SolarWinds (fornecedora) foi atacada simplesmente como um meio para chegar ao alvo primário (cliente).