Read, hack, repeat

Novo malware, novas vítimas, novos investimentos: atualizações do caso SolarWinds

Ramon de Souza

O recente ataque à cadeia de suprimentos que afetou a fornecedora multinacional SolarWinds — e um número desconhecido de seus clientes — ainda vai dar muito pano para mangas. Conforme as investigações prosseguem, fica cada vez mais claro que os atores maliciosos (supostamente hackers de elite financiados pelo governo russo) elaboraram uma manobra complexa para invadir várias empresas americanas e europeias.

A mais nova companhia a entrar para o rol de vítimas da operação é a Mimecast, sediada em Londres e que mantém uma plataforma de segurança baseada em nuvem para o Microsoft 365 (anteriormente conhecido como Office 365). A marca confirmou que atacantes comprometeram um de seus certificados usado para permitir que alguns de seus clientes autentiquem suas contas de email com as soluções de proteção contra golpes BEC.

“Aproximadamente 10% de nossos clientes usam essa conexão. Daqueles que o fazem, há indicações de que um número baixo, de um único dígito, dos locatários M365 de nossos clientes, foram alvos. Já entramos em contato com esses clientes para corrigir o problema”, explicou a Mimecast, deixando a entender que o número final de afetados foi menor do que dez. A companhia deixou de utilizar a plataforma da SolarWinds após o ataque.

“Como precaução, estamos pedindo para esse subconjunto de clientes da Mimecast que usam esta conexão baseada em certificado para excluir imediatamente a conexão existente em seu Microsoft 365 e estabeleçam uma nova conexão baseada em certificado usando o novo certificado que disponibilizamos. Essa ação não afeta o fluxo de mensagens de entrada ou saída ou a verificação de segurança associada”, finaliza.

Mais uma peça no quebra-cabeça

Nesse meio-tempo, pesquisadores detectaram outra variante de malware que pode ter sido usada para comprometer o sistema de compilação e distribuição da plataforma Orion da SolarWinds. Denominado Sunspot, o código malicioso teria sido usado para invadir a infraestrutura da multinacional muito antes do que pensávamos — as primeiras manobras ocorreram por volta de setembro de 2019.

“Esse código altamente sofisticado e inovador foi projetado para implantar o código malicioso Sunburst na SolarWinds Orion Platform, sem levantar suspeita em nossas equipes de desenvolvimento de software”, explicou Sudhakar Ramakrishna, novo CEO da SolarWinds. A descoberta do Sunspot só foi possível graças a uma colaboração com a equipe de especialistas da CrowdStrike.

Uma vez tendo infectado a máquina-alvo, o malware dá a si próprio privilégios de depuração do servidor, sequestra o fluxo de trabalho da compilação e troca o código legítimo pelo malicioso, que instaura o backdoor Sunburst na plataforma Orion. “O Sunspot monitora os processos em execução dos envolvidos na compilação do Orion e substitui um dos arquivos de origem para incluir o código de backdoor do Sunburst”, explica a equipe.

Sudhakar Ramakrishna, novo CEO da SolarWinds (Reprodução/ChannelE2E)

Isso significa que o Sunspot foi projetado unicamente para tal finalidade e foi testado no fim de 2019 apenas para que os agentes maliciosos conseguissem testar sua capacidade de se infiltrar dentro dos clientes da SolarWinds através do backdoor.

Governo dos EUA anuncia investimentos

Um dos principais afetados pela manobra, o governo dos EUA parece ter ficado traumatizado o suficiente com o incidente a ponto de anunciar novos investimentos em segurança cibernética na esfera pública. Prestes a ser empossado como novo presidente do país, o democrata Joe Biden prometeu, durante um anúncio na última semana, tornar a segurança cibernética uma prioridade em sua gestão.

Isso inclui um orçamento de US$ 10 bilhões para gastos na área, dentro do qual está previsto um subsídio de US$ 690 milhões para que a Agência de Cibersegurança e Segurança de Infraestrutura (CISA) otimize sua capacidade de identificar e responder a incidentes.

“Estou grato por ver o presidente eleito pressionando por importantes investimentos em segurança cibernética após a invasão da SolarWinds, que destacou a necessidade de agirmos agora para proteger os americanos e os nossos interesses no ciberespaço”, comemorou o congressista Jim Langevin.


Fonte: CSO Online, CISO Advisor, Dark Reading

Compartilhar twitter/ facebook/ Copiar link
Your link has expired
Success! Check your email for magic link to sign-in.