Diretores da SolarWinds estão culpando um estagiário pelo vazamento da senha “solarwinds123”, que pode ter sido o ponto inicial do ataque à cadeia de suprimentos que a empresa sofreu no final de 2020. De acordo com a CNN, a empresa utilizava essa senha desde 2017 e em 2019 foi encontrada exposta em um servidor do GitHub.
- Hackers de elite da Coreia do Norte miram empresas de segurança
- Dois malwares estatais foram descobertos espionando mensagens de WhatsApp de autoridades no Paquistão
- Chineses podem ter explorado falha no mesmo software do ataque à cadeia de suprimentos da SolarWinds
Executivos da SolarWinds e de outras empresas envolvidas se reuniram com legisladores norte-americanos na sexta-feira (26/02) em uma audiência de quase 5 horas, do Comitê de Segurança da Câmara dos EUA (U.S. House Committee on Homeland Security), para discutir o caso e reunir informações antes do julgamento.
Durante a audiência, a deputada da Califórnia, Katie Porter, questionou a empresa sobre o uso da senha “solarwinds123”. “Sua empresa deveria estar impedindo os russos de acessar os e-mails do Departamento de Defesa [...] Eu tenho uma senha mais forte do que 'solarwinds123' para impedir que meus filhos assistam muito YouTube", disse.
Em resposta, Sudhakar Ramakrishna, atual CEO da SolarWinds, disse: “Acredito que foi uma senha que um estagiário utilizou em um de seus servidores em 2017”. Já o antigo CEO, Kevin Thompson, que também participou da audiência, disse: “Isso está relacionado a um erro que um estagiário cometeu. Ele violou nossas políticas de senha e postou essa senha em sua própria conta privada do GitHub.”
Brad Smith, presidente da Microsoft (uma das vítimas), empresa que está liderando as investigações do ataque, disse que não há evidências que o Pentágono (sede do Departamento de Defesa dos EUA) tenha sido invadido ou espionado na campanha que atingiu os usuários do software Orion da SolarWinds.
O pesquisador de segurança, Vinoth Kumar, encontrou a senha “solarwinds123” exposta em um repositório do GitHub em novembro de 2019. A senha permitia o acesso a um dos servidores da empresa. Ele entrou em contato com a SolarWinds, que disse ter modificado a senha. No entanto, Kumar acredita que ela estava exposta desde junho de 2018.
O CEO da FireEye, Kevin Mandia, disse que é impossível medir o dano causado pelo ataque. Segundo o executivo, as autoridades devem projetar todas as maneiras e alternativas de como os dados roubados pelo ataque podem ser utilizados (ou mal utilizados) e não somente catalogar quais dados foram acessados. “Talvez nunca saibamos toda a extensão do dano, e talvez nunca saibamos como as informações roubadas estão beneficiando um adversário”, diz.
NASA e Administração Federal de Aviação entram para conta
Os participantes da audiência revelaram que a atualização infectada do SolarWinds Orion pode ter sido baixada por cerca de 18 mil clientes da empresa, embora esse número não represente que 18 mil empresas clientes da SolarWinds estão sendo espionadas, já que os cibercrminosos não estão interessados em todos os clientes, somente em alguns específicos, principalmente os que possuem ligação com exércitos e agências do governo dos EUA.
Só nos EUA, sete agências governamentais, além de diversas outras empresas que prestam serviços para governos, foram (ou ainda estão sendo) espionadas pelos cibercriminosos, possivelmente ligados ao governo da Rússia.
De acordo com o The Washington Post, a NASA e a Administração Federal de Aviação dos EUA (FAA) são às duas vítimas mais recentes do ataque. O governo dos EUA anunciou que está organizando medidas de defesa e segurança, além de medidas punitivas contra a Rússia, por conta do ataque.
Fontes: CNN; U.S. House Committee on Homeland Security; The Washington Post.