As investigações da FireEye sobre o ataque à cadeia de suprimentos da SolarWinds — percebido pela empresa em dezembro de 2020 —, que afetou a própria FireEye, assim como inúmeras outras corporações, governos, instituições ligadas à governos, ainda estão em andamento. No entanto, a desenvolvedora norte-americana de segurança da informação revelou, nesta quinta-feira (28), detalhes inéditos dessa campanha cibercriminosa, além de mais informações sobre a identidade dos responsáveis.
- A Ticketmaster invadiu os sistemas de marca rival e agora vai pagar US$ 10 mi por isso
- Agências dos EUA são atacadas pelo mesmo grupo que invadiu a FireEye
- Autoridades da Alemanha teriam acesso livre à conversas do WhatsApp, afirma imprensa
De acordo com Arthur Cesar Oreana, gerente de vendas da FireEye, as investigações, embora ainda estejam em andamento, já provaram que esse é um dos ataques de intrusão mais sofisticados e prolongados da década, onde foram empregadas diversas táticas e técnicas de invasão e espionagem cibernética. “Algumas [técnicas] já conhecidas, outras muito sofisticadas [...] O erro foi ter entrado na FireEye”, diz.
A FireEye foi a primeira vítima do ataque a identificar agentes não autorizados em sua rede. Ainda no começo de dezembro de 2020, a empresa se manifestou sobre o caso, mas como não havia confirmação — e ainda não há — de que dados de clientes e usuários foram roubados, não tinha obrigação legal de informar o ocorrido. Mas começou a investigar e revelou, na última semana, que o ataque teve como principal objetivo acumular credenciais para espionar clientes da SolarWinds.
“No final de 2020, a FireEye descobriu uma campanha de intrusão global, estamos chamando os atores por trás dessa campanha de UNC2452. Também descobrimos um ataque à cadeia de fornecedores de software afetando a solução SolarWinds Orion, que distribuiu um malware que batizamos de Sunburst”, explica o executivo.
De acordo com dados da Microsoft, o ataque atingiu principalmente empresas de dados, segurança e tecnologia da informação. Mas governos, ONGs e prestadores de serviços para governos também estão entre os principais alvos.
Ciberespionagem pique Guerra Fria
Segundo Oreana, o grupo, batizado pela empresa de UNC2452 (Uncategorized 2452), desenvolveu um ataque em dois principais estágios: sendo o primeiro, uma invasão à SolarWinds e a implementação de uma atualização trojanizada do software Orion, que infectou os clientes que baixaram essa atualização e o segundo, que foi baseado na espionagem, coleta de credenciais e movimentação lateral nas empresas, para invadir os clientes dos clientes da SolarWinds.
O principal objetivo dos atacantes, era se infiltrar na rede de clientes da SolarWinds e com isso, se infiltrar nos clientes desses clientes, criando uma cadeia de espionagem assustadora. Com relação à FireEye: “eles estavam atrás de nossas ferramentas de Red Team (invasão, pentest e espionagem)”, informa.
“O UNC2452 foi atrás de informações, documentos internos, e-mails e propriedade intelectual. Com foco em descobrir como operava a segurança interna das empresas e quais eram os membros dessa equipe de segurança. Mas não há nenhum sinal de roubo de informações. O objetivo da ação não era causar algum tipo de dano, ou destruição de dados”, explica.
Estratégia UNC2452
O estágio inicial do ataque começou com a definição da vítima e terminou com a inserção de uma atualização falsa (infectada com um malware chamado pela empresa de Sunburst) do software Orion, da SolarWinds. “Os clientes iam buscar o update dessa plataforma SolarWinds Orion, esse update continha um trojan dentro, batizado de Sunburst, um backdoor inicial, que infectou os clientes da ferramenta”, explica Oreana.
Para não serem identificados, os cibercriminosos utilizaram diversas estratégias de camuflagem sofisticadas. “Eles tentavam se passar por máquinas legítimas no ambiente da SolarWinds, fazendo até uma mímica do endereço de IP, e do hostname. O endereço de IP, por exemplo, não era de onde o ataque estava sendo originado, mas com o endereço da vítima, nos Estados Unidos”.
Dentro da rede das vítimas, esse trojan começou a se comunicar com o servidor de comando e controle, dando início ao segundo estágio do ataque: a implantação de outros malwares, como o “Teardrop”, e em alguns casos o uso da ferramenta “MimiKatz”. Isso foi feito para a implementação de um Beacon customizado e para a coleta de credenciais, que possibilitou a movimentação lateral dos cibercriminosos nas empresas, além de outras técnicas variadas. “Além do Teardrop, imediatamente, implementaram um Beacon customizado e em alguns casos o MimiKatz, para obtenção de credenciais [...] A partir disso, não existe mais limite”.
Conforme foram explorando as redes de suas vítimas, o ataque também foi se desenvolvendo. “Esse ataque foi se desdobrando em várias técnicas e procedimentos bem interessantes. Como, por exemplo, um ataque Golden SAML, que oferece controle de qualquer aplicativo que forneça suporte para o protocolo SAML, como Amazon AWS, por exemplo”, conta Oreana.
Já o arquiteto de soluções de segurança da FireEye no Brasil, Daniel Gomes, relata que outra tática explorada pelos cibercriminosos foi o roubo de certificados de tokens criptografados e informações de bancos de dados via PowerShell. Essa tática permitiu que eles gerassem tokens SAML legítimos e ignorassem os requisitos de autenticação multifator (MFA) e senha.
“Além das contas que os atacantes tiveram acesso, outro caminho utilizado foi a manipulação de aplicativos pré registrados na nuvem do Microsoft Azure AD. O ator criou vários pontos de acesso à rede, contas de serviços, contas de aplicações. Foi um amplo trabalho para anular a autenticação multifator (MFA), com ataques Goldem SAML, roubo de chaves secretas do Duo (por Volexity)”, explica Gomes.
Os responsáveis
Desde quando a FireEye identificou que estava sendo espionada, a suspeita é de que seja um grupo diretamente ligado e financiado pelo governo da Rússia. Mas, a empresa prefere não confirmar essa suspeita por falta de dados de comprovação.
No entanto, pode afirmar que é um grupo financiado por uma nação, altamente qualificado, com habilidades extensas em vários sistemas de tecnologia, plataformas de software desenvolvidas, além de vasta estrutura de tecnologia dedicada, capaz de fornecer recursos para uma campanha de longa duração.
A investigação identificou que a ênfase do ataque estava baseada na discrição e persistência. Os cibercriminosos sabiam como as equipes de segurança iriam investigar o acesso suspeito, por isso, escolheram endereços IP do mesmo lugar da vítima, para se misturar ao tráfego normal e se manterem camuflados.
A FireEye informa que continua investigando o caso, rastreando o grupo e coletando dados relevantes. É importante lembrar que nem todos os clientes da SolarWinds foram infectados com a atualização maliciosa. As invasões foram discretas e completamente controladas, o acesso à cadeia da SolarWinds não é o único lugar para investigar. Examinar os registros de todas as empresas envolvidas é crucial, informa a FireEye.
A The Hack continua acompanhando o caso.
Veja as matérias sobre o ataque publicada até agora:
- 09/12/2020 FireEye é invadida por supostos hackers estatais e tem ferramentas de red team roubadas
- 14/12/2020 FireEye invadida: afinal, devemos nos preocupar?
- 14/12/2020 Agências dos EUA são atacadas pelo mesmo grupo que invadiu a FireEye
- 18/12/2020 Microsoft também foi vítima de ataque cibernético que comprometeu a SolarWinds
- 07/01/2021 Milhares de e-mails do Departamento de Justiça dos EUA foram acessados após ataque à SolarWinds
- 18/01/2021 Novo malware, novas vítimas, novos investimentos: atualizações do caso SolarWinds
- 20/01/2021 Malwarebytes tem e-mails internos comprometidos após ataque à SolarWinds
- 26/01/2021 Mais uma no caso SolarWinds? SonicWall sofre ciberataque e investiga brechas em seus firewalls
Fonte: FireEye.