Ataque de hackers a SolarWinds foi tiro de sniper em meio a espionagem cibernética, afirma especialista em segurança digital

O ataque de hackers contra os Estados Unidos, supostamente apoiados por um governo estrangeiro, foi o que se costuma chamar de ataque na cadeia de fornecedores. Isso acontece quando os criminosos invadem uma companhia ou organização maior atacando fornecedores que têm acesso livre ao ambiente virtual do alvo mais complexo.

“Atacar a plataforma Orion, da SolarWinds, é mais fácil que mirar diretamente no Departamento de Segurança Nacional dos EUA”, explica Leonardo Camata, especialista em segurança digital e gerente de produtos da ISH Tecnologia, empresa de cibersegurança há 25 anos no mercado.

O mais grave, segundo ele, é que a invasão ocorreu numa aplicação de monitoramento. “Isso quer dizer que, se o hacker invade uma aplicação dessas, passa a ter acesso a toda a rede monitorada. O que quer dizer acessar, sem dificuldades, ativos críticos”, explica Camata.

E a invasão demora a ser notada porque o ataque não afeta a funcionalidade do produto. A plataforma se comporta como deveria, enquanto o hacker a utiliza para se conectar à rede da companhia ou organização. “Foi um tiro de sniper”, afirma Leonardo Camata.

Invasão à FireEye e ao governo americano foi pelo Orion, da SolarWinds

Hackers supostamente financiados por um governo estrangeiro comprometeram as redes de computadores do fabricante de software americano SolarWinds e implantaram uma atualização maliciosa em seu software Orion, para infectar redes do governo americano e de organizações comerciais que o utilizam.

Várias agências do governo federal, incluindo os departamentos do Tesouro e do Comércio dos EUA, tiveram alguns de seus sistemas de computador violados como parte dessa campanha de espionagem.

O anúncio foi feito ontem, dia 13 de dezembro, pela empresa de segurança da informação FireEye.

Em um comunicado de segurança, a SolarWinds informou que as versões desde 2019.4 HF 5 até 2020.2.1 de seu software Orion foram afetadas e aconselhou os clientes a atualizá-las para a versão 2020.2.1 HF 1 o mais rápido possível.

A empresa informou que outra atualização (versão 2020.2.1 HF 2) deve ser publicada amanhã, terça-feira, 15 de dezembro de 2020, que substituirá o componente comprometido e fornecerá melhorias de segurança adicionais.

“O governo dos EUA está ciente desses fatos e estamos tomando todas as medidas necessárias para identificar e corrigir quaisquer problemas potenciais associados a esta situação”, disse o porta-voz do Conselho de Segurança da Casa Branca, John Ulliott. Depois que o ataque cibernético foi descoberto, a Casa Branca convocou o Conselho de Segurança Nacional dos EUA para discutir as consequências do roubo de dados. A comunidade de inteligência dos EUA teme que os hackers que realizaram os ataques possam usar um método semelhante para invadir outras agências governamentais.

De acordo com fontes ouvidas pelo jornal Washington Post, o grupo APT29, muitas vezes associado aos serviços de inteligência russos, é o responsável pelos ataques. No entanto, os especialistas da FireEye não mencionaram o APT29; eles deram aos cibercriminosos um codinome neutro: UNC2452.

No entanto, várias fontes da comunidade de segurança da informação confirmaram que, a julgar pelas evidências disponíveis, o APT29 está de fato por trás dos ataques.

A SolarWinds publicou um comunicado à imprensa confirmando o fato de ter havido um ataque cibernético ao Orion, uma plataforma de software para monitoramento e gerenciamento centralizado de recursos de TI em grandes redes, incluindo servidores, estações de trabalho, dispositivos móveis e IoT, etc. Os invasores injetaram malware nas versões de atualização do Orion 2019.4 a 2020.2.1, lançadas entre março e junho de 2020.

Em seu relatório, os especialistas da FireEye chamam o malware de Sunburst. A Microsoft o chamou de Solorigate e adicionou regras de detecção ao Windows Defender.

De acordo com o relatório FireEye, a campanha de espionagem não visa somente os EUA, podendo atingir “organizações públicas e privadas em todo o mundo. As vítimas incluem organizações governamentais, empresas de consultoria, tecnologia, telecomunicações e mineração na América do Norte, Europa, Ásia e Oriente Médio. É esperado que haja mais vítimas em outros países e áreas ”.

A FireEye disse ter sido alvo do ataque dos hackers na semana passada, afirmou que encontrou “inúmeras” outras vítimas, entre elas órgãos governamentais, empresas de consultoria, tecnologia, telecomunicações e da indústria de extração na América do Norte, na Europa, na Ásia e no Oriente Médio.

Invasão da FireEye é recado e demonstração de poder da Rússia

Fontes ligadas à empresa de segurança norte-americana FireEye relataram ao jornal The Washington Post que foram os membros de um grupo hacker conhecido como APT 29 ou Cozy Bear, baseado na Rússia e supostamente ligado ao SVR (serviço de inteligência estrangeira da Rússia), os responsáveis pela invasão e roubo de ferramentas do red team da empresa.

As mesmas fontes acreditam que o ataque seja ao mesmo tempo uma retaliação, uma demonstração de poderio cibernético e uma declaração clara de que, embora a Rússia tenha ficado razoavelmente neutra durante as eleições presidenciais dos EUA, continua dispondo de grande poder na quinta dimensão das guerras – a dimensão cibernética.

Há vários motivos para retaliações dos russos contra a FireEye: ela foi a primeira a descobrir que o grupo de hackers Sandworm – responsável por apagões na Ucrânia em 2015 e 2016, bem como pelo worm hiperdestrutivo NotPetya no ano seguinte – estava ligado à Unidade 74455 da agência de inteligência militar GRU da Rússia.

A FireEye também descobriu a primeira prova de que a mesma unidade GRU foi responsável pela tentativa de sabotagem dos Jogos Olímpicos de Inverno de 2018 na Coréia do Sul.

Não se comparam, por exemplo, ao dump de ferramentas da NSA feito pelo grupo Shadow Brokers em 2017. Entre elas, estava o Eternal Blue, que um grupo misterioso chamado Shadow Brokers vazou em 2017, e que propiciou o ataque do ransomware Wannacry em maio desse ano.

A FireEye comunicou o incidente ontem. A fonte que falou ao jornal destacou que o grupo é exatamente o mesmo que penetrou na rede da Casa Branca e na do Departamento de Estado há vários anos, e também o mesmo que tentou roubar pesquisas da vacina contra o coronavírus.

Em seu comunicado ao mercado feito ontem, o CEO da FireEye, Kevin Mandia, disse que a empresa está lidando com as consequências de “um ataque por uma nação com recursos ofensivos de primeira linha” e solicitou a ajuda do Federal Bureau of Investigation e de empresas do setor como a Microsoft. “Estamos testemunhando um ataque de uma nação com capacidades ofensivas de alto nível”, disse Mandia. “Os atacantes adaptaram suas capacidades de classe mundial especificamente para visar e atacar a FireEye”.

Mandia disse que os invasores buscaram principalmente informações relacionadas a certos clientes do governo, para quem a FireEye costuma trabalhar.

Grupo APT já teria realizado 26 ataques de espionagem corporativa

Pesquisadores de segurança descobriram um novo grupo de ameaças persistentes avançadas (APTs) responsável por pelo menos 26 ataques de espionagem corporativa direcionados a empresas globais desde 2018. Apelidado de RedCurl, o grupo teria roubado documentos corporativos confidenciais, incluindo contratos, documentos financeiros, registros de funcionários e registros legais, de acordo com um relatório publicado na quinta-feira, 13, pela empresa de segurança Group-IB.

Segundo o documento, entre as vítimas do grupo estão uma variedade de setores, incluindo construção, finanças, varejo e direito, em países como Rússia, Ucrânia, Reino Unido, Canadá, Alemanha e Noruega, dos que foram detectados até agora.

Os pesquisadores do Group-IB observam que o RedCurl utiliza técnicas de hacking semelhantes às dos grupos conhecidos como RedOctober e CloudAtlas, outro grupo de origem russa que tem como alvo várias entidades e redes governamentais “principalmente na Rússia”, de acordo com o banco de dados de grupos de hackers do MITER Corp. A fornecedora de segurança russa Kaspersky já havia publicado anteriormente suas próprias descobertas sobre RedOctober e CloudAtlas, e o Group-IB agora sugere que o foco da RedCurl usa táticas semelhantes, o que “pode ??indicar que o grupo é uma continuação dos ataques anteriores”.

Normalmente, os hackers procuram se passar por membros da equipe de recursos humanos da organização vítima, enviando e-mails prometendo bônus aos funcionários de um mesmo departamento em uma tentativa de enfraquecer suas defesas. Um e-mail de phishing contra o departamento de RH serviria como o ponto inicial de infecção, dando aos invasores um ponto de partida para o restante da organização.

O Group-IB não faz nenhuma indicação sobre a possível sede do RedCurl. O fato de o grupo usar o idioma russo, como observam os pesquisadores, não dá para deduzir que seja um grupo de hackers baseado na Rússia. Os grupos de hackers baseados naquele país normalmente não têm como objetivo fazer vítimas dentro da Rússia, em parte para evitar antagonizar com as agências de inteligência do país.

“Para os operadores do RedCurl não faz diferença atacar um banco russo ou uma empresa de consultoria no Canadá”, disse Rustam Mirkasymov, chefe da equipe de análise dinâmica de malware do Group-IB, em um comunicado por e-mail. “Esses grupos se concentram na espionagem corporativa e empregam várias técnicas para encobrir suas atividades, incluindo o uso de ferramentas legítimas que são difíceis de detectar.”

Nesse caso, o grupo explora o PowerShell da Microsoft para inserir seus próprios scripts de software malicioso. Em seguida, os hackers geralmente passam de dois a seis meses dentro de uma rede violada, coletando nomes de usuário, senhas e outros dados confidenciais enquanto tentam evitar a detecção. O Group-IB não divulgou os nomes das vítimas em seu relatório.

Fonte: cisoadvisor.com.br – Notícias de Segurança Cibernética.

 

Compartilhar:

Leia também

Inscreva-se na nossa newsletter