Entenda o ataque hacker da SolarWinds que assombrou o mundo

Entenda o ataque hacker da SolarWinds que assombrou o mundo. Os hackers usaram o que é chamado de ataque à cadeia de suprimentos, explorando as atualizações do software de gerenciamento.

A ansiedade sobre o recente ataque cibernético da SolarWinds e do governo dos EUA aumentou, quando a Agência de Segurança Cibernética e de Infraestrutura (CISA) do DHS alertou que o grupo persistente avançado por trás do incidente pode estar usando várias táticas para obter acesso inicial às redes alvo.

A princípio, pensou-se que o provável ator da ameaça apoiado pela Rússia estava distribuindo malware a milhares de organizações em todo o mundo, ocultando-o em atualizações legítimas do software de gerenciamento de rede Orion da SolarWinds. No entanto, a CISA disse que sua análise mostrou que os invasores também podem ter usado outro vetor inicial: um desvio de autenticação multifator, feito acessando a chave secreta do servidor Outlook Web App (OWA).

plataforma Orion é o núcleo do portfólio de gerenciamento de TI da SolarWinds. Ele fornece uma arquitetura estável e escalonável que inclui coleta, processamento, armazenamento e apresentação de dados. A Orion Platform oferece recursos comuns, como contas de usuários e grupos, visualizações, painéis, relatórios, alertas e muito mais que pode ser usado em todos os produtos da Orion Platform e acessar a partir do Orion Web Console.

A CISA apontou para um alerta  emitido pela Volexity, no qual o fornecedor de segurança observou que essa tática de desvio de MFA foi usada em outro ataque envolvendo o mesmo intruso responsável pela campanha SolarWinds. 

Notícias de pelo menos um vetor de ataque adicional, e provavelmente mais, chegaram enquanto as organizações e o setor como um todo lutavam para aceitar o que é indiscutivelmente um dos incidentes cibernéticos mais significativos dos últimos anos. Os invasores que violaram o SolarWinds usaram as atualizações de software da empresa – e agora, de acordo com a CISA, outros métodos – para instalar um backdoor chamado SUNBURST em sistemas pertencentes a governos, entidades militares e de defesa e várias empresas do setor privado.

As agências internacionais suspeitaram de um hack russo, que comprometeu partes do governo dos EUA, executado com um escopo e sofisticação que surpreendeu até mesmo especialistas em segurança veteranos e expôs uma vulnerabilidade potencialmente crítica na infraestrutura de tecnologia.

Segundo o The Wall Stree Journal – WSJ, Enquanto a investigação continua no hack massivo – que lança uma rede quase invisível em 18.000 empresas e agências governamentais -, especialistas em segurança estão descobrindo novas evidências que indicam que a operação é parte de uma campanha de espionagem cibernética mais ampla e não detectada, que pode se estender por anos.

O que mais surpreendeu a comunidade internacional é que que o ataque combinou técnicas extraordinariamente furtivas, usando ferramentas cibernéticas nunca antes vistas em um ataque anterior, com uma estratégia que se concentrou em um elo fraco na cadeia de fornecimento de software da qual todas as empresas e instituições governamentais dos EUA dependem – uma abordagem que os especialistas em segurança temiam por muito tempo mas um que nunca foi usado em alvos dos EUA de forma combinada.

O ataque a um fornecedor global de alta credibilidade para softwares que possuem acesso privilegiados, quase total, nas diversas instalações de empresas e governos ao redor mundo, embora teoricamente possível, nunca foi lançado ou projetado, nem mesmo nos mais vorazes “testes de mesa” dos mais experientes Pen Tester de todo mundo.

Por dentro do hack

Os hackers usaram o que é chamado de ataque à cadeia de suprimentos, explorando as atualizações do software de gerenciamento SolarWinds para colocar código malicioso nos servidores dos alvos.

Fonte: SolarWinds

Em video o especialista Tom da Lawrence System explica detalhes do ataque.


 

A CISA  – Cybersecurity and Infrastructure Security Agency – encarregada de proteger as redes dos EUA, em um alerta, disse ter evidências de que os hackers conseguiram invadir redes de computadores usando outros bugs que não o software SolarWinds. O alerta rotulou o hack de “grave ameaça” para as vítimas comprometidas, que incluem várias agências governamentais, entidades de infraestrutura crítica e empresas do setor privado.

NSA – National Security Agency – emitiu um alerta mais amplo às agências de defesa sobre vulnerabilidades como as expostas pelo ataque SolarWinds. Segundo o The Wall Street Journal, a NS disse que “Hackers estão encontrando maneiras de forjar credenciais de computador para obter acesso mais amplo às redes e roubar dados protegidos armazenados em servidores internos e centros de dados em nuvem.” A abordagem pode ter sido usada em um ataque ao software VMware Inc. usado nos círculos de segurança nacional sobre o qual a agência de espionagem alertou no início deste mês.

Autoridades do governo e especialistas em segurança cibernética concluíram que a Rússia é provavelmente responsável pelo hack, em parte devido à extrema habilidade envolvida e por outras pistas confidenciais, de acordo com pessoas familiarizadas com o assunto, e pelo menos dois senadores que receberam informações nos últimos dias se referiram abertamente a isso como uma operação russa, afirmou o jornal. No entanto, Moscou teria negado a responsabilidade.

A empresa de segurança cibernética FireEye Inc. sengundo o WSJ afirma que os clientes do setor privado em todo o mundo provavelmente foram afetados. Os investigadores dizem que a maior parte das empresas afetadas pelo ataque está sediada nos Estados Unidos e na Europa Ocidental, mas nenhum governo estrangeiro anunciou compromissos de seus próprios sistemas, embora esperam verificações mais aprofundadas nas próximas semanas.

O ataque da SolarWinds iludiu tanto as medidas de segurança dos EUA que foi descoberto não por oficiais de inteligência, mas, quase acidentalmente, graças a um alerta de segurança automatizado enviado nas últimas semanas a um funcionário da FireEye, que havia sido comprometido.

O aviso, que também foi enviado à equipe de segurança da empresa, disse ao funcionário da FireEye que alguém havia usado as credenciais do funcionário para fazer login na rede privada virtual da empresa a partir de um dispositivo não reconhecido – o tipo de mensagem de segurança que os funcionários da empresa excluem rotineiramente. Se não tivesse causado alerta aos executivos da FireEye , o ataque provavelmente ainda não teria sido detectado, dizem as autoridades.

Veio nítido e limpo”, disse o presidente-executivo da FireEye, Kevin Mandia, sobre a aparente intrusão. “Depois de anos respondendo a violações, anos apenas entendendo os detalhes, algo parecia diferente sobre este.”

Entre os sinais preocupantes, o invasor parecia compreender as bandeiras vermelhas que normalmente ajudam empresas como a FireEye a encontrar intrusões, e eles as contornaram: usaram infraestrutura de computador inteiramente localizada nos Estados Unidos; e deram a seus sistemas os mesmos nomes usados ​​por sistemas reais de funcionários da FireEye, uma tática incomumente adequada, projetada para ocultar ainda mais a presença dos hackers.

O foco do laser tornou o ataque mais difícil de detectar, disseram a FireEye e outros. O Sr. Mandia comparou a atividade a “um atirador atirando em um colete à prova de balas“.

No sábado, 12 de dezembro, a empresa notificou a SolarWinds, o fornecedor de software que inconscientemente enviou software contaminado desde março, sobre sua descoberta e atualizou o governo dos EUA. “Mobilizamos nossa equipe de resposta a incidentes e rapidamente transferimos recursos internos significativos para investigar e remediar a vulnerabilidade”, disse a SolarWinds.

A SolarWinds disse que lançou uma correção rápida que corrigiu o problema de segurança para os clientes durante a semana. Mas os especialistas alertaram que simplesmente cortar o ponto de acesso dos hackers não garante sua remoção, especialmente porque eles teriam usado seu tempo dentro dessas redes para ocultar ainda mais sua atividade.

A complexidade e o amplo sucesso do hack SolarWinds representam uma nova fronteira para a segurança cibernética, mas a técnica de usar um provedor de software confiável como um cavalo de Tróia para invadir um de seus clientes já foi usada antes. Em 2017, hackers também ligados à Rússia colocaram software malicioso em um obscuro programa tributário ucraniano, levando a um surto mundial do software destrutivo conhecido como NotPetya. A FedEx Corp disse mais tarde que o incidente custou à empresa US $ 400 milhões. Outra vítima, a Merck & Co. estimou o preço da limpeza em US $ 670 milhões.

Com para o ataque do SolarWinds, furtividade e não destruição era a prioridade, permitiu que o ataque não fosse detectado por muito tempo e também mostrou o quão longe os hackers podem ir obtendo acesso às ferramentas de desenvolvimento de software de uma empresa de médio porte com presença nas redes do governo dos Estados Unidos e de empresas Fortune 500.

Ainda não se sabe como os hackers obtiveram acesso aos sistemas SolarWinds para introduzir o código malicioso. A empresa disse que suas contas de e-mail da Microsoft foram comprometidas e que esse acesso pode ter sido usado para coletar mais dados das ferramentas de produtividade do Office da empresa.

No entanto a FireEye diz que recebeu ligações nos últimos dias de clientes que acreditam ter sido infiltrados pelos mesmos hackers, embora nunca tenham instalado o software SolarWinds em suas redes. “Seria tolice pensar que a única técnica que eles têm para quebrar nas organizações é o SolarWinds”, disse o Sr. Carmakal. À medida que continuamos nossa investigação, podemos descobrir que existe um caminho diferente que o invasor usou para obter acesso a essas organizações.

SolarWinds

Em seu site a SolarWinds diz que:

Ataque

foi vítima de um ataque cibernético que inseriu uma vulnerabilidade (SUNBURST) em nossas compilações de software da plataforma Orion® para as versões 2019.4 HF 5 , 2020.2 sem hotfix e 2020.2 HF 1 , que, se presente e ativado, poderia permitir que um invasor comprometer o servidor no qual os produtos Orion são executados. Esse ataque foi um ataque à cadeia de suprimentos muito sofisticado, que se refere a uma interrupção em um processo padrão resultando em um resultado comprometido com o objetivo de ser capaz de atacar os usuários subsequentes do software.Nesse caso, parece que o código foi planejado para ser usado de forma direcionada, pois sua exploração requer intervenção manual. Fomos informados de que a natureza desse ataque indica que ele pode ter sido conduzido por um estado-nação externo, mas a SolarWinds não verificou a identidade do invasor .”

Impacto

Com base em nossas investigações até o momento, que estão em andamento, acreditamos que a vulnerabilidade foi inserida nos produtos da Plataforma Orion e existiu em atualizações lançadas entre março e junho de 2020 (o que chamamos de “período relevante”) como resultado de um comprometimento de o sistema de compilação do software Orion e não estava presente no repositório de código-fonte dos produtos da plataforma Orion. A SolarWinds tomou medidas para remediar o comprometimento do sistema de compilação do software Orion e estamos investigando quais etapas adicionais, se houver, devem ser tomadas. Além disso, enquanto ainda estamos investigando nossos produtos que não são da Orion, não vimos nenhuma evidência de que eles tenham sido afetados pelo SUNBURSTCom base em nossas investigações até o momento, a SolarWinds atualmente acredita que:

A SolarWinds atualmente acredita que:

  • Os produtos Orion baixados, implementados ou atualizados durante o período relevante continham a vulnerabilidade inserida (SUNBURST);
  • Os produtos Orion baixados e implementados  antes  do período relevante e não atualizados durante o período relevante não continham a vulnerabilidade;
  • Os produtos Orion baixados e implementados  após  o período relevante não continham a vulnerabilidade; e
  • A versão anteriormente afetada dos produtos Orion que foram atualizados com uma compilação lançada  após  o período relevante não continha mais a vulnerabilidade; entretanto, o servidor no qual os produtos Orion afetados foram executados pode estar comprometido durante o período em que a vulnerabilidade existia.”

Remediação

Se você acredita que seu ambiente foi comprometido, a seguir estão as etapas recomendadas:

Primeiro, determine a compilação do software SolarWinds® Orion® Platform que você instalou aqui e verifique quais atualizações de hotfix você instalou  aqui .

  • Se você estiver executando a Orion Platform versão 2019.4 HF 5 , recomendamos que você reconstrua seu servidor / VM Orion para todos os pollers e instale a Orion Platform versão 2019.4 HF 6 .
  • Se você está executando o software Orion Platform versão 2020.2.1 , mas executou qualquer uma das versões infectadas anteriores , reconstrua seu servidor Orion e / ou VM para todos os pollers e instale o Orion Platform versão 2020.2.1 HF 2 em uma máquina nova.
  • Se você estiver executando uma versão anterior ou igual à versão 2019.4 HF 4 do Orion Platform , não acreditamos que seu sistema tenha sido comprometido com esta vulnerabilidade e, portanto, não recomendamos que qualquer ação seja necessária para se proteger contra esta vulnerabilidade.

Para ajudar a proteger seu sistema, você também deve bloquear o acesso DNS a qualquer um dos seguintes:

  • avsvmcloud[.]com
  • panhardware[.]com
  • databasegalore[.]com
  • freescanonline[.]com
  • thedoccloud[.]com
  • deftsecurity[.]com

Se você tiver experiência para realizar os seguintes itens de ação, faça o seguinte:

  • Forense i mage a memória do sistema e / ou os sistemas operacionais host que hospedam todas as instâncias da SolarWinds Orion Platform [versões 2019.4 HF 5 , 2020.2 sem patch e 2020.2 HF 1 ].
  • Analise o  tráfego de rede armazenado em busca de indicações de comprometimento, incluindo novos domínios DNS externos.
  • Consulte  quaisquer fornecedores de segurança com os quais você atualmente tenha um relacionamento sobre suas recomendações.”
About mindsecblog 1316 Articles
Blog patrocinado por MindSec Segurança e Tecnologia da Informação Ltda.

4 Trackbacks / Pingbacks

  1. Microsoft alertou CrowdStrike sobre uma possível tentativa de hack
  2. SolarWinds: o que sabemos agora e o que as empresas podem fazer para se proteger
  3. Uma lista de verificação de segurança cibernética para 2021
  4. Nova vulnerabilidade Zero Day crítica da SolarWinds sob ataque ativo

Deixe sua opinião!