Hackers da SolarWinds continuam visando a cadeia de suprimentos de TI

Hackers da SolarWinds continuam visando a cadeia de suprimentos de TI. Microsoft afirma que a Nobelium APT está de olho em revendedores e provedores de serviços técnicos

O ator estadual por trás do ataque cibernético de 2020 visando os clientes da SolarWinds – Nobelium – está continuando sua campanha para atingir a cadeia global de suprimentos de TI, de acordo com um novo alerta da Microsoft , que afirma que 140 revendedores e provedores de serviços de tecnologia foram notificados de que foram alvo do grupo e até 14 foram comprometidos.

A Nobelium, que o governo dos EUA conectou ao serviço de inteligência estrangeira da Rússia, ou SVR, agora tem como alvo parceiros que personalizam, implantam e gerenciam serviços em nuvem, avisa a Microsoft. Vários especialistas em segurança cibernética afirmam que é mais uma prova de que o governo russo tomará medidas drásticas para reunir informações confidenciais.

A Nobelium tem tentado replicar a abordagem usada em ataques anteriores, visando organizações integrantes da cadeia de fornecimento de TI global. Desta vez, ele está atacando uma parte diferente da cadeia de suprimentos: revendedores e outros provedores de serviços de tecnologia que personalizam, implantam e gerenciam serviços em nuvem e outras tecnologias em nome de seus clientes. Acreditamos que a Nobelium espera, em última análise, pegar carona em qualquer acesso direto que os revendedores possam ter aos sistemas de TI de seus clientes e mais facilmente se passar por um parceiro de tecnologia confiável de uma organização para obter acesso aos seus clientes posteriores. Começamos a observar esta última campanha em maio de 2021 e notificamos parceiros e clientes impactados, ao mesmo tempo em que desenvolvemos nova assistência técnica e orientação para a comunidade de revendedores. Desde Maio, Notificamos mais de 140 revendedores e provedores de serviços de tecnologia que foram visados ​​pela Nobelium. Continuamos investigando, mas até o momento acreditamos que até 14 desses revendedores e provedores de serviços foram comprometidos. Felizmente, descobrimos essa campanha durante seus estágios iniciais e estamos compartilhando esses desenvolvimentos para ajudar os revendedores de serviços em nuvem, provedores de tecnologia e seus clientes a tomar medidas oportunas para ajudar a garantir que o Nobelium não tenha mais sucesso.”

Na orientação técnica divulgada juntamente com o comunicado, a Microsoft avisa que as táticas mais recentes do Nobelium não tentam explorar vulnerabilidades de software. Em vez disso, o grupo está usando sprays de senha, roubo de tokens, abuso de API e spear-phishing para comprometer contas de usuários e obter acesso privilegiado.

“A Microsoft observou a NOBELIUM visando contas privilegiadas de provedores de serviço para mover-se lateralmente em ambientes de nuvem, aproveitando os relacionamentos confiáveis ​​para obter acesso a clientes downstream e permitir outros ataques ou acessar sistemas direcionados. Esses ataques não são o resultado de uma vulnerabilidade de segurança do produto, mas sim uma continuação do uso da NOBELIUM de um kit de ferramentas diversificado e dinâmico que inclui malware sofisticado, sprays de senha, ataques à cadeia de suprimentos, roubo de token, abuso de API e spear phishing para comprometer contas de usuário e alavancar o acesso dessas contas. Esses ataques destacaram a necessidade de os administradores adotarem práticas rígidas de segurança de contas e tomarem medidas adicionais para proteger seus ambientes.

Nos ataques à cadeia de suprimentos observados, clientes downstream de provedores de serviços e outras organizações também estão sendo alvos da NOBELIUM. Nessas relações provedor / cliente, os clientes delegam direitos administrativos ao provedor que permitem que o provedor gerencie os inquilinos do cliente como se eles fossem um administrador dentro da organização do cliente. Ao roubar credenciais e comprometer contas no nível do provedor de serviços, a NOBELIUM pode tirar proveito de vários vetores potenciais, incluindo, mas não se limitando a privilégios administrativos delegados (DAP), e então aproveitar esse acesso para estender ataques downstream por meio de canais confiáveis, como VPNs voltados externamente ou soluções exclusivas provedor-cliente que permitem o acesso à rede. Para reduzir o impacto potencial desta atividade NOBELIUM, A Microsoft incentiva todos os nossos parceiros e clientes a revisar imediatamente as orientações abaixo e implementar mitigações de risco, ambientes mais rígidos e investigar comportamentos suspeitos que correspondam às táticas descritas neste blog. A MSTIC continua a observar, monitorar e notificar os clientes e parceiros afetados por meio de nosso processo de notificação de estado nacional. A Equipe de Detecção e Resposta da Microsoft (DART) e os Especialistas em Ameaças da Microsoft também se envolveram diretamente com os clientes afetados para ajudar na resposta a incidentes e conduzir uma melhor detecção e orientação sobre esta atividade. e notificar os clientes e parceiros afetados por meio de nosso processo de notificação de estado-nação. A Equipe de Detecção e Resposta da Microsoft (DART) e os Especialistas em Ameaças da Microsoft também se envolveram diretamente com os clientes afetados para ajudar na resposta a incidentes e conduzir uma melhor detecção e orientação sobre esta atividade. e notificar os clientes e parceiros afetados por meio de nosso processo de notificação de estado-nação. A Equipe de Detecção e Resposta da Microsoft (DART) e os Especialistas em Ameaças da Microsoft também se envolveram diretamente com os clientes afetados para ajudar na resposta a incidentes e conduzir uma melhor detecção e orientação sobre esta atividade.”

Tom Burt, vice-presidente corporativo de segurança e confiança do cliente da Microsoft, afirma no comunicado: “Acreditamos que a Nobelium espera aproveitar qualquer acesso direto que os revendedores possam ter aos sistemas de TI de seus clientes e mais facilmente se passar por um parceiro de tecnologia confiável de uma organização para obter acesso aos seus clientes”.

Felizmente, descobrimos esta campanha durante seus estágios iniciais“, continua Burt, observando que a Microsoft começou a observar a atividade em maio de 2021. “E estamos compartilhando esses desenvolvimentos para ajudar [os afetados] a tomar medidas oportunas para ajudar a garantir que o Nobelium não seja mais bem sucedido.

Nobelium APT: uma ameaça ativa

A Microsoft acrescenta que os ataques são parte de uma onda maior de atividade do Nobelium em 2021. Entre 1º de julho e 19 de outubro, afirma o comunicado, a Microsoft informou a 609 clientes que eles foram atacados 22.868 vezes pelo Nobelium, embora a taxa de sucesso tenha sido baixas. A Microsoft diz que, em comparação, antes de 1º de julho de 2021, notificou os clientes sobre ataques de Estados-nação 20.500 vezes em três anos.

Charles Carmakal, SVP e CTO da empresa de segurança Mandiant, que ajudou na identificação dessa nova onda de atividade, acrescenta: “Este caminho de ataque torna muito difícil para as organizações de vítimas descobrirem que foram comprometidas e investigar as ações tomadas pelo ator da ameaça.”

[Isso] muda a invasão inicial dos alvos finais, que em algumas situações são organizações com defesas cibernéticas mais maduras, para parceiros de tecnologia menores”, continua Carmakal. “Semelhante à vitimologia observada na campanha de 2020, os alvos dessa atividade de intrusão parecem ser, em última análise, organizações governamentais e outras organizações que lidam com assuntos de interesse da Rússia.

Jake Williams, um ex-membro da equipe de elite de hackers da National Security Agency, e cofundador e CTO da empresa de segurança BreachQuest, chama o Nobelium de “um adversário verdadeiramente persistente” e avisa que é “um dos melhores no ecossistema de agentes de ameaças em permanecer não detectado após uma tentativa de correção.

Campanha SolarWinds

A Nobelium, que orquestrou a campanha da SolarWinds divulgada pela Microsoft e FireEye em dezembro de 2020, violou os sistemas da SolarWinds e distribuiu uma atualização do software Orion malicioso para os clientes da empresa. Cerca de 100 organizações em todo o mundo foram violadas e ataques subsequentes ocorreram em nove agências federais dos EUA, incluindo o Department of Homeland Security and the Department of the Treasury. 

O presidente da Microsoft, Brad Smith, disse em “60 Minutes” em fevereiro que o incidente da SolarWinds pode ter envolvido os esforços coordenados de cerca de 1.000 engenheiros.

Smith declarou na época: “Acho que da perspectiva da engenharia de software, provavelmente é justo dizer que este é o maior e mais sofisticado ataque que o mundo já viu.

‘Ação Mais Agressiva’

De acordo com Danny Lopez, ex-cônsul geral HM para o Foreign and Commonwealth Office do Reino Unido e CEO da empresa Glasswall, esses ataques recentes revelam que, em todos os setores, “a abordagem tradicional de castelo e fosso para segurança de rede deixa as organizações expostas” – potencialmente oferecendo “rédeas livres a atacantes como o Nobelium” através de uma rede.

Jamil Jaffer, ex-conselheiro associado da Casa Branca ao presidente George W. Bush e fundador e diretor executivo do Instituto de Segurança Nacional da Universidade George Mason, adverte: “Esta [atividade sem dúvida] destaca a necessidade de tomar medidas mais agressivas para impor custos a fim de impedir tal atividade por parte da Rússia.

Jaffer, que é vice-presidente sênior de estratégia, parcerias e desenvolvimento corporativo da IronNet Cybersecurity, continua: “É claro que as sanções impostas anteriormente tanto para atividades de hacking quanto para o apoio da Rússia a ataques de ransomware não impediram adequadamente a atividade cibernética russa contra o setor privado dos EUA.

No comunicado, no entanto, Burt da Microsoft diz: “Estamos cientes de que os estados-nação, incluindo a Rússia, não interromperão ataques como esses da noite para o dia; [mas] acreditamos em medidas como a ordem executiva de segurança cibernética nos Estados Unidos, e uma maior coordenação e o compartilhamento de informações, que vimos entre a indústria e o governo nos últimos dois anos, nos colocaram em uma posição muito melhor para nos defendermos deles.

Federal Efforts

A última manobra do Nobelium ressalta o imenso desafio de segurança cibernética enfrentado pelas autoridades americanas e todo o mundo. Além de impor sanções econômicas contra a Rússia, Biden montou uma ofensiva contra o ransomware e sua infraestrutura financeira, indo tão longe quanto visando trocas de criptomoedas específicas e estabelecendo infraestrutura crítica “proibida” para o presidente russo Vladimir durante uma cúpula de junho.

Fonte: Bank Info Security & Microsoft 

Veja também:

Sobre mindsecblog 1762 Artigos
Blog patrocinado por MindSec Segurança e Tecnologia da Informação Ltda.

3 Trackbacks / Pingbacks

  1. IA e cibersegurança: por que apostar nessa dupla? 
  2. Worm você sabe o que é? worm não é mesmo que WORM.
  3. Funcionário do iFood troca nomes de estabelecimentos para “Lula Ladrão

Deixe sua opinião!