O que é o ataque cibernético à SolarWinds?

O que é a SolarWinds?

A SolarWinds é uma empresa com sede no Texas que fornece soluções de software para gerenciamento da infraestrutura de tecnologia da informação (TI), permitindo que as organizações monitorem e gerenciem o desempenho dos seus ambientes de TI.

A SolarWinds Orion, uma plataforma de monitoramento e gerenciamento de infraestrutura de rede amplamente utilizada, foi projetada para oferecer aos clientes visibilidade das redes de vários fornecedores para que possam identificar e solucionar problemas. A Orion tem mais de 33 mil clientes, incluindo grandes empresas do setor privado e agências governamentais. Acredita-se que o ataque em questão tenha afetado aproximadamente 18 mil desses clientes — bem mais da metade.

No dia seguinte à divulgação da violação da SolarWinds, a Forbes informou que os ataques poderiam atingir o cerne do aparato de segurança dos Estados Unidos: “De acordo com uma análise de registros públicos, a gama de clientes do governo dos EUA que já compraram o SolarWinds Orion é vasta. O Pentágono é seu maior cliente, sendo o Exército e a Marinha grandes usuários. O Departamento de Assuntos de Veteranos... os Institutos Nacionais de Saúde, o Departamento de Energia, o DHS e o FBI também estão entre os muitos órgãos do governo dos EUA que já compraram a ferramenta.”

Como funcionou o ataque cibernético à SolarWinds?

O ataque, que ficou conhecido como SUNBURST nas comunicações da SolarWinds, afetou as versões 2019.4 a 2020.2.1 do Orion, lançadas entre março e junho de 2020.

Para realizar o ataque, os hackers modificaram um plug-in da plataforma Orion distribuído como parte de suas atualizações. Assinado digitalmente pela SolarWinds, ele contém uma backdoor que se comunica com servidores de terceiros sob controle dos criminosos. Depois de estabelecer uma base nas organizações afetadas, os criminosos podiam roubar dados, implantar códigos maliciosos ou interromper os negócios.

O ataque foi obra de um adversário sofisticado com profundo conhecimento sobre segurança operacional. Com base em dados publicamente disponíveis, esse adversário demonstrou um esforço significativo para evitar sua detecção, incluindo ofuscação de código e técnicas de limpeza, como esteganografia, técnicas de impressão digital para identificar sistemas visados e sistemas de análise, infraestrutura rotativa com foco na proximidade geográfica e execução de código em memória tanto quanto possível.

Essas técnicas, em conjunto com o uso de um componente assinado digitalmente de uma plataforma de software confiável como vetor de infecção inicial, indicam se tratar de um adversário altamente qualificado e disfarçado, disposto a gastar recursos para garantir o sucesso de sua operação.

Resposta dos EUA e sanções após o ataque

O ataque afetou várias agências de alto nível do governo federal dos EUA, incluindo o Departamento de Justiça (DOJ), o Departamento de Segurança Interna (DHS) e o Departamento do Tesouro, entre outros. Ele expôs os ambientes de e-mail do Microsoft 365 de várias agências federais, constituindo um “grande incidente” que justificou uma resposta defensiva.

Uma declaração da Casa Branca em abril de 2021 afirmou que o governo Biden “imporia custos à Rússia por ações de seu governo e serviços de inteligência contra a soberania e os interesses dos EUA”. Essas ações visaram órgãos do governo, comércio e inteligência russos, incluindo a expulsão de representantes diplomáticos dos serviços de inteligência russos nos EUA.

A mesma declaração nomeou formalmente o Serviço de Inteligência Estrangeira da Rússia (SVR) como autor do ataque. A CISA, o Departamento Federal de Investigação (FBI) e a Agência Nacional de Segurança (NSA) dos EUA divulgaram um comunicado de segurança conjunto que continha mais detalhes.

Como saber se você foi atacado?

Para evitar ser detectado, o adversário aparentemente usou a backdoor da SolarWinds Orion apenas quando o ambiente de destino era de interesse específico. Dessa forma, analisar sua atividade de rede é a única maneira de saber se um agressor tentou obter ou obteve acesso.

Suspeita-se que a campanha tenha começado durante ou antes de março de 2020 (com possíveis testes já em outubro de 2019) e não envolveu nenhum indicador de comprometimento conhecido. Devido ao volume de dados envolvidos, muitas organizações não mantêm registros de acesso por tempo suficiente para determinar se um comprometimento ocorreu ou não.

Se um invasor implantar malware no seu ambiente por meio de um sistema Orion comprometido, ele provavelmente usará o escalonamento de privilégios para começar a explorar as ações que pode realizar. Fique de olho no sistema Orion afetado, ou outros sistemas que se comunicaram com ele, em busca de comportamentos como:

• Modificação das tarefas do sistema
• Padrão de ação de criação, execução e exclusão de diretório
• Contas de usuários locais recém-criadas ou desconhecidas
• Existência ou evidência de uso do Adfind.exe
• Sinais de arquivos cmd.exe ou rundll32.exe gerados a partir de solarwinds.businesslayerhost.exe
• Existência de regras de encaminhamento/exclusão de e-mail desconhecidas e/ou muito amplas no gateway de e-mail

Produtos e versões comprometidos da Orion

A maneira mais fácil de saber se você foi atacado é determinar se você está usando um produto Orion comprometido no seu ambiente. As versões afetadas da plataforma Orion incluem:

• 2019.4 HF5, versão 2019.4.5200.9083
• 2020.2 RC1, versão 2020.2.100.12219
• 2020.2 RC2, versão 2020.2.5200.12394
• 2020.2, versão 2020.2.5300.12432
• 2020.2 HF1, versão 2020.2.5300.12432

O que fazer se você estiver em risco

Se você estiver usando uma versão comprometida da plataforma Orion:

1. Isole, desconecte ou desligue imediatamente os sistemas infectados
2. Revise os registros para identificar a atividade de comando e controle ou movimentação lateral dos sistemas infectados
3. Redefina todas as credenciais utilizadas pelo SolarWinds Orion e serviços associados
4. Atualize o Orion para a versão mais recente de acordo com este comunicado
5. Determine se você está executando algum outro produto da SolarWinds afetado listado no comunicado

Práticas recomendadas para proteger sua organização

Os ataques à cadeia de suprimentos ainda estão em evolução, e não há dúvida de que os adversários encontrarão novas maneiras de comprometer as operações e os dados sigilosos de órgãos públicos e empresas privadas. Para reduzir os riscos tanto quanto possível, a Zscaler recomenda seguir estas etapas:

• Elimine sua superfície de ataque voltada para a internet, interrompa a movimentação lateral e bloqueie o C2 com uma arquitetura zero trust.
• Ative a inspeção completa de TLS/SSL e a prevenção avançada de ameaças no tráfego de cargas de trabalho para a internet.
• Execute uma sandbox integrada na nuvem para identificar e interromper ameaças desconhecidas.
• Aplique proteções para o tráfego de C2 conhecido com atualizações contínuas à medida que surgem novos destinos.
• Limite o impacto da movimentação lateral com a microssegmentação baseada na identidade para cargas de trabalho na nuvem.
• Escolha fornecedores que possam atestar os mais altos níveis de confidencialidade, integridade e disponibilidade.

Mesmo que você não tome outras medidas, essas duas são as mais importantes, tornando seu ambiente muito mais difícil para um adversário invadir e facilitando a detecção de atividades inesperadas:

• Aplique o acesso de privilégio mínimo para limitar a capacidade dos adversários de explorar sua posição.
• Exija autenticação multifator para qualquer acesso a ativos de alto valor.

Como a Zscaler pode ajudar?

Os ataques à cadeia de suprimentos estão entre as ameaças cibernéticas modernas mais sofisticadas e difíceis de detectar. Para se defender com confiança, você precisa ter visibilidade de todo o tráfego no seu ambiente, várias camadas de segurança e uma compreensão clara da postura de segurança de todas as suas organizações parceiras.

A Zscaler Zero Trust Exchange™ protege sua organização contra ataques avançados à cadeia de suprimentos com serviços integrados nativamente e recursos avançados líderes do setor que permitem:

• Identificar e interromper atividades maliciosas de servidores comprometidos, roteando todo o tráfego do servidor por meio do Zscaler Internet Access™
• Restringir o tráfego da infraestrutura crítica para uma lista de permissões de destinos válidos
• Inspecionar todo o tráfego de TLS/SSL em escala ilimitada, mesmo quando vem de fontes confiáveis
• Bloquear todos os domínios de comando e controle (C2) conhecidos com a proteção avançada contra ameaças
• Estender a proteção de C2 para todas as portas e protocolos com o Advanced Cloud Firewall (módulo Cloud IPS), incluindo destinos de C2 emergentes
• Evitar a entrega de malware desconhecido como parte de uma carga útil de segundo estágio com a Advanced Cloud Sandbox
• Limitar o impacto de um possível comprometimento, restringindo a movimentação lateral com a microssegmentação baseada na identidade por meio de uma arquitetura zero trust e da Zscaler Workload Segmentation
• Proteger os aplicativos mais importantes limitando a movimentação lateral com o Zscaler Private Access