Visite nosso centro de respostas à SolarWinds para saber mais.
Você também pode explorar os recursos da abrangente plataforma Zero Trust Exchange.
O ataque cibernético SolarWinds foi um ataque à cadeia de suprimentos de software que envolveu a plataforma SolarWinds Orion em que um adversário de um estado-nação russo obteve acesso aos sistemas da SolarWinds e implantou atualizações infectadas por trojan no software Orion. Por sua vez, isso permitiu aos criminosos instalar malware furtivo nas redes dos clientes da SolarWinds. O ataque à SolarWinds foi divulgado por várias empresas de segurança cibernética, em conjunto com a Agência de Segurança Cibernética e Infraestrutura (CISA) dos EUA, em dezembro de 2020.
A SolarWinds é uma empresa com sede no Texas que fornece soluções de software para gerenciamento da infraestrutura de tecnologia da informação (TI), permitindo que as organizações monitorem e gerenciem o desempenho dos seus ambientes de TI.
A SolarWinds Orion, uma plataforma de monitoramento e gerenciamento de infraestrutura de rede amplamente utilizada, foi projetada para oferecer aos clientes visibilidade das redes de vários fornecedores para que possam identificar e solucionar problemas. A Orion tem mais de 33 mil clientes, incluindo grandes empresas do setor privado e agências governamentais. Acredita-se que o ataque em questão tenha afetado aproximadamente 18 mil desses clientes — bem mais da metade.
No dia seguinte à divulgação da violação da SolarWinds, a Forbes informou que os ataques poderiam atingir o cerne do aparato de segurança dos Estados Unidos: “De acordo com uma análise de registros públicos, a gama de clientes do governo dos EUA que já compraram o SolarWinds Orion é vasta. O Pentágono é seu maior cliente, sendo o Exército e a Marinha grandes usuários. O Departamento de Assuntos de Veteranos... os Institutos Nacionais de Saúde, o Departamento de Energia, o DHS e o FBI também estão entre os muitos órgãos do governo dos EUA que já compraram a ferramenta.”
Steven J. Vaughan-Nichols, ZD-Net, 4 de janeiro de 2021
O ataque, que ficou conhecido como SUNBURST nas comunicações da SolarWinds, afetou as versões 2019.4 a 2020.2.1 do Orion, lançadas entre março e junho de 2020.
Para realizar o ataque, os hackers modificaram um plug-in da plataforma Orion distribuído como parte de suas atualizações. Assinado digitalmente pela SolarWinds, ele contém uma backdoor que se comunica com servidores de terceiros sob controle dos criminosos. Depois de estabelecer uma base nas organizações afetadas, os criminosos podiam roubar dados, implantar códigos maliciosos ou interromper os negócios.
O ataque foi obra de um adversário sofisticado com profundo conhecimento sobre segurança operacional. Com base em dados publicamente disponíveis, esse adversário demonstrou um esforço significativo para evitar sua detecção, incluindo ofuscação de código e técnicas de limpeza, como esteganografia, técnicas de impressão digital para identificar sistemas visados e sistemas de análise, infraestrutura rotativa com foco na proximidade geográfica e execução de código em memória tanto quanto possível.
Essas técnicas, em conjunto com o uso de um componente assinado digitalmente de uma plataforma de software confiável como vetor de infecção inicial, indicam se tratar de um adversário altamente qualificado e disfarçado, disposto a gastar recursos para garantir o sucesso de sua operação.
O ataque afetou várias agências de alto nível do governo federal dos EUA, incluindo o Departamento de Justiça (DOJ), o Departamento de Segurança Interna (DHS) e o Departamento do Tesouro, entre outros. Ele expôs os ambientes de e-mail do Microsoft 365 de várias agências federais, constituindo um “grande incidente” que justificou uma resposta defensiva.
Uma declaração da Casa Branca em abril de 2021 afirmou que o governo Biden “imporia custos à Rússia por ações de seu governo e serviços de inteligência contra a soberania e os interesses dos EUA”. Essas ações visaram órgãos do governo, comércio e inteligência russos, incluindo a expulsão de representantes diplomáticos dos serviços de inteligência russos nos EUA.
A mesma declaração nomeou formalmente o Serviço de Inteligência Estrangeira da Rússia (SVR) como autor do ataque. A CISA, o Departamento Federal de Investigação (FBI) e a Agência Nacional de Segurança (NSA) dos EUA divulgaram um comunicado de segurança conjunto que continha mais detalhes.
Lucian Constantin, CSO Online, 15 de dezembro de 2020
Para evitar ser detectado, o adversário aparentemente usou a backdoor da SolarWinds Orion apenas quando o ambiente de destino era de interesse específico. Dessa forma, analisar sua atividade de rede é a única maneira de saber se um agressor tentou obter ou obteve acesso.
Suspeita-se que a campanha tenha começado durante ou antes de março de 2020 (com possíveis testes já em outubro de 2019) e não envolveu nenhum indicador de comprometimento conhecido. Devido ao volume de dados envolvidos, muitas organizações não mantêm registros de acesso por tempo suficiente para determinar se um comprometimento ocorreu ou não.
Se um invasor implantar malware no seu ambiente por meio de um sistema Orion comprometido, ele provavelmente usará o escalonamento de privilégios para começar a explorar as ações que pode realizar. Fique de olho no sistema Orion afetado, ou outros sistemas que se comunicaram com ele, em busca de comportamentos como:
A maneira mais fácil de saber se você foi atacado é determinar se você está usando um produto Orion comprometido no seu ambiente. As versões afetadas da plataforma Orion incluem:
Se você estiver usando uma versão comprometida da plataforma Orion:
Lucian Constantin, CSO Online, 15 de dezembro de 2020
Os ataques à cadeia de suprimentos ainda estão em evolução, e não há dúvida de que os adversários encontrarão novas maneiras de comprometer as operações e os dados sigilosos de órgãos públicos e empresas privadas. Para reduzir os riscos tanto quanto possível, a Zscaler recomenda seguir estas etapas:
Mesmo que você não tome outras medidas, essas duas são as mais importantes, tornando seu ambiente muito mais difícil para um adversário invadir e facilitando a detecção de atividades inesperadas:
Os ataques à cadeia de suprimentos estão entre as ameaças cibernéticas modernas mais sofisticadas e difíceis de detectar. Para se defender com confiança, você precisa ter visibilidade de todo o tráfego no seu ambiente, várias camadas de segurança e uma compreensão clara da postura de segurança de todas as suas organizações parceiras.
A Zscaler Zero Trust Exchange™ protege sua organização contra ataques avançados à cadeia de suprimentos com serviços integrados nativamente e recursos avançados líderes do setor que permitem:
Visite nosso centro de respostas à SolarWinds para saber mais.
Você também pode explorar os recursos da abrangente plataforma Zero Trust Exchange.
Zscaler ThreatLabz: centro de resposta à SolarWinds
Encontrar recursosAtaques à cadeia de suprimentos: o que são, como funcionam e como proteger sua empresa
Leia o blogO guia do mochileiro para responder ao incidente da SolarWinds
Leia o blogCobertura da Zscaler aos ataques cibernéticos da SolarWinds e ao roubo de ferramentas da Red Team da FireEye
Leia o blogVocê está preparado para os ataques russos de guerra cibernética?
Leia o blog