Um grupo de cibercriminosos obteve acesso ao ambiente do governo e a outros sistemas por meio de uma atualização comprometida do software Orion da SolarWinds.
A maioria das organizações não está preparada para esse tipo de ataque à cadeia de suprimentos de software.
[sc name="leia_tambem_hard_news"]
Recentemente, um grupo de hackers, possivelmente filiado ao governo russo, teve acesso aos sistemas operacionais de vários departamentos do governo dos EUA, incluindo o Tesouro e o Comércio dos EUA, em uma longa campanha que parece ter começado em março.
A notícia desencadeou uma reunião de emergência do Conselho de Segurança Nacional dos EUA no sábado (19) e foi o início de uma série de ataques cada vez mais graves, que ficaram conhecidos como “ataques SolarWinds”.
Isso porque o ataque envolveu o comprometimento da infraestrutura da SolarWinds, empresa que produz uma plataforma de monitoramento de rede e aplicativos chamada Orion.
Nesta notícia você vai ler sobre:
As atualizações maliciosas do Orion
E você também pode entrar em contato com nossos consultores para saber como proteger a sua empresa. Pronto para continuar?
Após a invasão, o hacker usou esse acesso para produzir e distribuir atualizações carregadas de trojan aos usuários do software, espalhando-se por redes altamente estratégicas, como a do governo americano.
Em uma página de seu site, que foi retirada do ar após o surgimento de notícias relacionadas ao ataque, a SolarWinds afirmou que seus clientes incluíam 425 empresas da Fortune 500 dos EUA, as dez maiores empresas de telecomunicações dos EUA, as cinco principais empresas de contabilidade dos EUA, todas as filiais do Exército dos EUA, o Pentágono, o Departamento de Estado, bem como centenas de universidades e faculdades em todo o mundo.
O ataque à cadeia de suprimentos de software da SolarWinds também permitiu que hackers acessassem a rede da empresa de segurança cibernética FireEye dos Estados Unidos, uma violação que foi anunciada na semana passada (20).
Embora a FireEye não tenha mencionado o grupo de cibercriminosos responsáveis, o Washington Post relata que é a APT29, ou Cozy Bear, o braço de hackers do serviço de inteligência estrangeira da Rússia, o responsável pelos ataques.
[sc name="newsletter_hardnews"]
As atualizações maliciosas do Orion
As compilações de software para as versões do Orion 2019.4 HF 5 a 2020.2.1, lançadas entre março de 2020 e junho de 2020, podem conter um componente carregado de trojan.
No entanto, em uma análise oficial, a FireEye observou que cada um dos ataques realizados (supostamente) pelo grupo exigia um planejamento meticuloso e interação manual por parte dos invasores.
Eles conseguiram modificar um plugin da plataforma Orion denominado SolarWinds.Orion.Core.BusinessLayer.dll – distribuído como parte das atualizações da plataforma Orion.
O componente infectado é assinado digitalmente e contém um backdoor que se comunica com servidores de terceiros, controlados pelos atacantes.
A FireEye rastreia esse componente como SUNBURST e lançou regras de detecção de código aberto para ele no GitHub.
“Após um período inativo inicial de até duas semanas, ele recupera e executa comandos, chamados de 'Trabalhos', que incluem a capacidade de transferir arquivos, executar arquivos, criar perfil do sistema, reiniciar a máquina e desativar serviços do sistema”, dizem os analistas da FireEye.
"O malware mascara seu tráfego de rede com o protocolo Orion Improvement Program (OIP) e armazena resultados de reconhecimento em arquivos de configuração de plugin legítimos, permitindo que ele se misture à atividade legítima do SolarWinds.”
Além disso, os invasores escolheram manter rastros de malware muito sutis, preferindo roubar e usar credenciais para realizar movimento lateral pela rede e estabelecer acesso remoto legítimo.
O backdoor foi usado para fornecer um dropper de malware leve, nunca antes visto, que a FireEye apelidou de TEARDROP. Este dropper carrega diretamente na memória e não deixa rastros no disco.
Para evitar a detecção, os invasores ainda usaram técnicas de substituição de arquivo temporário para executar remotamente suas ferramentas. Isso significa que eles modificaram um utilitário legítimo no sistema visado pelo sistema malicioso, executaram-no e substituíram-no de volta pelo legítimo.
Uma técnica semelhante envolveu a modificação temporária de tarefas agendadas do sistema, atualizando uma tarefa legítima para executar uma maliciosa e, em seguida, revertendo a tarefa de volta à sua configuração original.
Essa é uma das melhores opções de segurança operacional exibida por um cibercriminoso que a FireEye já observou, de acordo com os pesquisadores; no entanto, os pesquisadores da empresa acreditam que esses ataques podem ser detectados por meio de defesa persistente e descreveram várias técnicas de detecção em sua análise.
Já a SolarWinds aconselhou os clientes a atualizarem para a versão 2020.2.1 HF 1 da plataforma Orion o mais rápido possível, a fim de garantir que estejam executando uma versão limpa do produto.
A empresa também lançou um novo hotfix 2020.2.1 HF 2 que substituirá o componente comprometido e fará melhorias adicionais de segurança.
Por fim, o Departamento de Segurança Interna dos Estados Unidos também emitiu uma diretiva de emergência para que organizações governamentais verifiquem em suas redes a presença do componente infectado e reportem às autoridades.
[sc name="ads_hard_news"]
Não existe solução fácil
Ataques à cadeia de suprimentos de software não são novidade e especialistas em segurança vêm alertando há muitos anos que eles são uma das ameaças mais difíceis de prevenir, porque se aproveitam das relações de confiança entre fornecedores e clientes e de canais de comunicação máquina a máquina, como mecanismos de atualização de software nos quais os usuários confiam.
“Não conheço nenhuma organização que incorpore a aparência de um ataque à cadeia de suprimentos em seu ambiente de uma perspectiva de modelagem de ameaças”, disse David Kennedy, ex-hacker da NSA e fundador da consultoria de segurança TrustedSec, à imprensa.
"Quando você vê o que aconteceu com a SolarWinds, é um excelente exemplo de como um invasor pode selecionar literalmente qualquer alvo que tenha seu produto implantado, afetando um grande número de empresas ao redor do mundo, e a maioria das organizações não teria capacidade de incorporar isso em suas estratégias de detecção e prevenção. Esta não é uma discussão de hoje. "
Embora o software que é implantado em organizações possa passar por análises de segurança para entender se seus desenvolvedores seguem boas práticas de segurança – no sentido de corrigir vulnerabilidades de produtos que podem ser exploradas -, as organizações não pensam em como esse software pode impactar sua infraestrutura se seu mecanismo de atualização for comprometido, Kennedy diz.
“É algo em que ainda somos muito imaturos e não há solução fácil para isso, porque as empresas precisam de software para administrar suas organizações, precisam de tecnologia para expandir sua presença e se manterem competitivas, e as organizações que fornecem esse software não pensam nisso como um modelo de ameaça."
É provável que o número de ataques à cadeia de suprimentos de software aumente no futuro, especialmente à medida que outros invasores forem percebendo quão bem-sucedidos e abrangentes eles podem ser.
O número de ataques de ransomware contra organizações explodiu após os ataques WannaCry e NotPetya de 2017, porque eles mostraram aos invasores que as redes corporativas não são tão resistentes quanto pensavam.
Gangues de ransomware também entenderam o valor de explorar a cadeia de suprimentos e começaram a invadir provedores de serviços gerenciados para explorar o acesso às redes de seus clientes.
O próprio NotPetya tinha um componente de cadeia de suprimentos porque o worm do ransomware foi inicialmente lançado por meio de servidores de atualização de software backdoor de um software de contabilidade chamado M.E.Doc, popular na Europa Oriental.
“Tanto o crime organizado quanto outros grupos de estado-nação estão olhando para este ataque agora e pensando ‘uau, esta é uma campanha muito bem-sucedida’”, disse Kennedy.
Do ponto de vista do ransomware, se eles atingissem simultaneamente todas as organizações que tinham SolarWinds Orion instalado, eles poderiam ter criptografado uma grande porcentagem da infraestrutura mundial e saído da operação com dinheiro suficiente para nunca ter que trabalhar novamente.
De certa forma, as organizações afetadas deram sorte. Mas por quanto tempo?
Mantenha sua empresa protegida. Consulte a assessoria de especialistas da Compugraf e saiba como podemos te ajudar!
