Foto de fundo: cables of a web server, por HenryNewman12 | Wikimedia | Attribution-ShareAlike 4.0 International (CC BY-SA 4.0)
Um grupo de hackers executou um complexo ataque utilizando atualizações da plataforma Orion, da empresa estadunidense SolarWinds, comprometendo seriamente milhares de sistemas nos setores público e privado. A backdoor Sunburst – como está sendo chamado pela empresa de segurança cibernética FireEye – fica inativa por até duas semanas após infectar uma rede e, depois, comandos dos atacantes são executados, incluindo “transferência e execução de arquivos, análise do sistema, reinicialização da máquina e desabilitação de serviços do sistema“. Os primeiros relatórios públicos sobre o ataque foram divulgados ontem, 13/12, e ele estaria em acontecendo desde ao menos março de 2020.
Embora não exista ainda um levantamento completo de quantos ou quais sistemas foram comprometidos, a lista de clientes da SolarWinds dá uma ideia da possível dimensão do ataque: 300 mil clientes. Entre eles, “todos os 5 braços das Forças Armadas dos EUA”1, o Pentágono, o Departamento de Estado, a NSA, a NASA, o Departamento de Justiça, o Serviço Secreto, o Gabinete Presidencial dos EUA, 425 das 500 maiores empresas estadunidenses (segundo a lista da Forbes), “centenas” de universidades e o Centros de Controle e Prevenção de Doenças (CDC) dos EUA. Esta listagem é da própria SolarWinds, embora tenha sido retirada de seu site hoje. Nem todos os clientes da SolarWinds utilizam a plataforma Orion, usada para gerenciar sistemas e redes. Ao menos os departamentos de Comércio e Tesouro dos EUA já confirmaram que seus sistemas foram comprometidos.
Os atingidos podem também estar além dos usuários da plataforma Orion: o código malicioso pode ter sido enviado para outras redes e sistemas depois de atingir os primeiros alvos.
Ataque de “alta complexidade“
A operação é de “alta complexidade“, partindo de um “atacante altamente evasivo” segundo a FireEye. Ela própria foi vítima de um ataque, segundo anunciou no último dia 8, por atores de “máxima capacidade”, com “técnicas nunca antes vistas“. Os adversários buscaram ferramentas para Red Team – utilizadas para pentesting, avaliação de segurança para encontrar vulnerabilidades em sistemas.
No caso divulgado neste domingo, ocorreu um ataque de cadeia de suprimentos (supply chain attack), comprometendo códigos da SolarWinds não para atingir a empresa diretamente, mas sim tendo como alvo seus clientes. Código malicioso foi mascarado e enviado no meio de atualizações legítimas – mais especificamente das versões 2019.4 até 2020.2.1 da plataforma Orion, segundo o suporte da SolarWinds. Assim, infectaram os sistemas de clientes e executaram ataques disfarçando suas operações como operações normais da SolarWinds.
Responsáveis e acusações
Embora não exista nenhuma confirmação, diversos relatórios apontam para um Estado como responsável, como os da Microsoft, da própria SolarWinds e a FireEye, que chamou o grupo que realizou o ataque de UNC2452 (“não categorizado 2452”). Nenhum dos três documentos aponta um país específico. Sem apresentar provas, o jornal The Washington Post acusou o governo russo de estar por trás de tudo, através do grupo Cozy Bear, também conhecido como APT29 (“Urso Acolhedor” e “Ameaça Persistente Avançada 29”, na sigla em inglês). O grupo estaria supostamente ligado ao Serviço de Inteligência Estrangeiro (SVR, na sigla transliterada do russo). A embaixada russa nos EUA negou veementemente as acusações, chamando-as de “infundadas” e afirmando que “atividades maliciosas na esfera cibernética contradizem os princípios da política externa russa, os interesses nacionais e nosso entendimento das relações entre Estados. A Rússia não realiza operações ofensivas no domínio cibernético.”
Mitigações, respostas e reações
Em medidas de mitigação e resposta, a Microsoft elaborou um guia para os clientes e atualizou as definições do Microsoft Defender (antigo Windows Defender) para detectar os códigos maliciosos já conhecidos. Já a SolarWinds disponibilizou uma atualização para, supostamente, todas as plataformas afetadas. No entanto, a Agência de Segurança de Cibernética e Infraestrutura (CISA, na sigla em inglês), órgão federal do Departamento de Segurança Interna dos Estados Unidos, elaborou uma Diretriz de Emergência. No documento, a agência exige que todas as redes do governo dos EUA sejam desconectadas das plataformas afetadas. Além disso, afirma que todos os sistemas em que o SolarWinds Orion foi instalado em algum momento devem ser considerados como comprometidos por atores externos – mesmo as versões em que não há confirmação de que código malicioso tenha sido inserido.
Proteção para usuários comuns
Para o público em geral, as medidas de proteção ainda são incertas: é preciso primeiro contabilizar melhor quais sistemas, empresas e dados foram afetados. Alguns cuidados básicos devem ser reforçados como manter atualizados os sistemas, redes e programas e utilizar senhas fortes. Também é importante trocar senhas que possam ter sido comprometidas. É prudente que quem utiliza sistemas da SolarWinds considere sua rede como afetada, buscando desconectar produtos da empresa, isolando possíveis ameaças e mapeando todo o sistema.
1 – São, hoje, 6: Exército, Marinha, Força Aérea, Fuzileiros Navais, Guarda Costeira e Força Espacial. É provável que a Força Espacial não tenha sido contabilizada pela SolarWinds.
