Invasores plantaram código de controle remoto em software oficial da SolarWinds distribuído em atualizações entre março e junho. A SolarWinds, uma empresa de tecnologia norte-americana que desenvolve soluções para gerenciamento de redes de computadores, admitiu que seus sistemas foram comprometidos e que uma atualização do seu software Orion foi adulterada para incluir um programa de acesso remoto aos sistemas dos clientes. O caso veio a público neste domingo (13), quando a consultoria de segurança digital FireEye revelou mais detalhes sobre o ataque cibernético que roubou suas ferramentas de simulação de ataques. Em seu relatório, a FireEye revelou que uma atualização de um componente do software Orion, da SolarWinds, foi sabotada para incluir um código capaz de permitir a entrada de hackers. A atualização foi distribuída entre março e junho. O arquivo adulterado tinha uma assinatura digital válida da SolarWinds e estava armazenado em pacotes oficiais de atualização, indicando que os hackers haviam conseguido acessar os sistemas da empresa para distribuir esse arquivo. FireEye divulgou primeiros detalhes do ataque hacker contra sua rede, revelando que invasores sabotaram um software oficial da SolarWinds. Beck Diefenbach/Reuters Governo dos EUA recomenda desligamento de sistemas A descoberta da FireEye soou o alarme para os clientes da SolarWinds – inclusive o governo dos Estados Unidos. O Departamento de Segurança Nacional emitiu uma diretiva orientando todas as agências do governo a desligar ou desconectar qualquer máquina na qual o software da SolarWinds esteja instalado. O governo norte-americano também reconheceu que hackers acessaram diversos sistemas – embora não tenha mencionado especificamente o software da SolarWinds como responsável pelas invasões. De acordo com a agência Reuters, o próprio Departamento de Segurança Nacional teve sua rede comprometida pelos invasores. A SolarWinds também atende milhares de clientes no setor privado, entre os quais estariam mais de 400 corporações da lista Fortune 500 (as 500 empresas com maior faturamento dos Estados Unidos) e as maiores operadoras de serviços de telecomunicação do país. A FireEye informou que já conseguiu identificar ações dos hackers em redes na América do Norte, na Europa, na Ásia e no Oriente Médio. A companhia disse que entrou em contato com todos os alvos identificados, mas não descartou a possibilidade de que outras instituições também estejam na mira dos invasores. Governo dos Estados Unidos é um dos clientes da SolarWinds. Diretiva de segurança orientou desligamento de sistemas. Pexels/Creative Commons Rússia nega envolvimento A SolarWinds e a FireEye informaram que os ataques cibernéticos contra suas redes foram coordenados por hackers habilidosos. As empresas alegaram que a sofisticação das técnicas usadas indica que os atacantes seriam organizados e patrocinados por um governo, mas não mencionaram o nome do país que estaria por trás da ação. Ambas as empresas disseram estar trabalhando com o FBI, o órgão de investigação federal americano. Fontes anônimas citadas pela imprensa norte-americana, em jornais como "New York Times" e "Washington Post", afirmaram que os investigadores trabalham com a hipótese de envolvimento russo. O grupo responsável pela ação seria o "Cozy Bear", também chamado de "APT29" – um time de ciberespiões que já foi responsabilizado por diversas ações no passado. A Rússia negou qualquer envolvimento e disse que as acusações não têm fundamento. Dmitry Peskov, um porta-voz do Kremlin, afirmou à imprensa norte-americana que os russos não deveriam ser culpados pelas invasões só porque os americanos não conseguiram fazer nada "por meses" em relação ao ataque. Em outubro, o Departamento de Justiça dos Estados Unidos indiciou seis russos por ataques cibernéticos contra a Ucrânia e os Jogos Olímpicos, incluindo um ataque contra Agência Mundial Antidoping (Wada). Software espião aposta em ações discretas De acordo com a FireEye, a modificação no Orion da SolarWinds deixou uma "porta dos fundos" no programa. Após duas semanas de inatividade – possivelmente para despistar equipes de segurança que verificam mudanças na rede logo após aplicar uma atualização –, o código começa a se comunicar com um servidor de controle para receber comandos. O software é capaz de ler e escrever dados no computador em que o Orion foi instalado. Esse acesso é utilizado pelos invasores para instalar um programa espião e roubar credenciais de acesso (usuário e senha) da rede. O programa pode ser instalado na memória, sem deixar vestígios no armazenamento do sistema. Depois que os invasores obtêm essas credenciais, eles usam servidores locais, no mesmo país em que a rede da empresa está situada, para iniciar o acesso remoto – burlando sistemas que bloqueiam acessos estrangeiros. Em seguida, são utilizadas técnicas para aprofundar o acesso na rede, e outras credenciais são obtidas e usadas para mascarar a atividade e compartimentá-la em diferentes usuários. Os hackers também adulteram programas legítimos para executar suas atividades. Eles então revertem a mudança, colocando o arquivo original de volta em seu lugar. Essa tática também visa despistar investigadores: mesmo que a atividade maliciosa gere alertas, o arquivo parecerá inofensivo quando for analisado pelos especialistas. Ataque a fornecedores Ataques que comprometem desenvolvedores ou fornecedores de produtos para alcançar a rede de seus clientes são chamados como "supply chain attacks" (ataque em cadeia de abastecimento). Dois ataques relevantes dessa categoria aconteceram em 2017: um deles comprometeu o software CCleaner para chegar a alguns poucos alvos nas redes de grandes empresas, e o outro adulterou uma atualização do software de contabilidade MeDoc para distribuir o vírus NotPetya, que destruiu sistemas na Ucrânia. Em 2019, hackers conseguiram adulterar um software da fabricante de produtos de tecnologia Asus. Embora mais de 500 mil computadores tenham baixado o programa adulterado, apenas 600 receberam o "segundo estágio" do código malicioso. Os alvos e o objetivo dessa invasão nunca foram descobertos – ou, ao menos, nunca foram revelados publicamente. Esse tipo de ataque raramente é identificado por programas antivírus. As mudanças realizadas pelos sabotadores tendem ser sutis e, com a inclusão de uma assinatura digital válida – normalmente um bom indicativo da procedência do arquivo – não há motivo para levantar suspeitas. Contudo, a documentação técnica da própria SolarWinds orienta clientes a desativar o antivírus nos arquivos de seus produtos. A prática pode contribuir para que o ataque não seja identificado, mesmo agora que o arquivo malicioso é amplamente conhecido pela comunidade de especialistas em segurança digital. Dúvidas sobre segurança, hackers e vírus? Envie para g1seguranca@globomail.com Veja 5 dicas se segurança para a sua vida digital: 5 dicas de segurança para sua vida digital Veja mais vídeos com dicas de segurança digital