O sucesso do ataque massivo à cadeia de suprimentos da SolarWinds apresenta um novo desafio urgente de segurança cibernética para todas as empresas.
A violação da SolarWinds relatada pela primeira vez pelo fornecedor de segurança cibernética FireEye no início de dezembro de 2020 surgiu como um dos ataques cibernéticos mais sofisticados e bem-sucedidos contra instituições e empresas governamentais ocidentais, com sua extensão e gravidade se tornando mais claras e alarmantes a cada dia.
Um grupo de hackers supostamente afiliado ao Serviço de Inteligência Estrangeiro da Rússia penetrou com sucesso em milhares de grandes empresas globais e várias agências do governo federal dos EUA, incluindo os Departamentos de Segurança, Estado, Tesouro e Comércio.
Embora se acredite que 80% das vítimas residam nos Estados Unidos, o ataque também comprometeu alvos no Canadá, México, Reino Unido, Espanha, Bélgica, Israel e Emirados Árabes Unidos.
Preparamos uma análise detalhada desse ataque para garantir que nossos parceiros e clientes sejam informados e tomem as medidas necessárias para aprimorar sua segurança.
Violação histórica à cadeia de suprimentos da SolarWinds
A violação da SolarWinds é o maior exemplo existente de um chamado ataque à cadeia de suprimentos, no qual um adversário compromete uma fonte confiável de software, firmware ou hardware, incorporando ferramentas de vigilância e outros códigos maliciosos.
O destino inicial pode ser o repositório privado ou app store de um fornecedor ou um repositório público de compartilhamento de código como o GitHub. Uma violação potencial é ativada sempre que um usuário instala a atualização de software comprometida, atualização de firmware ou hardware.
No caso da violação do SolarWinds, os invasores conseguiram penetrar no repositório privado do fornecedor de tecnologia para o Orion, um de seus serviços populares para monitorar e gerenciar infraestrutura de tecnologia e serviços em nuvem.
Essas ferramentas de suporte técnico são um alvo popular para invasores porque, por sua natureza, podem facilmente fornecer acesso a todo o negócio, bem como a seus clientes, parceiros e até mesmo aos clientes de seus parceiros.
O ataque, que se acredita ter uma duração de anos desde o seu início até a sua detecção recente, é também um exemplo incisivo de um ataque de ameaça persistente avançada (APT).
Os APTs são, por natureza, projetados para evitar a detecção a longo prazo, portanto, são difíceis de se defender e erradicar completamente depois de descobertos.
Dada a relativa sofisticação da cibersegurança e os grandes orçamentos de tecnologia de muitas das vítimas, o ataque global levanta sérias questões para os parceiros e clientes da Acronis: como exatamente funcionou o ataque à cadeia de suprimentos da SolarWinds e como a Acronis ajuda a protegê-lo contra ele e ameaças semelhantes ?
Como o ataque à cadeia de suprimentos SolarWinds Orion funcionou
O ataque seguiu as táticas clássicas de vários estágios dos APTs: comprometimento inicial, comunicação com um comando externo e servidor de controle para baixar malware adicional, vigilância do ambiente de tecnologia para identificar vulnerabilidades, escalonamento de privilégios, movimento lateral dentro e fora da rede para se infiltrar outros alvos acessíveis e, em seguida, a execução do ataque final – neste caso, o roubo de dados valiosos.
Especificamente, os hackers primeiro comprometeram o repositório privado de software SolarWinds, incorporando código malicioso em uma atualização de seu produto de monitoramento e gerenciamento de serviços de TI Orion amplamente adotado.
Dezenas de milhares de clientes instalaram rotineiramente a atualização conforme ela era enviada a eles (o que normalmente é uma prática recomendada, já que essas atualizações incluem patches para fechar vulnerabilidades de segurança conhecidas e habilitar novos recursos). As atualizações subsequentes também incluíram o código malicioso.
Com essa cabeça de ponte estabelecida nas redes privadas dos alvos, os invasores foram capazes de baixar ferramentas maliciosas para milhares de empresas alvo e instituições governamentais, em seguida, começaram a vigiar e mapear cada ambiente de tecnologia.
Com conhecimento das vulnerabilidades disponíveis e do comprometimento dos sistemas internos de autenticação e autorização, ele passou a acessar e-mails e outros dados confidenciais.
Os invasores efetivamente usaram muitas técnicas sofisticadas para evitar a detecção, incluindo o foco de suas invasões na infraestrutura de tecnologia baseada nos EUA e o uso de nomes de recursos consistentes com as convenções de nomenclatura dos alvos. O código malicioso consistia em algumas dezenas de linhas enterradas em um produto com mais de 50.000 linhas de código. Os invasores assumiram domínios locais da Internet para lançar seus ataques.
O código shell inovador e malicioso foi capaz de agir como uma API da web legítima incorporada ao produto Orion, em que o usuário típico é um funcionário de TI com altos privilégios e visibilidade da rede de destino.
Este shell foi compilado na memória em tempo real (um exemplo de malware “vivo da terra”), nunca ficando no armazenamento como um arquivo que poderia ser verificado, evitando assim muitas técnicas de detecção de segurança cibernética legadas.
Dessa vantagem, os invasores podem implantar subaplicativos maliciosos, mas aparentemente legítimos, para reconhecimento, movimento lateral dentro da rede e para redes externas gerenciadas pelo produto e exfiltração de e-mails e outros dados confidenciais.
As evidências atuais sugerem que o roubo de dados confidenciais de negócios e governamentais, incluindo o conhecimento da infraestrutura e operações de TI, foi o principal objetivo do ataque, com táticas escolhidas para obter furtividade, estabelecer persistência e conduzir o roubo de dados por um longo período.
Embora o sucesso dessa operação seja um grande golpe para as empresas e agências governamentais afetadas, seus efeitos poderiam ter sido muito piores.
Um dos ataques de malware mais comuns atualmente combina o roubo de dados com um ataque de ransomware que criptografa os dados do alvo. Se os invasores tivessem escolhido essa tática adicional, muitas vítimas desse APT poderiam agora estar lutando para recuperar dados agora inacessíveis e retomar as operações normais, além de se preocupar com o roubo de dados.
O fato é que, apesar de instalar uma nova atualização segura do SolarWinds, muitas vítimas enfrentarão um longo desafio antes de determinar que nenhum malware restante foi deixado para trás, aguardando outros novos comandos de ativação para receber novo malware, espalhá-lo pela rede interna e para clientes e retomar o roubo e / ou destruição de dados.
Pensamentos finais
A questão dos ataques à cadeia de abastecimento não é nova: a Acronis passou anos desenvolvendo processos de desenvolvimento de código seguro interno, melhorando a segurança de nossa tecnologia interna e infraestrutura física, bem como nossa rede global de centros de dados e treinando nossos funcionários, parceiros e clientes sobre procedimentos para minimizar o risco de tais ataques.
Mas a violação da SolarWinds fornece um lembrete útil de que os adversários, incluindo criminosos cibernéticos e atores estatais hostis, continuam a inovar e evoluir em sofisticação, astúcia e persistência.
Sabemos que eles estão usando as mesmas ferramentas avançadas no desenvolvimento de seus ataques que fornecedores de tecnologia e provedores de serviços legítimos usam para defender a nós mesmos e aos nossos clientes.
É uma batalha na qual os invasores geralmente têm a vantagem de serem os primeiros: é mais fácil atacar do que detectar, conter, encerrar e se recuperar de um ataque.