Ataque envolvendo a SolarWinds tem muito a ensinar

Um ataque cibernético que alguns especialistas descreveram como um dos mais complexos e de mais longa duração foi destaque nos últimos dias de 2020. O alvo inicial foi a plataforma Orion, da empresa SolarWinds.

Em atividade desde, no mínimo, março de 2020, o primeiro relato púbico da invasão, do tipo supply chain attack, foi feito apenas em dezembro pela FireEye, que identificou um malware na SolarWinds Orion. A própria empresa de cibersegurança foi vítima do ataque. A partir de então, veio uma enxurrada de casos de sistemas comprometidos em empresas do setor privado, inclusive de setor de tecnologia, mas principalmente importantes agências do governo dos Estados Unidos. Era a ponta do iceberg do que seria o pior ciberataque da história à esfera federal dos Estados Unidos até então.

“O ataque foi muito bem orquestrado técnica e estrategicamente e teve como principal alvo o governo norte-americano”, comenta Thiago Bordini, diretor de inteligência cibernética do Grupo New Space, homologado pelo Ministério da Defesa do Brasil para prestar serviços para garantir a soberania nacional brasileira em termos de prevenção de fraudes e análise de riscos cibernéticos.

Segundo Bordini, os invasores conseguiram se infiltrar no processo de compilação das atualizações da Orion, sem deixar rastros. É uma procedimento técnico altamente sofisticado. CrowdStrike e KPMG têm apoiado a SolarWinds na investigação e na análise da causa-raiz dos eventos que levaram à inclusão do código mal-intencionado no ciclo de desenvolvimento da empresa. Do ponto de vista estratégico, fizeram isso usando a plataforma Orion, que faz monitoramento, análise e gestão de toda a pilha de TI a partir de um único ponto e, para realizar suas tarefas, precisa de acesso privilegiado, Além disso, é amplamente utilizada pelas agências governamentais dos Estados Unidos.

Não foi à toa que a deputada Yvette Clarke, nova presidente do painel cibernético do Comitê de Segurança Interna da Câmara dos Estados Unidos, empossada no início de 2021, declarou em uma de suas primeiras entrevistas que pretende enfrentar vários desafios de segurança cibernética, mas um dois primeiros será dar respostas eficazes ao ciberataque relacionado à SolarWinds Orion (o outro será a segurança eleitoral).

Enquanto muitas invasões já documentadas busquem dados de clientes e cidadãos, como números de cartão de crédito e de CPF, esta parece ter espionagem como principal objetivo. Segredos de estado podem estar na mira dos invasores. Por outro lado, nenhuma empresa admitiu ter sido seriamente afetada, ainda. Para citar um exemplo no universo da tecnologia, a Microsoft admitiu no final de 2020 que invasores tiveram acesso a parte de seu repositório de códigos-fonte, mas alegou que não fizeram nenhuma alteração.

Há uma grande suspeita entre especialistas do setor privado e do governo norte-americano que o ataque tenha sido conduzido por um estado-nação externo contra a infraestrutura cibernética dos Estados Unidos. A desconfiança principal está em torno da Rússia. Um mapa que produzido pela própria Microsoft destaca abrangência quase global dos alvos vulneráveis do ataque, atingindo muitas das principais capitais nacionais fora da Rússia, e a alta incidência nos Estados Unidos.

Segundo a agência Reuters noticiou em fevereiro de 2021, hackers chineses também invadiram computadores do governo dos Estados Unidos em 2020. A brecha de segurança explorada, também em software da SolarWinds, foi batizada de Supernova e aparentemente não tem conexão com a que permitiu que hackers se infiltrasse no processo de compilação de atualizações da empresa. Os hackers chineses exploravam essa vulnerabilidade apenas depois de invadir uma rede por algum outro meio. Aí usavam a falha para ir mais a fundo. A SolarWinds corrigiu a vulnerabilidade em dezembro.

No entanto, a tarefa de vasculhar os ambientes de TI em organizações usuárias ou não da plataforma Orion, em busca de indícios de invasão, adulteração de dados e portas abertas para futuras invasões, está apenas começando. Deve consumir muito tempo e recursos. Apenas para ficar no escopo da SolarWinds e considerando apenas uma iniciativa de análise, foram identificadas três outras vulnerabilidades em menos de dois meses. A Trustwave, que trabalha com inteligência para combater ciberameaças, descobriu mais falhas de segurança na plataforma Orion e também em sistemas FTP Serv-U da SolarWinds para ambientes Windows. Já foram liberadas correções para as três vulnerabilidades.

Como o ataque foi projetado e colocado em prática

Invasões do tipo supply chain attack corrompem um determinado processo e dissemina problemas por um setor inteiro, seja ele financeiro, varejista ou governamental. No caso da SolarWinds, o ataque visou a cadeia de uma empresa de software e  seu processo de compilação de atualizações.

Um malware (SUNSPOT) foi implantado no ambiente de desenvolvimento da SolarWinds para inserir um backdoor (SUNBURST) nos builds da plataforma Orion, sem levantar suspeitas. O SUNSPOT monitorava os processos em execução envolvidos na compilação da Orion e substituía arquivos-fonte para incluir o código do backdoor SUNBURST. Várias proteções foram adicionadas ao SUNSPOT para evitar falhas de compilação que pudessem alertar os desenvolvedores sobre a presença do adversário.

Dessa forma, foram desenvolvidas atualizações da Orion adulteradas. Avalia-se que 18 mil clientes fizeram o download desses arquivos como sendo genuínos. Quando instalados, a porta foi aberta nessas instalações para novos ataques e outras atividades criminosas subsequentes, como espionagem e roubo de segredos de estado. Segundo a Cybersecurity and Infrastructure Security Agency (CISA) dos Estados Unidos, até o início de janeiro de 2021, menos de 10 agências governamentais dos Estados se enquadravam nessa situação.

A CISA alertou em uma diretiva de emergência que as agências federais deveriam tratar todos os sistemas e servidores SolarWinds Orion como comprometidos e, portanto, deveriam ser desconectados ou desligados imediatamente para não expor a segurança das redes federais a riscos inaceitáveis.

Para Bordini, é pouco provável que os hackers explorem essas portas abertas na iniciativa privada. “É quase certo que o alvo deles é outro, mas sempre será uma incógnita”, comenta.

Consequências

Após ter sido alertada pela FireEye sobre o ataque que havia sofrido, a SolarWinds passou a trabalhar em investigações e liberou em alguns dias hotfixes para corrigir a vulnerabilidade da plataforma Orion. Em janeiro de 2021, também anunciou um plano para tornar tanto a empresa quanto sua comunidade de clientes mais seguras.

No entanto, para usuários da Orion, instalar tais hotfixes não é sinônimo de total segurança. É um passo necessário, mas não suficiente. Não se conhece com detalhes como os invasores atuaram durante o período que o ataque estava em atividade, mas fora do alcance dos holofotes. Também não se sabe se e como podem estar ainda agindo por meio das portas que foram eventualmente abertas, podendo ter ampliado o escopo de atuação e atingido também os que não são usuários da Orion.

Pesquisadores de cibersegurança dizem que provavelmente espiões ainda estejam ativos por meio das redes violadas. É provável que, nos ambientes invadidos, os hackers tenham manipulado o Microsoft Active Directory Federation Services, que atesta identidades de usuários autorizados por meio de documentos de identidade digital chamados “tokens SAML”. Esses tokens autenticados permite que os usuários circulem facilmente entre ambientes, inclusive de empresas diferentes, por exemplo, entre variados prestadores de serviços de nuvem. Poder manipular tokens e se movimentar rapidamente entre vários sistemas, sem a chance de serem detectados com facilidade é um prato cheio de possibilidade para os hackers. Felizmente, há como se proteger com essa técnica, como limitar o acesso a computadores autorizados a emitir tokens e garantir a segurança das chaves de criptografia que criam esse tokens.

Seguem abaixo mais recomendações para usuários ou não da plataforma SolarWinds Orion:

1) Monitore e faça registros, sempre
O ataque envolvendo a SolarWinds Orion teve meses de duração e talvez ainda não tenha seu fim decretado. Será que todas as organizações afetadas possui registros de suas atividades de TI nesse período. Muitas das recomendações envolvem a pesquisa de registros para tentar identificar ações suspeitas relacionadas ao ataque.

2) Conceda permissões na medida certa
Muitas organizações concedem permissões para usuários e aplicações acima do necessário porque, em geral, é mais prático. No entanto, é preciso se preservar e mitigar os riscos de possíveis invasões, limitando os privilégios dados a fornecedores e parceiros. Este é o tipo de proteção necessário para evitar os chamados supply chain attacks. Fazer uma avaliação das contas de alto privilégio e verificar se podem ter a autoridade reduzida é uma boa pedida. A maioria das ferramentas de software não precisa de acesso administrativo à rede para operar.

3) Faça inventários de ativos críticos
O que mais dificulta a resposta a incidentes de invasão é a falta de documentação de ativos críticos e acessos privilegiados. De posse dessas informações, é possível verificar, em caso de invasão, se esses elementos estão a salvo e tomar medidas adicionais para livrar das garras dos invasores. Por exemplo, quando um provedor precisa de acesso privilegiado à rede – pode acontecer – , vale a pena documentar para futura consulta em caso de suspeita de invasão, como aconteceu no caso da SolarWinds.

4) Confira assinaturas
A atualização adulterada com malware usada nesse continha um certificado digital válido e foi distribuída pela própria SolarWinds. Esse foi mais um elemento digno de destaque. No entanto, outros invasores usam assinaturas falsas e canais próprios para distribuir seus arquivos com cavalos de Troia. É recomendável conferir a assinatura dos arquivos antes de instalá-los, pelo mesmo para se proteger contra ataques menos sofisticados que esse.

5) Revise contratos
É importante que os contratos com fornecedores de software estabeleçam termos específicos sobre como um evento de segurança cibernética deverá ser divulgado e com quais informações e como as eventuais consequências serão tratadas.

Ainda não há nenhuma mágica para detectar quem está vulnerável ainda a esse ciberataque ou a futuros do mesmo tipo. Todos, fornecedores ou usuários de software, podem estar sob risco. Faz parte do jogo da always-connected life. No entanto, como acontece na vida fora das redes, cautela e prevenção nunca são demais.

O que é um supply chain attack?

Em termos gerais, supply chain se refere ao grupo de pessoas e empresas envolvidas em uma determinada atividade de vários processos. No caso de ataques cibernéticos, esse número enorme de variáveis dão aos hackers que buscam se infiltrar em negócios, redes ou infraestruturas vários pontos de entrada. Além disso, essa multiplicidade de elementos exclui a responsabilidade exclusiva de proteger toda a cadeia – nem um elo é responsável sozinho. mas todos devem ser para que a proteção seja efetiva. E mesmo que a maioria tenha mecanismos rígidos de segurança, um único ponto de vulnerabilidade pode colocar todos na mira de um supply chain attack.

Linha do tempo