Explicado: Um ataque cibernético massivo nos EUA, usando um novo conjunto de ferramentas
Um dos maiores ataques cibernéticos a ter como alvo agências governamentais dos Estados Unidos e empresas privadas, o 'hack SolarWinds' está sendo visto como um provável esforço global. Como foi feito e que tipo de dados foi comprometido? Por que autoridades e políticos do governo dos EUA nomearam a Rússia?
O alvo do ataque cibernético era o Orion, um software fornecido pela empresa SolarWinds. (Foto Reuters) O ‘SolarWinds hack’, um ataque cibernético recentemente descoberto nos Estados Unidos, surgiu como um dos o maior de todos dirigido contra o governo dos Estados Unidos, suas agências e várias outras empresas privadas. Na verdade, é provável que seja um ciberataque global.
Ele foi descoberto pela primeira vez pela empresa de segurança cibernética FireEye dos Estados Unidos e, desde então, mais desenvolvimentos continuam surgindo a cada dia. A escala do ataque cibernético permanece desconhecida, embora se acredite que o Tesouro dos Estados Unidos, o Departamento de Segurança Interna, o Departamento de Comércio e partes do Pentágono tenham sofrido impactos.
jacksepticeye patrimônio líquido 2019
Em um artigo de opinião escrito para O jornal New York Times , Thomas P Bossert, que foi Conselheiro de Segurança Interna do presidente Donald Trump, nomeou a Rússia para o ataque. Ele escreveu evidências nos pontos de ataque da SolarWinds para a agência de inteligência russa conhecida como SVR, cuja nave está entre as mais avançadas do mundo. O Kremlin negou seu envolvimento.
Então, o que é este ‘SolarWinds hack’?
A notícia do ataque cibernético foi tecnicamente divulgada pela primeira vez em 8 de dezembro, quando a FireEye divulgou um blog que detectava um ataque a seus sistemas. A empresa ajuda no gerenciamento de segurança de várias grandes empresas privadas e agências do governo federal.
O CEO da FireEye, Kevin Mandia, escreveu em uma postagem de blog dizendo que a empresa foi atacada por um agente de ameaças altamente sofisticado, chamando-o de um ataque patrocinado pelo Estado, embora não tenha mencionado a Rússia. Ele disse que o ataque foi realizado por um país com recursos ofensivos de primeira linha e que o invasor buscou principalmente informações relacionadas a certos clientes do governo. Ele também disse que os métodos usados pelos invasores são novos.
Então, em 13 de dezembro, a FireEye disse que o ataque cibernético, batizado de Campanha UNC2452, não foi atribuído à empresa, mas tinha como alvo várias organizações públicas e privadas em todo o mundo. A campanha provavelmente começou em março de 2020 e já dura meses, disse o post. Pior, a extensão dos dados roubados ou comprometidos ainda é desconhecida, dada a escala do ataque ainda está sendo descoberta. Depois que os sistemas foram comprometidos, o movimento lateral e o roubo de dados ocorreram.
ENTRAR :Canal do Telegram Explicado ExpressoComo tantas agências e empresas do governo dos EUA foram atacadas?
Isso está sendo chamado de ataque de ‘Cadeia de Suprimentos’: em vez de atacar diretamente o governo federal ou a rede de uma organização privada, os hackers têm como alvo um fornecedor terceirizado, que fornece software para eles. Nesse caso, o alvo era um software de gerenciamento de TI denominado Orion, fornecido pela SolarWinds, empresa com sede no Texas.
O Orion tem sido um software dominante da SolarWinds com clientes, que incluem mais de 33.000 empresas. A SolarWinds diz que 18.000 de seus clientes foram afetados. Aliás, a empresa apagou a lista de clientes de seus sites oficiais.
De acordo com a página, que também foi apagada dos Arquivos da Web do Google, a lista inclui 425 empresas da Fortune 500, as 10 maiores operadoras de telecomunicações dos Estados Unidos. Uma reportagem do New York Times disse que partes do Pentágono, Centros para Controle e Prevenção de Doenças, Departamento de Estado, Departamento de Justiça e outros foram afetados.
A Microsoft confirmou que encontrou evidências do malware em seus sistemas, embora tenha acrescentado que não havia evidências de acesso a serviços de produção ou dados de clientes, ou que seus sistemas foram usados para atacar terceiros. O presidente da Microsoft, Brad Smith, disse que a empresa começou a notificar mais de 40 clientes de que os atacantes tinham como alvo de forma mais precisa e comprometida.
Um relatório da Reuters disse que até mesmo e-mails enviados por funcionários do Departamento de Segurança Interna foram monitorados pelos hackers.
Como eles obtiveram acesso?
De acordo com a FireEye, os hackers obtiveram acesso às vítimas por meio de atualizações trojanizadas para o software de monitoramento e gerenciamento de TI Orion da SolarWinds. Basicamente, uma atualização de software foi explorada para instalar o malware ‘Sunburst’ no Orion, que foi então instalado por mais de 17.000 clientes.
A FireEye diz que os invasores confiaram em várias técnicas para evitar serem detectados e obscurecer sua atividade. O malware foi capaz de acessar os arquivos do sistema. O que funcionou a favor do malware foi que ele foi capaz de se misturar à atividade legítima da SolarWinds, de acordo com a FireEye.
Uma vez instalado, o malware deu aos hackers uma entrada nos fundos para os sistemas e redes dos clientes da SolarWinds. Mais importante ainda, o malware também foi capaz de impedir ferramentas como o antivírus, que podiam detectá-lo.
Onde entra a Rússia?
Em seu artigo de opinião no NYT, Bossert citou a Rússia e sua agência como SVR, que tem a capacidade de executar o ataque de tal engenhosidade e escala.
A Microsoft observa em seu blog que esse aspecto do ataque criou uma vulnerabilidade na cadeia de suprimentos de importância quase global, atingindo muitas das principais capitais nacionais fora da Rússia. E acrescenta que ataques sofisticados da Rússia tornaram-se comuns.
A FireEye, no entanto, ainda não indicou a Rússia como responsável e disse que está em uma investigação em andamento com o FBI, a Microsoft e outros parceiros importantes que não foram identificados.
Andrew de idade
|Como as mulheres são protegidas por proteínas que permitem a entrada do coronavírus
O que a SolarWinds e o governo dos EUA disseram sobre o hack?
No momento, a SolarWinds está recomendando que todos os clientes atualizem imediatamente a plataforma Orion existente, que tem um patch para esse malware. Se a atividade do invasor for descoberta em um ambiente, recomendamos conduzir uma investigação abrangente e projetar e executar uma estratégia de remediação conduzida pelas descobertas investigativas e detalhes do ambiente afetado, disse.
Aqueles que não conseguem atualizar são instruídos a isolar os servidores SolarWinds e isso deve incluir o bloqueio de todas as saídas de Internet dos servidores SolarWinds. A sugestão mínima é a alteração de senhas para contas que têm acesso aos servidores / infraestrutura SolarWinds.
A Agência de Segurança Cibernética e de Infraestrutura dos Estados Unidos (CISA) emitiu uma Diretiva de Emergência 21-01, solicitando a todas as agências civis federais que revisassem suas redes em busca de indicadores de comprometimento. Ele pediu que eles desconectassem ou desligassem os produtos SolarWinds Orion imediatamente.
O FBI, a CISA e o escritório do Diretor de Inteligência Nacional emitiram uma declaração conjunta e anunciaram o que é chamado de ‘Grupo de Coordenação Cibernética (UCG) para coordenar a resposta do governo à crise. A declaração chama isso de uma campanha de segurança cibernética significativa e contínua.
A Casa Branca e o presidente Donald Trump permaneceram em silêncio. O senador Mitt Romney resumiu melhor em seus comentários ao jornalista Olivier Knox da rádio SiriusXM, onde comparou este ataque ao equivalente a bombardeiros russos voando sem serem detectados por todo o país, expondo a fraqueza da guerra cibernética dos EUA. Ele disse que o silêncio e a inação da Casa Branca eram imperdoáveis.
O senador Richard Blumenthal, um democrata, twittou: O ataque cibernético da Rússia me deixou profundamente alarmado, na verdade totalmente assustado.
O presidente eleito Joe Biden disse em um comunicado: Uma boa defesa não é suficiente; Precisamos interromper e impedir nossos adversários de realizarem ataques cibernéticos significativos em primeiro lugar.
Compartilhe Com Os Seus Amigos:
