Os federais alertam que os hackers da SolarWinds provavelmente usaram outras maneiras de violar redes

16

O ataque à cadeia de suprimentos costumava violar agências federais e pelo menos uma empresa privada representa um "risco grave" para os Estados Unidos, em parte porque os invasores provavelmente usaram outros meios além da porta dos fundos da SolarWinds para penetrar redes de interesse, disseram autoridades federais na quinta-feira .

“Este adversário demonstrou capacidade de explorar cadeias de suprimentos de software e mostrou conhecimento significativo de redes Windows”, escreveram funcionários da Agência de Segurança e Infraestrutura de Segurança Cibernética em um alerta. “É provável que o adversário tenha vetores de acesso inicial adicionais e táticas, técnicas e procedimentos (TTPs) que ainda não foram descobertos.” CISA, como a agência é abreviada, é um braço do Departamento de Segurança Interna.

Em outro lugar, as autoridades escreveram: “A CISA determinou que esta ameaça representa um grave risco para o Governo Federal e governos estaduais, locais, tribais e territoriais, bem como entidades de infraestrutura crítica e outras organizações do setor privado.”

Os atacantes, que a CISA disse que começaram suas operações o mais tardar em março, conseguiram permanecer sem serem detectados até a semana passada, quando a empresa de segurança FireEye relatou que hackers apoiados por um estado-nação haviam penetrou profundamente em sua rede. No início desta semana, a FireEye disse que os hackers estavam infectando alvos usando o Orion, uma ferramenta de gerenciamento de rede amplamente usada da SolarWinds. Depois de assumir o controle do mecanismo de atualização do Orion, os invasores o usaram para instalar um backdoor que os pesquisadores da FireEye estão chamando de Sunburst.
Domingo também foi quando vários meios de comunicação, citando pessoas não identificadas, relataram que os hackers haviam usou a porta dos fundos em Orion para violar redes pertencentes aos Departamentos de Comércio, Tesouro e possivelmente outras agências. O Departamento de Segurança Interna e os Institutos Nacionais de Saúde foram posteriormente adicionados à lista.

Avaliação sombria

O alerta da CISA de quinta-feira forneceu uma avaliação anormalmente sombria do hack, a ameaça que representa para as agências governamentais em nível nacional, estadual e local, e a habilidade, persistência e tempo que serão necessários para expulsar os invasores das redes que penetraram por meses sem ser detectado.

“Este ator da APT demonstrou paciência, segurança operacional e habilidade comercial complexa nessas intrusões”, escreveram funcionários no alerta de quinta-feira. “A CISA espera que a remoção desse ator de ameaça de ambientes comprometidos seja altamente complexa e desafiadora para as organizações.”

Os funcionários passaram a fornecer outra avaliação desanimadora: “A CISA tem evidências de vetores de acesso inicial adicionais, além da plataforma SolarWinds Orion; no entanto, eles ainda estão sendo investigados. A CISA atualizará este Alerta assim que novas informações forem disponibilizadas. ”

O comunicado não disse quais seriam os vetores adicionais, mas os funcionários continuaram observando a habilidade necessária para infectar a plataforma de compilação de software da SolarWinds, distribuir backdoors para 18.000 clientes e, então, permanecer sem ser detectado nas redes infectadas por meses.

“Este adversário demonstrou capacidade de explorar cadeias de suprimentos de software e mostrou conhecimento significativo de redes Windows”, escreveram eles. “É provável que o adversário tenha vetores de acesso inicial adicionais e táticas, técnicas e procedimentos (TTPs) que ainda não foram descobertos.”

Entre as muitas agências federais que usaram o SolarWinds Orion, supostamente, estava o International Revenue Service. Na quinta-feira, Ron Wyden (D-Ore.) Membro de Classificação do Comitê de Finanças do Senado e o Presidente do Comitê de Finanças do Senado, Chuck Grassley (R-Iowa) enviaram um carta ao comissário do IRS, Chuck Rettig, pedindo que ele forneça um briefing sobre se os dados do contribuinte foram comprometidos.

Eles escreveram:

O IRS parece ter sido um cliente da SolarWinds recentemente, em 2017. Dada a extrema sensibilidade das informações pessoais do contribuinte confiadas ao IRS, e os danos à privacidade dos americanos e à nossa segurança nacional que poderiam resultar do roubo e exploração deste dados por nossos adversários, é imperativo que entendamos até que ponto o IRS pode ter sido comprometido. Também é fundamental que entendamos quais ações o IRS está tomando para mitigar qualquer dano potencial, garantir que os hackers ainda não tenham acesso aos sistemas internos do IRS e evitar futuras invasões de dados do contribuinte.

Os representantes do IRS não retornaram imediatamente um telefonema pedindo comentários para esta postagem.

O alerta da CISA disse que as principais conclusões de sua investigação até agora são:

  • Este é um adversário paciente, com bons recursos e focado que sustentou atividades de longa duração nas redes das vítimas.
  • O compromisso da cadeia de suprimentos da SolarWinds Orion é não o único vetor de infecção inicial que esse ator APT alavancou.
  • Nem todas as organizações que oferecem backdoor por meio do SolarWinds Orion foram visadas pelo adversário com ações subsequentes.
  • As organizações com suspeita de comprometimento precisam estar altamente conscientes da segurança operacional, inclusive ao se envolver em atividades de resposta a incidentes e no planejamento e implementação de planos de remediação.

O que emergiu até agora é que este é um hack extraordinário cujo alcance e efeitos completos não serão conhecidos por semanas ou até meses. Sapatos adicionais tendem a cair cedo e com frequência.

Fonte: Ars Technica