SolarWinds foi hackeado porque suas credenciais estavam disponíveis publicamente no GitHub

SolarWinds was hacked

No início desta semana foi reportado um ataque massivo à cadeia de abastecimento que afetou a SolarWinds e seus clientes. SolarWinds pode ter sido hackeado porque suas credenciais estavam disponíveis publicamente no GitHub por um tempo.

A lista de vítimas continua a crescer, e agora sabe-se que hackers comprometeram:

  • Empresa americana de segurança da informação FireEye;
  • Departamento do Tesouro dos EUA;
  • Administração Nacional de Informática e Telecomunicações do Departamento de Comércio dos EUA (POR QUE);
  • Instituto Nacional de Saúde, Departamento de Saúde dos EUA (NIH);
  • Agência de Segurança Cibernética e Proteção de Infraestrutura, organizado pelo Departamento de Segurança Interna dos EUA (DHS CISA);
  • Departamento de Segurança Interna (DHS);
  • Departamento de Estado dos E.U.A.

Hackers desconhecidos infectaram a plataforma Orion, projetado para monitoramento e controle centralizados, com RELUZENTE (também conhecido como Solorigate) malware. Tipicamente, Orion é usado em grandes redes para rastrear todos os recursos de TI, como servidores, estações de trabalho, telefones celulares e dispositivos IoT.

Microsoft, FogoEye e a Agência de Segurança Cibernética e Proteção de Infraestrutura do Departamento de Segurança Interna dos EUA (DHS CISA) lançaram seus próprios indicadores de comprometimento e instruções para trabalhar com sistemas infectados.

Entre os da empresa 300,000 clientes, apenas 33,000 são conhecidos por terem usado Orion, e todos eles já foram notificados do incidente. Ao mesmo tempo, de acordo com SolarWinds, uma versão infectada da plataforma Orion foi instalada em 18,000 clientes.

A SolarWinds não revelou oficialmente exatamente como os hackers conseguiram se infiltrar em sua rede. Muitos meios de comunicação chamaram a atenção para as declarações do pesquisador de segurança cibernética Vinoth Kumar, que afirma que as credenciais do servidor de atualização SolarWinds estavam disponíveis gratuitamente no repositório GitHub oficial da empresa em 2018. De acordo com Kumar, ele percebeu esse vazamento em novembro, e a senha do servidor era simples: “ventos solares123”.

Usando essas credenciais, Consegui fazer upload do arquivo para o servidor da empresa, provando assim que o sistema era inseguro, sobre o qual notifiquei a SolarWinds em novembro 2020. Como resultado, o vazamento foi corrigido em novembro 22.escreveu Kumar.

O pesquisador não afirma que esta credencial específica tenha desempenhado algum papel no hackeamento da plataforma Orion, mas admite que é possível. O fato é que os binários maliciosos do Orion foram, no entanto, assinados, o que aponta para um comprometimento mais amplo da rede da empresa.

Se eles tivessem acesso aos servidores de compilação, eles não precisariam de credenciais de FTP. Mas se eles obtiverem o certificado de assinatura e as credenciais do FTP, eles poderiam modificar o .dll, assine e carregue-o no servidor FTP.Kumar disse ao The Register.

A teoria das credenciais vazadas também é confirmada pelo Reuters agência de notícias, de acordo com cujas fontes, o acesso aos sistemas SolarWinds está à venda há muito tempo na darknet.

Enquanto isso, ZDNet, citando suas próprias fontes da indústria, escreve que a Microsoft e seus parceiros assumiram o controle do domínio que desempenhou um papel importante no comprometimento da SolarWinds e deu-lhe um buraco.

O domínio avsvmcloud [.] Com serviu como servidor de comando e controle para o malware SUNBURST, que se espalham pelas redes de 18,000 Clientes SolarWinds por meio da versão maliciosa do Orion.de acordo com jornalistas ZDNet.

Fontes da publicação descrevem esta operação como “protetor”, destinado a impedir que operadores de malware enviem novos comandos para computadores infectados.

Deixe-me também lembrá-lo que Microsoft acusou Rússia e Coreia do Norte de ataques a empresas farmacêuticas.

Por Vladimir Krasnogolovy

Vladimir é um especialista técnico que adora dar conselhos e dicas qualificadas sobre os produtos GridinSoft. Ele está disponível 24 horas por dia, 7 dias por semana para ajudá-lo em qualquer dúvida relacionada à segurança na internet.

Deixe um comentário

O seu endereço de email não será publicado. Campos obrigatórios marcados com *