No início desta semana foi reportado um ataque massivo à cadeia de abastecimento que afetou a SolarWinds e seus clientes. SolarWinds pode ter sido hackeado porque suas credenciais estavam disponíveis publicamente no GitHub por um tempo.
A lista de vítimas continua a crescer, e agora sabe-se que hackers comprometeram:
- Empresa americana de segurança da informação FireEye;
- Departamento do Tesouro dos EUA;
- Administração Nacional de Informática e Telecomunicações do Departamento de Comércio dos EUA (POR QUE);
- Instituto Nacional de Saúde, Departamento de Saúde dos EUA (NIH);
- Agência de Segurança Cibernética e Proteção de Infraestrutura, organizado pelo Departamento de Segurança Interna dos EUA (DHS CISA);
- Departamento de Segurança Interna (DHS);
- Departamento de Estado dos E.U.A.
Hackers desconhecidos infectaram a plataforma Orion, projetado para monitoramento e controle centralizados, com RELUZENTE (também conhecido como Solorigate) malware. Tipicamente, Orion é usado em grandes redes para rastrear todos os recursos de TI, como servidores, estações de trabalho, telefones celulares e dispositivos IoT.
Microsoft, FogoEye e a Agência de Segurança Cibernética e Proteção de Infraestrutura do Departamento de Segurança Interna dos EUA (DHS CISA) lançaram seus próprios indicadores de comprometimento e instruções para trabalhar com sistemas infectados.
Entre os da empresa 300,000 clientes, apenas 33,000 são conhecidos por terem usado Orion, e todos eles já foram notificados do incidente. Ao mesmo tempo, de acordo com SolarWinds, uma versão infectada da plataforma Orion foi instalada em 18,000 clientes.
A SolarWinds não revelou oficialmente exatamente como os hackers conseguiram se infiltrar em sua rede. Muitos meios de comunicação chamaram a atenção para as declarações do pesquisador de segurança cibernética Vinoth Kumar, que afirma que as credenciais do servidor de atualização SolarWinds estavam disponíveis gratuitamente no repositório GitHub oficial da empresa em 2018. De acordo com Kumar, ele percebeu esse vazamento em novembro, e a senha do servidor era simples: “ventos solares123”.
O pesquisador não afirma que esta credencial específica tenha desempenhado algum papel no hackeamento da plataforma Orion, mas admite que é possível. O fato é que os binários maliciosos do Orion foram, no entanto, assinados, o que aponta para um comprometimento mais amplo da rede da empresa.
A teoria das credenciais vazadas também é confirmada pelo Reuters agência de notícias, de acordo com cujas fontes, o acesso aos sistemas SolarWinds está à venda há muito tempo na darknet.
Enquanto isso, ZDNet, citando suas próprias fontes da indústria, escreve que a Microsoft e seus parceiros assumiram o controle do domínio que desempenhou um papel importante no comprometimento da SolarWinds e deu-lhe um buraco.
Fontes da publicação descrevem esta operação como “protetor”, destinado a impedir que operadores de malware enviem novos comandos para computadores infectados.
Deixe-me também lembrá-lo que Microsoft acusou Rússia e Coreia do Norte de ataques a empresas farmacêuticas.
