0
0
Os atacantes do estado-nação usaram atualizações de software de gerenciamento de rede SolarWinds envenenadas para distribuir malware; O governo dos EUA ordena que as agências civis federais reduzam imediatamente a tecnologia.
No que pode muito bem vir a ser um dos ataques mais significativos da cadeia de suprimentos nos últimos anos, um provável grupo apoiado pelo estado-nação comprometeu sistemas na SolarWinds e inseriu malware em atualizações dos produtos de gerenciamento de rede Orion amplamente utilizados da empresa que foram lançados entre março e junho de 2020.
No total, cerca de 33.000 dos 300.000 clientes da SolarWinds — que incluem inúmeras agências governamentais, 499 das empresas da Fortune 500 e mais de 22.000 provedores de serviços gerenciados — poderiam ter recebido potencialmente as atualizações de software comprometidas. Cerca de 18.000 organizações em todo o mundo podem ter realmente instalado o software envenenado em seus sistemas, disse a SolarWinds em um arquivo da SEC na segunda-feira.
O arquivamento sugeriu que os atacantes poderiam inicialmente ter invadido os sistemas da SolarWinds comprometendo os e-mails da empresa e usando-os para acessar outros dados em seu ambiente Microsoft Office 365.
Acredita-se que as vítimas da violação maciça incluam o Departamento do Tesouro dos EUA, a Administração Nacional de Telecomunicações e Infraestrutura e o fornecedor de segurança FireEye, que na semana passada divulgou uma brecha envolvendo o roubo das ferramentas da equipe vermelha da empresa.
Em uma medida da preocupação generalizada que a violação tem despertado, a Agência de Segurança cibernética e infraestrutura dos EUA (CISA) emitiu uma diretiva de emergência no domingo instando todas as agências civis federais que usam os produtos Orion da SolarWinds a desligar imediatamente ou desconectar a tecnologia. A Diretiva de Emergência, apenas a quinta desde 2015, descreveu o compromisso solarwinds como um risco inaceitável para a segurança das redes federais. Ele ordenou que todas as agências civis federais fornecessem um relatório à CISA até às 12:00.m. Horário Padrão do Leste segunda-feira mostrando que tinham desligado a tecnologia SolarWinds Orion em suas redes.
Em um aviso de segurança,a SolarWinds disse que as compilações de software para as versões 2019.4 HF 5 até 2020.1.1 de suas Plataformas Orion lançadas entre março e junho deste ano foram impactadas na violação. A empresa pediu aos seus clientes que atualizassem imediatamente para a versão 2020.2.1 HF 1 da Orion Platform, sempre que possível. Um hotfix adicional lançado provavelmente será lançado em 15 de dezembro de 2020, e a empresa divulgou diretrizes para organizações que não podem aplicar imediatamente a atualização.
“Infectar as atualizações de software legítimas de um fornecedor amplamente utilizado pode ser uma maneira eficaz de injetar malware secretamente em um grande número de organizações”, diz Hank Schless, gerente sênior de soluções de segurança da Lookout. “Se for bem-sucedida, esta forma de ataque da cadeia de suprimentos pode ser usada para atacar toda uma indústria de uma só vez.”
As recomendações da SolarWinds para aqueles que não podem ser atualizadas imediatamente são: garantir que a plataforma Orion esteja instalada atrás de firewalls, desativar o acesso à Internet à plataforma e limitar o acesso à porta apenas ao que é estritamente necessário.
Em seu aviso de segurança, o FireEye descreveu vários métodos para detectar atividades de pós-compromisso em suas redes. Isso inclui a consulta de dados de varredura em toda a Internet para endereços IP maliciosos que podem estar mascarados como endereços IP legítimos de uma organização e geolocalização de endereços IP que são usados para acesso remoto. Isso identificará contas comprometidas que estão sendo usadas de diferentes locais. O fornecedor de segurança também recomendou que as organizações “usem o módulo LogonTracker da HX paragrafar toda a atividade de logon e analisar sistemas que exibam uma relação de um a muitos entre sistemas de origem e contas”.
SUNBURST Malware
O FireEye, que descobriu a brecha,disse que os atores por trás dela, rastreados como UNC2452, tinham trojanizado as atualizações de software de negócios orion da SolarWinds para distribuir malware que o FireEye chamou de SUNBURST. Ben Read, gerente sênior de análise do grupo Mandiant do FireEye, diz que o UNC2452 é um grupo de ameaças distinto que não está ligado a nenhum outro grupo rastreado no momento. O backdoor em si existe em um componente assinado digitalmente da estrutura do software Orion e foi projetado para se comunicar via HTTP para servidores controlados por invasores.
De acordo com o FireEye, uma vez instalado em um sistema através da atualização do SolarWinds, o malware fica adormecido por até duas semanas antes de começar a recuperar e executar comandos. Seus recursos incluem a capacidade de transferir e executar arquivos, sistemas de perfil, desativar serviços do sistema e reiniciar um sistema inectado.
“O malware mascara seu tráfego de rede como protocolo OIP (Orion Improvement Program) e armazena resultados de reconhecimento dentro de arquivos legítimos de configuração de plugin, permitindo que ele se misture com a atividade legítima do SolarWinds”, disse FireEye. O malware usa várias técnicas para identificar ferramentas antivírus e outras ferramentas de detecção de malware.
O CEO da FireEye, Kevin Mandia, descreveu a campanha como provavelmente o trabalho de um sofisticado ator de ameaças patrocinado pelo Estado com habilidades operacionais e de resourcing de alto nível. Alguns dentro da indústria apontaram as agências de inteligência russas como por trás dos ataques.
Os atacantes parecem ter ido a um comprimento significativo para observar o tráfego nas redes das vítimas e misturar sinais de sua própria atividade em atividade normal da rede, disse Mandia em um blog. O fornecedor de segurança divulgou indicadores de compromisso e assinaturas para detectar a atividade de ameaça SUNBURST em sua página pública do GitHub.
Matt Walmsley, diretor da EMEA na Vectra, diz que os atacantes provavelmente manipularam os tokens de autenticação saml (Security Assertion Mark-up Language) usados no Single Sign On para tentar aumentar privilégios nos estágios iniciais da campanha. Eles poderiam então ter usado os privilégios obtidos ilicitamente para passar para a instância microsoft 365 da SolarWinds e usar as ferramentas incorporadas lá para configurar novas contas privilegiadas, definir regras de roteamento de e-mail, realizar reconhecimento, coletar dados de repositiores do SharePoint e OneDrive e configurar fluxos de trabalho automatizados para executar tais atividades maliciosas de forma autônoma.
“Os administradores de TI e as equipes de segurança têm acesso a credenciais altamente privilegiadas como parte de seu trabalho legítimo”, diz Walmsley. “Atacar a cadeia de suprimentos digital de suas ferramentas de software é uma tentativa de obter penetração e persistência no centro de suas operações.”
A violação do SolarWinds não é a primeira vez que os atacantes invadem os servidores de atualização de software de um fornecedor de tecnologia e o usaram para distribuir malware. Em 2018, invasores pertencentes a uma campanha de malware apelidada de Operação ShadowHammer,invadiram um servidor pertencente ao fabricante de hardware taiwanês ASUS e usaram seu acesso para distribuir malware disfarçados como atualizações de software legítimas para clientes da ASUS que haviam ativado atualizações automáticas. O fornecedor de segurança Kaspersky divulgou a violação em março de 2019 e descreveu-a como impactando centenas de milhares de usuários da ASUS, embora realmente tenha como alvo apenas uma porcentagem muito pequena deles.
Especialistas em segurança consideram esses ataques particularmente perigosos porque as organizações geralmente tendem a tratar patches, atualizações de software e outros produtos de seus fornecedores de tecnologia como confiáveis e seguros. Muito poucos realmente passam pela etapa extra de vetar atualizações ou produtos de seus fornecedores confiáveis por problemas de segurança, embora especialistas tenham advertido há muito tempo que deveriam.
Ayal Yogev, CEO da Anjuna Security, diz que o direcionamento da tecnologia Orion da SolarWinds é significativo porque centenas de milhares de organizações do governo, bancos, saúde e outras indústrias críticas a usam para monitorar sua rede.
“A tecnologia é normalmente comprada por gerentes de rede e, em muitos casos, pode ser comprada online a um preço que não requer práticas padrão de aquisição de software”, diz Yogev.
Na verdade, muitas organizações podem nem perceber que têm, diz ele.
“A boa notícia é que a SolarWinds não contém diretamente informações confidenciais”, diz ele. “A má notícia é que ele fornece um mapa para muitos componentes em uma empresa que pode ter vulnerabilidades.”
FONTE: DARK READING