0
0
A Microsoft alertou a CrowdStrike no início deste mês sobre uma tentativa fracassada de invasores não identificados de acessar e ler os e-mails da empresa, de acordo com um post publicado pela empresa de segurança.
Embora a postagem do blog CrowdStrike não especifique as identidades exatas dos hackers, a Reuters , citando duas fontes não identificadas, relatou que o incidente está provavelmente relacionado à violação do SolarWinds (consulte: FireEye: SolarWinds Hack ‘Genuinely Impacted’ 50 Victims ).
Na postagem do blog publicada esta semana, Michael Sentonas, CTO da CrowdStrike, revelou que o Threat Intelligence Center da Microsoft havia contatado a empresa de segurança em 15 de dezembro sobre a tentativa fracassada de hacking.
A investigação revelou que uma conta do Azure de um revendedor da Microsoft estava fazendo o que a empresa considerou “chamadas anormais” para APIs em nuvem da Microsoft. Essa conta específica gerenciava parte da licença do Microsoft Office usada pela CrowdStrike, diz Sentonas.
E embora a CrowdStrike use alguns produtos da Microsoft para sua infraestrutura interna de TI, a empresa de segurança não usa o Office 365 para e-mail, observa Sentonas.
“Especificamente, eles identificaram que uma conta do revendedor do Microsoft Azure usada para gerenciar as licenças do Microsoft Office da CrowdStrike foi observada fazendo chamadas anormais para APIs da nuvem da Microsoft durante um período de 17 horas, vários meses atrás”, disse Sentonas. “Houve uma tentativa de leitura de e-mail, que falhou, conforme confirmado pela Microsoft. Como parte de nossa arquitetura de TI segura, CrowdStrike não usa e-mail do Office 365.”
Após o alerta da Microsoft, a CrowdStrike conduziu uma revisão interna de sua infraestrutura, bem como dos serviços do Azure que a empresa usa, mas não detectou uma violação, observa o Sentonas.
“CrowdStrike conduziu uma revisão completa não apenas em nosso ambiente Azure, mas em toda a nossa infraestrutura para os indicadores compartilhados pela Microsoft. As informações compartilhadas pela Microsoft reforçaram nossa conclusão de que CrowdStrike não sofreu impacto”, diz Sentonas.
Investigação em andamento
Como outras grandes empresas de tecnologia, a Microsoft vende muitos de seus produtos por meio de revendedores terceirizados. Tanto a Microsoft quanto a CrowdStrike não informaram o revendedor neste caso, mas Jeff Jones, um diretor sênior da Microsoft, disse que enquanto a empresa ainda está investigando o incidente, seus produtos e serviços estão seguros.
“Nossa investigação de ataques recentes encontrou incidentes envolvendo abuso de credenciais para obter acesso, que pode vir de várias formas”, disse Jones ao Information Security Media Group. “Não identificamos nenhuma vulnerabilidade ou comprometimento de produtos ou serviços em nuvem da Microsoft.”
Até agora, a investigação de duas semanas sobre a violação na SolarWinds revelou apenas publicamente que os hackers usaram uma vulnerabilidade no software de monitoramento de rede Orion da empresa para plantar um backdoor apelidado de Sunburst pela empresa de segurança FireEye, que descobriu a campanha de hacking enquanto investigava um violação de seus próprios sistemas e o trouxe à luz em 13 de dezembro (consulte: SolarWinds Incident Response: 4 Essential Security Alerts ).
Até o momento, a SolarWinds acredita que cerca de 18.000 de seus clientes podem ter instalado o software Trojanized, que começou a lançar inadvertidamente em março. Na quinta-feira, a empresa com sede no Texas lançou correções adicionais para várias versões de seus produtos Orion.
E enquanto a investigação ainda está em andamento, a Agência de Segurança de Infraestrutura e Cibersegurança dos EUA observou que os investigadores da agência agora têm evidências de que os hackers usaram outros vetores de ataque além da plataforma SolarWinds Orion comprometida para obter acesso a várias redes e backdoors de plantas. A CISA, até agora, não revelou os outros vetores de ataque que podem ter sido usados pelos hackers.
A Microsoft avisou anteriormente que cerca de 40 de seus clientes foram vítimas do ataque de segundo estágio, uma vez que os backdoors Sunburst foram plantados. Kevin Mandia, CEO da FireEye, estima que os invasores provavelmente se concentraram em cerca de 50 alvos de valor extremamente alto . Cada um desses alvos teria sido infectado com malware de segundo estágio, dando aos invasores a capacidade de executar códigos remotamente nos sistemas das vítimas, roubar dados, ler e-mails e potencialmente hackear parceiros de negócios.
Mais organizações afetadas
Na quarta-feira, a CISA alertou que os governos federal, estadual e local estão entre as muitas vítimas do ataque à cadeia de abastecimento e que as organizações visadas “podem precisar reconstruir todos os ativos de rede” (consulte: CISA adverte que a resposta a incidentes da SolarWinds pode ser substancial ).
Algumas das maiores agências federais afetadas pela violação da SolarWinds incluem os Institutos Nacionais de Saúde, bem como os departamentos de Comércio, Segurança Interna, Estado, Tesouro e Energia. O senador norte-americano Ron Wyden, D-Ore., O principal democrata no Comitê de Finanças do Senado, disse esta semana que a violação do Tesouro parecia “significativa” (veja: US Treasury sofreu violação ‘significativa’ da SolarWinds ).
Algumas empresas e organizações privadas que foram encontradas infectadas pelo malware Sunburst incluem gigantes da tecnologia Belkin, Cisco, Intel, NVidia e VMware, bem como a Universidade Estadual de Iowa, Condado de Pima no Arizona e Hilton Grand Vacations.
As identidades dos hackers por trás desta campanha massiva não são formalmente conhecidas, mas autoridades americanas como o secretário de Estado Mike Pompeo e o ex-procurador-geral William Barr apontaram o dedo para a Rússia. No sábado passado, o presidente Donald Trump minimizou a importância da violação e a conexão da Rússia com o ataque. A própria Rússia negou qualquer envolvimento (ver: Presidente Trump minimiza o impacto da violação da SolarWinds ).
FONTE: BANKINFO SECURITY