A linha do tempo do hack solarwinds: Quem sabia o quê, e quando?

Views: 228
0 0
Read Time:8 Minute, 36 Second

Detalhes do ataque solarwinds de 2020 continuam a se desenrolar, e pode levar anos até que os danos finais possam ser contabilizados.

Embora seja “difícil dizer” se o compromisso da cadeia de fornecimento de software SolarWinds se tornará conhecido como a intrusão cibernética de maior impacto de todos os tempos, ele pegou “muitas pessoas desprevenidas” apesar dos avisos frequentes da indústria de segurança de que as cadeias de suprimentos representam riscos substanciais, de acordo com Eric Parizo, principal analista de operações de segurança da Omdia, uma empresa global de pesquisa.

O ataque do SolarWinds é sem precedentes devido à “sua capacidade de causar consequências físicas significativas”, diz o professor de gestão da Universidade de Richmond Shital Thekdi, especialista em gestão de riscos e engenharia industrial e de operações. O ataque “impactou os provedores críticos de infraestrutura, potencialmente afetando as capacidades de energia e fabricação”, disse ela, e criou uma intrusão contínua que “deve ser tratada como um evento sério com potencial para grandes danos”.

A seguir está uma linha do tempo de como os eventos relacionados ao hack solarwinds se desenrolaram, até o momento.SolarWinds, ransomware, infraestrutura crítica e muito mais: editores do CSO discutem desafios regionais em todo o mundohttps://imasdk.googleapis.com/js/core/bridge3.449.2_en.html#goog_651476824Volume 0% 

Cronograma de hack da SolarWinds (última atualização em 28 de março de 2021)

8 de dezembro de 2020 Como a descoberta começou — a FireEye, uma proeminente empresa de cibersegurança, anunciou que eles foram vítimas de um ataque estatal nacional. A equipe de segurança informou que seu kit de ferramentas da Equipe Vermelha, contendo aplicativos usados por hackers éticos em testes de penetração, foi roubado.

13 de dezembro de 2020 D etection inicial — o FireEye descobriu um ataque à cadeia de suprimentos enquanto investigava o ataque do estado-nação ao seu próprio kit de ferramentas da Equipe Vermelha. Os pesquisadores se depararam com evidências de que os atacantes entraram em um backdoor no software SolarWinds “trojanizando atualizações de software de negócios da SolarWinds Orion para distribuir malware.” FireEye apelidado de “SUNBURST”.

13 de dezembro A SolarWinds começa a notificar os clientes, incluindo um post em sua conta no Twitter, “A SolarWinds pede a todos os clientes que atualizem imediatamente para a versão 2020.2.1 HF 1 da Orion Platform para resolver uma vulnerabilidade de segurança”.

14 de dezembro A SolarWinds registra um relatório do Formulário 8-K da SEC, afirmando em parte que a empresa “foi informada de um ataque cibernético que inseriu uma vulnerabilidade dentro de seus produtos de monitoramento Orion”.

Nesta data e seguinte, a empresa emitiu dois patches de segurança “hotfix” para resolver a vulnerabilidade.

15 de dezembro de 2020 Vítimas named e timeline moves back — o Wall Street Journal informou que os Departamentos de Comércio e Tesouro dos EUA, o Departamento de Segurança Interna (DHS), os Institutos Nacionais de Saúde e o Departamento de Estado foram todos afetados. Vários oficiais de segurança e fornecedores expressaram sério desânimo que o ataque foi mais generalizado e começou muito antes do esperado. A data inicial do ataque estava agora marcada para algum momento em março de 2020, o que significava que o ataque estava em andamento há meses antes de sua detecção.

Detalhes mais técnicos também começaram a surgir,ilustrando o quão bem a atividade maliciosa foi coberta e por que era difícil de detectar.

17 de dezembro de 2020 Novas vítimas revelaram — O Departamento de Energia (DOE) e a National Nuclear Security Administration (NNSA), que mantém o estoque de armas nucleares dos EUA, foram nomeadas publicamente como vítimas do ataque.

19 de dezembro de 2020 mais 200 vítimas listadas — A Recorded Future, uma empresa de cibersegurança, identificou uma lista adicional de agências governamentais e empresas em todo o mundo que também haviam sido atacadas, mas não revelaram publicamente suas identidades.

Usando o Twitter para seus primeiros comentários sobre o ataque, então os EUA. O presidente Donald Trump sugeriu publicamente que a China, não a Rússia, era a fonte, e também descreveu o hack como uma farsa. O secretário de Estado dos EUA, Mike Pompeo, e outros membros seniores da administração contestaram essas alegações no mesmo dia, afirmando que “podemos dizer claramente que foram os russos que se envolveram nesta atividade”.

31 de dezembro de 2020 A Microsoft diz que os atacantes russos violaram parte de seu código fonte — A gigante do software disse que os atacantes não podiam modificar códigos, produtos ou e-mails e não usavam produtos da Microsoft para atacar outras vítimas. A essa altura, acredita-se que os ataques “começaram desde outubro de 2019… quando hackers invadiram a empresa do Texas SolarWinds.”

5 de janeiro de 2021 Declaração conjunta do FBI, CISA, ODNI e NSA divulgaram — O Federal Bureau of Investigations (FBI), CISA, O escritório do Diretor Nacional de Inteligência (ODNI) e a Agência Nacional de Segurança (NSA), divulgaram conjuntamente uma declaração sobre a formação do Grupo de Coordenação Unificada Cibernética, que “indica que um ator de ameaça persistente avançada(APT),provavelmente de origem russa, é responsável pela maioria ou em todos os cybers de compromisso recentemente descobertos e contínuos de ambas as redes governamentais e não governamentais. Neste momento, acreditamos que isso foi, e continua sendo, um esforço de coleta de informações.”

6 de janeiro de 2021 CISA emite orientação suplementar — a orientação suplementar da CISA exigiu que as agências governamentais dos EUA que executava versões afetadas da análise forense da condução da SolarWinds Orion; aqueles que aceitam o risco de executar o software cumprem certos requisitos de endurecimento e novos requisitos de relatórios por agência de CIOs de nível de departamento. Os prazos para os relatórios do CIO da agência foram terça-feira, 19 de janeiro, e segunda-feira, 25 de janeiro de 2021.

27 de janeiro de 2021 A CISA lança um relatório sobreo Supernova , o malware “que foi implantado usando uma vulnerabilidade na Plataforma Orion e depois que a Plataforma Orion foi instalada”.

29 de janeiro de 2021 A SolarWinds emite um aviso tanto para sunburst quanto para Supernova.

19 de fevereiro de 2021 A administração Biden declara intenção de punir a Rússia pelo ataque ao SolarWinds — Jake Sullivan, conselheiro de segurança nacional, disse a Christiane Amanpour, da CNN, que o governo do presidente Joe Biden analisaria uma “ampla gama de respostas” após uma investigação para identificar ainda mais as identidades dos agressores.

23 de fevereiro de 2021 Primeiro Congresso hearing — Microsoft e FireEye testemunharam perante o Comitê de Inteligência do Senado sobre os ataques solarwinds. Uma transcrição e um vídeo da audiência estão disponíveis no C-Span. O presidente da Microsoft, Brad Smith, disse que seus “pesquisadores acreditavam que pelo menos 1.000 engenheiros muito qualificados e muito capazes trabalharam no hack solarwinds. Este é o maior e mais sofisticado tipo de operação que já vimos”, disse Smith aos senadores. Todos defenderam suas próprias ações antes e depois dos ataques, e todos os dedos apontavam para a Rússia como o atacante.

26 de fevereiro de 2021 Segundo Congresso hearing – O Comitê de Supervisão e Reforma da Câmara dos Eua e o Comitê de Segurança Interna da Câmara realizaram uma audiência conjunta “examinando incidentes recentes de cibersegurança que afetam redes governamentais e do setor privado, incluindo o ataque da cadeia de suprimentos visando o SolarWinds Orion Software e outros ataques cibernéticos. Em 17 de dezembro, os Comitês iniciaram uma investigação sobre os ataques cibernéticos. Em 18 de dezembro, o Grupo de Coordenação Unificada forneceu um briefing de membro classificado por telefone sobre os ataques.”

24 de fevereiro de 2021 SolarWinds emite um FAQ: Security Advisory. Este aviso ofereceu mais orientações aos clientes da SolarWinds sobre como dizer se eles foram afetados, quais medidas tomar e respostas para perguntas relacionadas.

15 de março de 2021 Um porta-voz da Assessoria de Imprensa nacional do FBI respondeu “sem comentários” às perguntas do CSOonline.com sobre o status atual dos ataques do SolarWinds, afirmando que “a investigação está em andamento”.

28 de março de 2020 Relatórios afirmam QUE o DHS, os e-mails dos líderes de segurança cibernética comprometidos — A Associated Press informou que os hackers da SolarWinds “obtiveram acesso a contas de e-mail pertencentes ao chefe do Departamento de Segurança Interna do governo Trump e membros da equipe de segurança cibernética do departamento cujos trabalhos incluíam ameaças de caça de países estrangeiros”.

E agora? O que vem depois?

Enquanto o país e o mundo esperam pela medida final dos custos e escala do ataque solarwinds, é claro para todos que o impacto continua.

“Há uma infinidade de razões pelas quais ainda poderia haver sistemas vulneráveis lá fora ou com os sistemas vulneráveis corrigidos um invasor poderia ter pivotado e mantido persistência sem que a empresa soubesse. Alguns clientes da SolarWinds ainda podem não saber que têm SolarWinds em sua rede. Talvez o pessoal que o instalou não esteja mais empregado lá ou talvez o pessoal-chave não tenha ouvido a notícia ou a empresa não tenha as ferramentas para detectá-la”, alerta Amanda Berlin, consultora de segurança e coautora do Manual de Segurança Defensiva. “Tantos ambientes têm visibilidade limitada do que está acontecendo que talvez nunca saibam até que algo dê errado.”

De qualquer forma, as implicações futuras são consideradas sombrias se as lições aprendidas com isso não forem tomadas.

“Do ponto de vista de longo prazo, as empresas não só devem garantir que tenham um programa de prevenção de exfiltração de dados, assumindo que todas as outras defesas falhem, mas também busquem desenvolver uma ‘cadeia de mortes cibernéticas’ para compromissos na cadeia de suprimentos, criando o maior número de oportunidades possíveis para prevenir, interromper ou pelo menos detectá-las rapidamente”, disse Parizo, analista da Omdia.

“Isso deve incluir práticas recomendadas de gerenciamento de riscos de software, como o C-SCRM (Cyber Supply Chain Management) da NIST,e o estabelecimento de um conjunto básico de requisitos de segurança de software que devem ser cumpridos por qualquer fornecedor de software antes de uma compra”, acrescentou Parizo.

FONTE: CSO ONLINE

Previous post O ransomware BlackKingdom ainda explora servidores inseguros do Exchange
Next post Entenda como hackers obtiveram telefones de usuários do Facebook e descubra se seus dados vazaram

Deixe um comentário