Veja como os hackers solarwinds ficaram indetectáveis por tempo suficiente

Views: 35
0 0
Read Time:3 Minute, 27 Second
solarwinds hack

A Microsoft compartilhou na quarta-feira mais detalhes sobre as táticas, técnicas e procedimentos (TTPs) adotados pelos invasores por trás do hack solarWinds para ficar sob o radar e evitar a detecção, já que as empresas de cibersegurança trabalham para obter uma “imagem mais clara” de um dos ataques mais sofisticados da história recente.

Chamando o ator de ameaça de “operadores habilidosos e metódicos que seguem as melhores práticas de segurança de operações (OpSec)”, a empresa disse que os atacantes se esforçaram para garantir que o backdoor inicial(Sunburst aka Solorigate) e os implantes pós-compromisso(Teardrop e Raindrop) sejam separados o máximo possível para dificultar os esforços para detectar sua atividade maliciosa.

“Os atacantes por trás da Solorigate são operadores de campanha qualificados que planejaram e executaram cuidadosamente o ataque, mantendo-se esquivos enquanto mantêm a persistência”, disserampesquisadores da Equipe de Pesquisa do Microsoft 365 Defender, do Microsoft Threat Intelligence Center (MSTIC) e do Microsoft Cyber Defense Operations Center (CDOC).

Enquanto a identidade exata do grupo rastreado como StellarParticle (CrowdStrike), UNC2452 (FireEye), SolarStorm (Palo Alto Unit 42) e Dark Halo (Volexity) permanece desconhecida ainda, o governo dos EUA no início deste mês vinculou formalmente a campanha de espionagem a um grupo provavelmente de origem russa.

Uma variedade de táticas para ficar sem ser detectado

linha do tempo dos ataques da Microsoft mostra que o backdoor Sunburst DLL totalmente funcional foi compilado e implantado na plataforma Orion da SolarWinds em 20 de fevereiro, após o qual foi distribuído na forma de atualizações adulteradas em algum momento no final de março.

solarwinds hack

Um período de reconhecimento de quase dois meses para traçar o perfil de seus alvos — algo que requer uma persistência furtiva para permanecer sem ser detectado e coletar informações valiosas — finalmente abriu caminho para a implantação de implantes Cobalt Strike em redes de vítimas selecionadas em maio e a remoção do Sunburst do ambiente de construção do SolarWinds em 4 de junho.

Mas as respostas sobre como e quando a transição de Sunburst para Raindrop ocorre rendeu poucas pistas definitivas, mesmo que pareça que os atacantes deliberadamente separaram a execução do carregador Cobalt Strike do processo SolarWinds como uma medida OpSec.

solarwinds hack

A ideia é que, caso os implantes cobalto strike fossem descobertos em redes de alvos, ele não revelaria o binário SolarWinds comprometido e o ataque da cadeia de suprimentos que levou à sua implantação em primeiro lugar.

As descobertas também deixam claro que, enquanto os hackers confiavam em uma série de vetores de ataque, o software do SolarWinds trojanizado formou o núcleo da operação de espionagem:

  • Evitar indicadores compartilhados de cada host comprometido, implantando implantes personalizados do Cobalt Strike DLL em cada sistema
  • Camuflagem de ferramentas e binários maliciosos para imitar arquivos e programas existentes já presentes na máquina comprometida
  • Desabilitando o registro de eventos usando auditpol antes da atividade do teclado prático e habilitando-o de volta uma vez concluído
  • Criando regras especiais de firewall para minimizar pacotes de saída para certos protocolos antes de executar atividades de enumeração de rede ruivas que foram posteriormente removidas após a pesquisa de rede
  • Execução de atividades de movimento lateral somente após desativar serviços de segurança em hosts direcionados
  • Supostamente usando carimbo de tempo para alterar os carimbos de tempo dos artefatos e aproveitando procedimentos e ferramentas de limpeza para evitar a descoberta de implantes DLL maliciosos

Adotando uma mentalidade de confiança zero

“Esse ataque foi simultaneamente sofisticado e comum”, disse a Microsoft. “O ator demonstrou sofisticação na amplitude das táticas usadas para penetrar, expandir e persistir na infraestrutura afetada, mas muitas das táticas, técnicas e procedimentos (TTPs) eram individualmente comuns.”

Para proteger contra tais ataques no futuro, a empresa recomenda que as organizações adotem uma “mentalidade de confiança zero” para obter acesso menos privilegiado e minimizar riscos, permitindo a autenticação de vários fatores.

“Com o Solorigate, os invasores aproveitaram-se de atribuições amplas de papéis, permissões que excederam os requisitos de função e, em alguns casos, abandonaram contas e aplicativos que não deveriam ter permissões”, disse Alex Weinert, diretor de segurança de identidade da Microsoft.

FONTE: THE HACKER NEWS

Previous post 15 projetos de código aberto do GitHub para profissionais de segurança
Next post Por trás do Grande Firewall: ciber-espionagem chinesa se adapta ao mundo pós-Covid com ataques furtivos

Deixe uma resposta

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *