More

    Hack da SolarWinds que violar redes governamentais representa um “grave risco” para a nação


    O ataque à cadeia de suprimentos costumava violar agências federais e pelo menos uma empresa privada representa um “risco grave” para os Estados Unidos, em parte porque os invasores provavelmente usaram outros meios além da porta dos fundos da SolarWinds para penetrar em redes de interesse, disseram autoridades federais em Quinta. Uma dessas redes pertence à Administração Nacional de Segurança Nuclear, responsável pelos laboratórios de Los Alamos e Sandia, segundo relatório do Politico.

    “Este adversário demonstrou capacidade de explorar cadeias de suprimentos de software e mostrou conhecimento significativo das redes Windows”, escreveram em um alerta funcionários da Cybersecurity Infrastructure and Security Agency. “É provável que o adversário tenha vetores e táticas, técnicas e procedimentos (TTPs) de acesso inicial adicionais que ainda não foram descobertos.” CISA, como a agência é abreviada, é um braço do Departamento de Segurança Interna.

    Em outro lugar, as autoridades escreveram: “A CISA determinou que esta ameaça representa um grave risco para o Governo Federal e governos estaduais, locais, tribais e territoriais, bem como entidades de infraestrutura crítica e outras organizações do setor privado.”

    Enquanto isso, a Reuters relatou que os invasores violaram um grande fornecedor de tecnologia separado e usaram o compromisso para atingir alvos finais de alto valor. Os serviços de notícias citaram duas pessoas informadas sobre o assunto.

    Os atacantes, que a CISA disse que começaram suas operações no máximo em março, conseguiram permanecer sem serem detectados até a semana passada, quando a empresa de segurança FireEye relatou que hackers apoiados por um Estado-nação haviam penetrado profundamente em sua rede. No início desta semana, a FireEye disse que os hackers estavam infectando alvos usando o Orion, uma ferramenta de gerenciamento de rede amplamente usada da SolarWinds. Depois de assumir o controle do mecanismo de atualização do Orion, os invasores o usaram para instalar um backdoor que os pesquisadores da FireEye estão chamando de Sunburst.

    Domingo também foi quando vários veículos de notícias, citando pessoas não identificadas, relataram que os hackers usaram a porta dos fundos em Orion para violar redes pertencentes aos Departamentos de Comércio, Tesouro e possivelmente outras agências. O Departamento de Segurança Interna e os Institutos Nacionais de Saúde foram posteriormente adicionados à lista.

    Avaliação sombria

    O alerta da CISA de quinta-feira forneceu uma avaliação anormalmente sombria do hack; a ameaça que representa para agências governamentais nos níveis nacional, estadual e local; e a habilidade, persistência e tempo que serão necessários para expulsar os invasores de redes que eles penetraram por meses sem serem detectados.

    “Este ator da APT demonstrou paciência, segurança operacional e habilidade comercial complexa nessas intrusões”, escreveram autoridades no alerta de quinta-feira. “A CISA espera que a remoção desse ator de ameaça de ambientes comprometidos seja altamente complexa e desafiadora para as organizações.”

    Os funcionários passaram a fornecer outra avaliação desanimadora: “A CISA tem evidências de vetores de acesso inicial adicionais, além da plataforma SolarWinds Orion; no entanto, eles ainda estão sendo investigados. A CISA atualizará este Alerta assim que novas informações forem disponibilizadas. ”

    O comunicado não disse quais poderiam ser os vetores adicionais, mas os oficiais continuaram observando a habilidade necessária para infectar a plataforma de compilação de software SolarWinds, distribuir backdoors para 18.000 clientes e, então, permanecer sem ser detectado em redes infectadas por meses.

    “Este adversário demonstrou capacidade de explorar cadeias de suprimentos de software e mostrou conhecimento significativo de redes Windows”, escreveram eles. “É provável que o adversário tenha vetores e táticas, técnicas e procedimentos de acesso inicial adicionais que ainda não foram descobertos.”

    Entre as muitas agências federais que usaram o SolarWinds Orion, supostamente, estava a Receita Federal. Na quinta-feira, o membro do Comitê de Finanças do Senado, Ron Wyden (D-Ore.) E o presidente do Comitê de Finanças do Senado, Chuck Grassley (R-Iowa), enviaram uma carta ao comissário do IRS, Chuck Rettig, pedindo que ele fornecesse um briefing sobre se os dados do contribuinte foram comprometidos.

    Eles escreveram:

    O IRS parece ter sido um cliente da SolarWinds recentemente em 2017. Dada a extrema sensibilidade das informações pessoais do contribuinte confiadas ao IRS e os danos tanto à privacidade dos americanos quanto à nossa segurança nacional que poderiam resultar do roubo e exploração deste dados por nossos adversários, é fundamental que entendamos até que ponto o IRS pode ter sido comprometido. Também é fundamental que entendamos quais ações o IRS está tomando para mitigar qualquer dano potencial, garantir que os hackers ainda não tenham acesso aos sistemas internos do IRS e evitar futuras invasões de dados do contribuinte.

    Os representantes do IRS não retornaram imediatamente um telefonema pedindo comentários para esta postagem.

    O alerta da CISA disse que as principais conclusões de sua investigação até agora são:

    • Este é um adversário paciente, com bons recursos e focado que sustentou atividades de longa duração nas redes das vítimas
    • O comprometimento da cadeia de suprimentos da SolarWinds Orion não é o único vetor de infecção inicial que esse ator APT alavancou
    • Nem todas as organizações que oferecem backdoor por meio do SolarWinds Orion foram almejadas pelo adversário com ações subsequentes
    • Organizações com suspeita de comprometimento precisam estar altamente conscientes da segurança operacional, incluindo ao se envolver em atividades de resposta a incidentes e planejar e implementar planos de remediação

    O que descobrimos até agora é que este é um hack extraordinário cujo alcance e efeitos completos não serão conhecidos por semanas ou mesmo meses. Sapatos adicionais tendem a cair cedo e com frequência.


    Artigos Recentes

    Carga rápida: a maior competição do Galaxy S21 não é o que você pensa

    Já se passou mais de uma semana desde que a Samsung revelou o Galaxy S21 e o Galaxy S21 Ultra e eu passei...

    Os benefícios do assinante Spotify Premium não se aplicam a podcasts

    Uma das propostas principais do Spotify Premium é a capacidade de ouvir música ilimitada sem interrupção comercial. No entanto, se você espera...

    As lutas de transformação da IBM continuam com a receita de nuvem e IA caindo 4,5%

    Há alguns meses, na conferência Transform da CNBC, o CEO da IBM, Arvind Krishna, pintou o quadro de uma empresa em meio a...

    AirPods x AirPods Max

    A Apple já percorreu um longo caminho desde que incluiu pela primeira vez seus fones de ouvido redondos tradicionais na caixa do iPod...

    Artigos Relacionados

    DEIXE UMA RESPOSTA

    Por favor digite seu comentário!
    Por favor, digite seu nome aqui