Ataques em cadeia: o que sabemos sobre o ataque à SolarWinds e o porquê da sua importância

Ataques em cadeia: o que sabemos sobre o ataque à SolarWinds e o porquê da sua importância

A expressão ‘sem precedentes’ foi amplamente utilizada no último ano – o que é facilmente explicado pelo sério impacto da COVID-19 nos vários países e negócios de todo o mundo. A par da pandemia, assistimos ainda à volatilidade das eleições norte-americanas e à saída dos britânicos da UE. Para juntar à disrupção, 2020 foi ainda palco da descoberta de um ciberataque verdadeiramente inédito no que respeita a sua sofisticação e escala

A 8 de dezembro de 2020, a empresa de cibersegurança FireEye revelou à imprensa ter sido atacada por um grupo APT (sigla para “advanced persistent threat”) que conseguiu roubar algumas das suas ferramentas de análise de cibersegurança, as chamadas “white hat”. Nos dias que se seguiram, a Microsoft, a SolarWinds e até o governo norte-americano revelaram ter experienciado falhas que foram depois rastreadas de volta a um hack que teve como alvo o software de gestão central da SolarWinds. O grupo APT tinha adicionado um backdoor conhecido por ‘Sunburst’ ao sistema Orion da SolarWinds, que foi depois distribuído pelos clientes da SolarWinds a nível global, escondido no que parecia ser uma atualização rotineira de software. Este backdoor dava acesso às redes de milhares de clientes da SolarWinds, permitindo que o grupo malicioso as explorasse mesmo debaixo dos radares de segurança das próprias organizações.

Em cooperação total, a SolarWinds partilhou os documentos que revelavam as 18 mil organizações clientes que tinham feito download da atualização comprometida do software da Orion, nas quais se incluíam centenas de empresas da Fortune 500. Contudo, enquanto o ataque em si afetou milhares de empresas nos Estados Unidos, Europa, Ásia e Médio Oriente, os atacantes pareceram especialmente focados em empresas líderes de tecnologia, agências governamentais e consultorias. Entre as vítimas estavam vários departamentos estatais dos EUA, desde Segurança Interna à Tesouraria, e mais de 100 empresas privadas, como a Intel, Cisco, Microsoft e a Belkin.

Surgiram ainda relatórios recentes que davam conta de que o grupo ATP responsável envolvia hackers russos que lançaram o seu ataque a partir dos Estados Unidos para cobrir o rasto e complicar a investigação das suas atividades. Mais de dois meses depois do incidente, numa conferência de imprensa, o conselheiro adjunto de segurança nacional dos EUA explicou que os investigadores estavam ainda numa “fase inicial” do processo de total compreensão da dimensão e escala do ataque. O presidente da Microsoft, Brad Smith, veio também a público: descreveu o hack como o “maior e mais sofisticado ciberataque de sempre.”

Perceber o ataque

Como foi, então, construído e executado o ataque? O que atualmente sabemos demonstra que envolveu capacidades cibernéticas de topo e deve ter exigido meses, se não anos, de desenvolvimento. Como as redes da SolarWinds foram primeiramente acedidas ainda está por descobrir, mas a teoria dominante defende que a fase inicial envolveu um ataque às contas Office 365 da empresa. Isto permitiu que os agentes maliciosos adquirissem acesso à rede interna da SolarWinds e que depois se movessem lateralmente em direção à cloud com o objetivo de roubar ficheiros sensíveis e credenciais. Poderiam, então, forjar um token para uma conta altamente privilegiada no Azure Active Directory e, assim, obter privilégios de administrador utilizando as credenciais roubadas.

O que faz o hack da SolarWinds particularmente perigoso é o facto de se ter aproveitado de serviços cloud para orquestrar um ataque em cadeia. Como os acessos a esses serviços foram obtidos via sistemas de autenticação baseados em redes já comprometidas, os atacantes foram capazes de fragilizar a segurança das empresas sem fazer soar qualquer alarme. A atual tendência de migração de dados para a cloud e a transformação digital a que se tem assistido tem por base inúmeros negócios que adotaram uma abordagem híbrida que combina redes cloud e redes locais. O ataque da SolarWinds foi delineado para explorar perfeitamente este vetor, o que significa que há um número gigante de empresas potencialmente vulneráveis. A verdade é que este tipo de ataques multi-vetor de quinta geração, de atuação rápida e em larga escala já constavam das previsões de há dois anos e têm, de facto, atingido as empresas a nível global mais frequentemente que nunca.

Construir barreiras de segurança mais fortes

Ataques em cadeia como o da SolarWinds põem às claras o perigo que estas ameaças desconhecidas podem representar quando ninguém está a par da falha que está a ser explorada, à exceção dos próprios atacantes. Para prevenir futuros ataques, as organizações devem garantir a implementação de práticas básicas de segurança de proteção de endpoints, bem como segurança ao nível do e-mail, acessos menos privilegiados e segmentação de rede ao longo de toda a infraestrutura para dificultar ao máximo a intrusão maliciosa e o acesso mal-intencionado a recursos críticos.

É também importante que se recorra a uma defesa em profundidade, que assegure que múltiplas proteções trabalham em harmonia no sentido de identificar e prevenir diferentes vetores de ataque em tempo-real, como, por exemplo, o bloqueio do tráfego de comando e controlo e da exploração de elementos vulneráveis. É fundamental que as organizações tenham visibilidade holística e proteções automatizadas em todo o ambiente corporativo, incluindo as redes locais, SDN e serviços cloud públicos. Uma cadeia é tanto mais forte quanto o seu elo mais fraco – e se as organizações não conseguem identificar quando um dos seus elos mais fracos está a ser visado, então arriscam-se a ser vítimas do próximo ataque.

Tags

NOTÍCIAS RELACIONADAS

RECOMENDADO PELOS LEITORES

REVISTA DIGITAL

IT INSIGHT Nº 48 Março 2024

IT INSIGHT Nº 48 Março 2024

NEWSLETTER

Receba todas as novidades na sua caixa de correio!

O nosso website usa cookies para garantir uma melhor experiência de utilização.