Enquanto os pesquisadores de segurança cibernética continuam a juntar as peças do amplo ataque à cadeia de suprimentos da SolarWinds , os principais executivos da empresa de serviços de software com sede no Texas culparam um estagiário por um lapso de senha crítica que passou despercebido por vários anos.
A dita senha ” solarwinds123 ” foi originalmente considerada acessível publicamente por meio de um repositório GitHub desde 17 de junho de 2018, antes que o erro de configuração fosse corrigido em 22 de novembro de 2019.
Mas em uma audiência perante os Comitês da Câmara sobre Supervisão e Reforma e Segurança Interna da SolarWinds na sexta-feira, o CEO Sudhakar Ramakrishna testemunhou que a senha já estava em uso em 2017.
Embora uma investigação preliminar sobre o ataque tenha revelado que os operadores por trás da campanha de espionagem conseguiram comprometer a construção do software e a infraestrutura de assinatura de código da plataforma SolarWinds Orion já em outubro de 2019 para entregar o backdoor Sunburst, os esforços de resposta a incidentes de Crowdstrike apontaram para um cronograma revisado que estabeleceu a primeira violação da rede SolarWinds em 4 de setembro de 2019.
- Whatsapp gb atualizado 2021 – Pode comprometer a segurança do celular?
Até o momento, pelo menos nove agências governamentais e 100 empresas do setor privado foram violadas no que está sendo descrito como uma das operações mais sofisticadas e bem planejadas que envolveu a injeção do implante malicioso na plataforma de software Orion com o objetivo de comprometer seus clientes.
“Um erro que um estagiário cometeu.”
“Eu tenho uma senha mais forte do que ‘solarwinds123’ para impedir que meus filhos assistam muito ao YouTube em seu iPad”, disse a representante Katie Porter, da Califórnia. “Você e sua empresa deveriam estar impedindo os russos de lerem os e-mails do Departamento de Defesa.”
“Acredito que foi uma senha que um estagiário usou em um de seus servidores em 2017, que foi relatada à nossa equipe de segurança e foi imediatamente removida”, disse Ramakrishna em resposta a Porter.
O ex-CEO Kevin Thompson ecoou a declaração de Ramakrishna durante o depoimento. “Isso está relacionado a um erro que um estagiário cometeu, e ele violou nossas políticas de senha e postou essa senha em sua conta privada do GitHub”, disse Thompson. “Assim que foi identificado e levado ao conhecimento da minha equipe de segurança, eles o retiraram.”
O pesquisador de segurança Vinoth Kumar revelou em dezembro que notificou a empresa de um repositório GitHub acessível ao público que estava vazando as credenciais de FTP do site de download da empresa de forma clara, acrescentando que um hacker poderia usar as credenciais para fazer upload de um executável malicioso e adicioná-lo a um Atualização SolarWinds.
Nas semanas seguintes à revelação, a SolarWinds foi atingida por uma ação coletiva em janeiro de 2021 que alegava que a empresa não divulgou que “desde meados de 2020, os produtos de monitoramento SolarWinds Orion tinham uma vulnerabilidade que permitia que os hackers comprometessem o servidor no qual o produtos funcionavam “, e que” o servidor de atualização da SolarWinds tinha uma senha facilmente acessível de ‘solarwinds123’, “como resultado da qual a empresa” sofreria danos significativos à reputação “.
NASA e FAA também têm como alvo
Acredita-se que até 18.000 clientes da SolarWinds tenham recebido a atualização do Orion trojanizado, embora o ator da ameaça por trás da operação tenha escolhido cuidadosamente seus alvos , optando por escalar os ataques apenas em alguns casos, implantando malware Teardrop com base na inteligência acumulada durante um reconhecimento inicial do ambiente de destino para contas e ativos de alto valor.
Além de se infiltrar nas redes da Microsoft, FireEye, Malwarebytes, CrowdStrike e Mimecast, os invasores também teriam usado SolarWinds como ponto de partida para penetrar na Administração Nacional de Aeronáutica e Espaço (NSA) e na Administração Federal de Aviação (FAA) , de acordo com o Washington Post.
As outras sete agências violadas são os Departamentos de Estado, Justiça, Comércio, Segurança Interna, Energia, Tesouro e os Institutos Nacionais de Saúde.
“Além dessa estimativa, identificamos outras vítimas do governo e do setor privado em outros países e acreditamos que é altamente provável que ainda existam outras vítimas ainda não identificadas, talvez especialmente em regiões onde a migração da nuvem não está tão avançada quanto estava está nos Estados Unidos “, disse o presidente da Microsoft, Brad Smith, durante a audiência.
O grupo de ameaça, supostamente de origem russa , está sendo rastreado com diferentes nomes, incluindo UNC2452 (FireEye), SolarStorm (Palo Alto Unit 42), StellarParticle (CrowdStrike) e Dark Halo (Volexity).
“Os hackers lançaram o hack de dentro dos Estados Unidos, o que tornou ainda mais difícil para o governo dos EUA observar suas atividades”, disse a assessora de segurança nacional, Anne Neuberger , em uma entrevista na Casa Branca no mês passado.
“Este é um ator sofisticado que fez o possível para esconder seus rastros. Acreditamos que levou meses para planejar e executar esse acordo.”
Adotando uma abordagem “segura por design”
Comparando o ataque cibernético da SolarWinds a uma “série de invasões em larga escala”, Smith enfatizou a necessidade de fortalecer as cadeias de suprimentos de software e hardware do setor de tecnologia e promover um compartilhamento mais amplo de inteligência de ameaças para respostas em tempo real durante esses incidentes.
Para esse efeito, a Microsoft abriu as consultas CodeQL de código-fonte aberto para procurar a atividade do Solorigate, que ela afirma poder ser usada por outras organizações para analisar seu código-fonte em escala e verificar indicadores de comprometimento (IoCs) e padrões de codificação associados ao ataque.
Em um desenvolvimento relacionado, pesquisadores de segurança cibernética falando ao The Wall Street Journal revelaram que os suspeitos hackers russos usaram os centros de dados de computação em nuvem da Amazon para montar uma parte importante da campanha, lançando uma nova luz sobre o escopo dos ataques e as táticas empregadas pelos grupo. A gigante da tecnologia, no entanto, até agora não divulgou publicamente seus insights sobre a atividade de hackers.
A SolarWinds, por sua vez, disse que está implementando o conhecimento adquirido com o incidente para se tornar uma empresa “segura por design” e que está implementando proteção adicional contra ameaças e software de caça a ameaças em todos os seus terminais de rede, incluindo medidas para proteger seus ambientes de desenvolvimento .