International IT
20 de abr de 20212 min
Atualizado: 6 de dez de 2023
De acordo com comunicados oficiais dos EUA e do Reino Unido, os dois países atribuíram formalmente o ataque à cadeia de suprimentos da empresa de gerenciamento de infraestrutura de TI, SolarWinds a funcionários do alto escalão do Serviço de Inteligência da Rússia (SVR).
Com isso, o governo Biden está expulsando dez membros da missão diplomática da Rússia em Washington, D.C., incluindo representantes de serviços de inteligência.
O Departamento do Tesouro dos Estados Unidos impôs sanções contra a Rússia por "minar a conduta de eleições livres e justas e instituições democráticas" nos Estados Unidos e por seu papel em facilitar o hack da SolarWinds. Em outro comunicado, o órgão de estado afirma:
O SVR colocou em risco a cadeia global de suprimentos de tecnologia ao permitir que malware fosse instalado nas máquinas de dezenas de milhares de clientes da SolarWinds.
O governo Russo, por outro lado, nega o envolvimento afirmando que não conduz operações de ataques cibernéticos.
As invasões vieram à tona em dezembro de 2020, quando a FireEye e outras empresas de segurança cibernética revelaram que os operadores por trás da campanha de espionagem conseguiram comprometer a construção do software e a infraestrutura de assinatura de código da plataforma SolarWinds Orion já em outubro de 2019 para entregar o backdoor Sunburst com o objetivo de coleta de informações confidenciais.
Acredita-se que até 18.000 clientes SolarWinds tenham recebido a atualização do Orion trojanizado.
Além de se infiltrar nas redes da Microsoft, FireEye, Malwarebytes e Mimecast, os hackers também teriam usado o SolarWinds como um trampolim para invadir várias agências dos EUA, como a National Aeronautics and Space Administration (NASA), a Federal Aviation Administration (FAA ) e os Departamentos de Estado, Justiça, Comércio, Segurança Interna, Energia e Tesouro.
O grupo russo que realizou os ataques é conhecido por diversos nomes, como APT29, Cozy Bear e The Dukes, além de outros nomes que foram rastreados por empresas de segurança, incluindo UNC2452 (FireEye), SolarStorm (Palo Alto Unit 42), StellarParticle (CrowdStrike), Dark Halo (Volexity) e Nobelium (Microsoft).
O Serviço de Inteligência Russo, conhecido como SVR, representa um risco significativo para os EUA e redes governamentais aliadas. Além de ter comprometido o software SolarWinds Orion, o SVR está explorando pelo menos outros cinco pontos de vulnerabilidades:
CVE-2018-13379 - Fortinet FortiGate VPN
CVE-2019-9670 - Synacor Zimbra Collaboration Suite
CVE-2019-11510 - Pulse Secure Pulse Connect VPN segura
CVE-2019-19781 - Controlador de entrega de aplicativos Citrix e gateway
CVE-2020-4006 - Acesso ao VMware Workspace ONE
Atualize sistemas, softwares e produtos o mais rápido possível após o lançamento dos patches.
Suponha que uma violação acontecerá; Reveja contas e use políticas de acesso modernas.
Desative gerenciamento externo de recursos e configure uma rede de gerenciamento out-of-band.
Bloqueie protocolos obsoletos e que não são mais utilizados em sua rede e desabilite-os nas configurações do dispositivo cliente.
Reduza a exposição da rede local separando os serviços voltados para a Internet em uma rede isolada.
Registre logs dos serviços que fazem interface com a Internet e habilite funções de autenticação. Busque continuamente por sinais de vulnerabilidades ou uso indevido de credenciais, especialmente em ambientes de nuvem.
Adote uma mentalidade que invasões acontecem: Tenha atividades definidas para respostas a incidentes.
VEJA TAMBÉM: NSA defende adoção de um modelo de segurança Zero Trust
Fonte: The Hacker News
Transforme seu Negócio com Tecnologia de Ponta: Agende sua Tech Demo!