Dezembro de 2020 foi um mês de tensão para várias empresas, tudo por conta de um sofisticado ataque hacker à SolarWinds. Entre as vítimas está a Microsoft: a companhia confirmou que o incidente deu aos invasores acesso a vários de seus repositórios de código-fonte.
Mas, como um ataque externo afetou a Microsoft? Convém começarmos pelo… começo. A não ser que você seja um profissional de TI, provavelmente pouco ou nunca ouviu falar da SolarWinds. Se é o seu caso, saiba que a companhia é especializada em softwares corporativos. Ela oferece, por exemplo, soluções para banco de dados, gerenciamento de redes e monitoramento de sistemas.
A SolarWinds tem centenas de clientes de grande porte. Considerando só os Estados Unidos, a companhia presta serviço para nomes como Ford, Mastercard, Visa, Procter & Gamble, Yahoo e, como você já sabe, Microsoft. Entre os clientes da SolarWinds também há órgãos governamentais.
Ainda não está claro quando o ataque teve início, até porque a ação não foi realizada em um único momento. O que se sabe é que os primeiros sinais de atividade maliciosa foram detectados em dezembro de 2020 e que milhares de empresas podem ter sido afetadas.
As investigações preliminares apontam que a SolarWinds foi vítima de um ataque à “cadeia de suprimentos” (supply chain). A operação teria sido realizada a partir da inserção de uma espécie de cavalo de troia na plataforma Orion, peça central das soluções de gerenciamento de TI da companhia.
Tudo indica que o malware foi inserido em pacotes oficiais de atualização da Orion. Em outras palavras, esses pacotes foram modificados na origem, ou seja, saíram contaminados dos servidores da SolarWinds. Há a suspeita de que, para acessar a plataforma, os hackers também burlaram um sistema de autenticação em dois fatores por meio de uma chave do Outlook Web App (OWA).
Independentemente do método explorado, o fato é que, em pouco tempo, milhares de empresas que usam soluções da SolarWinds tiveram seus sistemas comprometidos por um malware que só deu sinais de sua existência após estar profundamente infiltrado neles.
Especialistas que investigam o assunto acreditam inclusive que, após a infiltração, os invasores responsáveis tiveram tempo para mapear as redes atacadas para descobrir até onde poderiam ir sem que as atividades maliciosas fossem detectadas. Estima-se que os primeiros pacotes contaminados foram distribuídos em março, mas ainda não há certeza sobre isso.
A Microsoft não demorou a iniciar uma investigação. Em seu comunicado mais recente sobre o assunto, liberado no último dia de 2020 no Security Response Center, a companhia confirmou que o Solorigate, como o incidente foi apelidado, permitiu que os invasores tivessem acesso a vários de seus repositórios internos de código-fonte.
Basicamente, o malware permite que o invasor controle contas de usuário na Orion e, a partir daí, realize várias ações, sinaliza a Microsoft. No caso da companhia, o problema só não foi mais grave porque a conta comprometida não tinha permissão para modificar os códigos.
Isso significa que nenhum software da Microsoft foi modificado em função do ataque. “Essa atividade não pôs em risco a segurança dos nossos serviços ou de qualquer dado de clientes”, diz um trecho da nota da companhia.
De todo modo, as investigações continuam e devem durar bastante tempo. O ataque à SolarWinds foi bastante sofisticado e pode ter atingido cerca de 18 mil organizações ao redor do mundo, entre elas, pelo menos 250 agências federais dos Estados Unidos.
Ainda não é possível mensurar o tamanho do estrago ou estimar as consequências futuras. Além de encontrar respostas para isso, autoridades e empresas que investigam o ataque tentam identificar a origem dele. Por parte do governo americano, há uma forte suspeita de que a ação tenha sido conduzida pelo SVR, Serviço de Inteligência Estrangeiro da Rússia.
Com informações: Business Insider, The Verge.
Nenhum comentário:
Postar um comentário