Por John P. Desmond, editor de tendências de IA
Os hackers da SolarWinds pareciam ter como objetivo principal os serviços em nuvem, potencialmente dando a eles acesso a muitos, se não todos, os serviços baseados em nuvem de uma organização.
Isso é de uma conta em GeekWire escrito por Christopher Budd, um iconsultor de segurança independente que trabalhou anteriormente no Security Response Center da Microsoft por 10 anos.
"EuSe decodificarmos os vários relatórios e conectarmos os pontos, podemos ver que os invasores da SolarWinds têm sistemas de autenticação direcionados nas redes comprometidas, para que possam fazer login em serviços baseados em nuvem, como o Microsoft Office 365, sem disparar alarmes”, escreveu Budd. “Pior ainda, a maneira como eles estão realizando isso pode ser usada para obter acesso a muitos, se não todos, os serviços baseados em nuvem de uma organização.”
A implicação é que aqueles que avaliam o impacto dos ataques precisam olhar não apenas para seus próprios sistemas e redes, mas também para seus serviços baseados em nuvem em busca de evidências de comprometimento. E isso significa que se defender contra ataques significa aumentar a segurança e o monitoramento dos sistemas de autenticação de serviços em nuvem, “a partir de agora”.
Budd citou estas principais conclusões:
- Depois de estabelecer uma base em uma rede, os invasores da SolarWinds visam os sistemas que emitem prova de identidade usada por serviços baseados em nuvem; e roubam os meios de emissão de identidade;
- Uma vez que eles tenham essa capacidade, eles podem criar IDs falsos que permitem que eles se passem por usuários legítimos ou criem contas maliciosas que parecem legítimas, incluindo contas com acesso administrativo;
- Como os IDs são usados para fornecer acesso a dados e serviços por contas baseadas em nuvem, os invasores podem acessar dados e e-mails como se fossem usuários legítimos.
Método de autenticação SAML para serviços em nuvem vistos como direcionados
Os serviços baseados em nuvem usam um método de autenticação chamado Security Assertion Markup Language (SAML), que emite um token que é “prova” da identidade de um usuário legítimo para os serviços. Budd verificou, com base em uma série de postagens no blog da Microsoft, que o serviço SAML era o alvo. Embora esse tipo de ataque tenha sido visto pela primeira vez em 2017, “este é o primeiro grande ataque com esse tipo de ampla visibilidade que visa mecanismos de autenticação baseados em nuvem”, afirmou Budd.
Em resposta a uma pergunta que Budd fez à Microsoft, sobre se a empresa soube de alguma vulnerabilidade que levou a esse ataque, ele obteve a seguinte resposta: “Não identificamos nenhum produto da Microsoft ou vulnerabilidade de serviço em nuvem nessas investigações. Uma vez em uma rede, o invasor usa o ponto de apoio para obter privilégios e usa esse privilégio para obter acesso.”
Uma resposta da Administração de Segurança Nacional foi semelhante, dizendo que os invasores, ao “abusar da autenticação federada”, não estavam explorando nenhuma vulnerabilidade no sistema de autenticação da Microsoft, “mas sim abusando da confiança estabelecida nos componentes integrados”.
Além disso, embora o ataque SolarWinds tenha ocorrido por meio de um serviço baseado em nuvem da Microsoft, ele envolveu o padrão aberto SAML que é amplamente usado por fornecedores de serviços baseados em nuvem, não apenas pela Microsoft. “Os ataques SolarWinds e esses tipos de ataques baseados em SAML contra serviços em nuvem no futuro podem envolver provedores de SAML que não são da Microsoft e provedores de serviços em nuvem”, afirmou Budd.
Inteligência americana vê ataque originado com Cozy Bear da Rússia
Autoridades de inteligência americanas acreditam que o ataque se originou da Rússia. Especificamente, de acordo com um relatório da The Economist, o grupo de atacantes conhecido como Cozy Bear, que se acredita ser parte do serviço de inteligência da Rússia, foram os responsáveis. “Parece ser um dos maiores atos de espionagem digital de todos os tempos contra a América”, afirmou a conta.
O ataque demonstrou “tradecraft operacional de primeira linha”, de acordo com a FireEye, uma empresa de segurança cibernética que também foi vítima.
Os Estados Unidos tendem a categorizar e responder a ataques cibernéticos ocorridos na última década de acordo com os objetivos dos invasores. Considerou intrusões destinadas a roubar segredos-espionagem à moda antiga-Mas ataques com intenção de causar danos, como o ataque da Coreia do Norte à Sony Pictures em 2014, ou o roubo de segredos industriais pela China, são vistos como ultrapassando os limites, sugeriu a conta . Assim, sanções foram impostas a muitos hackers russos, chineses, norte-coreanos e iranianos.
O ataque Solar Winds parece ter criado sua própria categoria. “Esse esforço para imprimir normas em uma arena secreta e caótica de competição não teve sucesso”, disse o Economista conta indicada. “A linha entre espionagem e subversão é tênue.”
Um observador vê que a América se tornou menos tolerante com “o que é permitido no ciberespaço” desde o hack do Officer of Personnel Management (OPM) em 2015. Esse hack violou as redes OPM e expôs os registros de 22.1 milhões relacionados a funcionários do governo, outros que tinha passado por verificações de antecedentes, e amigos e familiares. Hackers patrocinados pelo Estado trabalhando em nome do governo chinês foram considerados responsáveis.
“Essa espionagem em grande escala “estaria agora no topo da lista de operações que eles considerariam inaceitáveis”, afirmou Max Smeets, do Centro de Estudos de Segurança em Zurique.
Software “On-Prem” visto como mais arriscado
O produto SolarWinds Orion é instalado “on-prem”, o que significa que é instalado e executado em computadores nas instalações da organização usando o software. Esses produtos trazem riscos de segurança que a liderança de TI precisa avaliar, sugeriu um relato recente em eSemana.
Os invasores da SolarWinds aparentemente usaram um patch de software comprometido para entrar, sugeriu William White, diretor de segurança e TI da BigPanda, que oferece software de IA para detectar e analisar problemas em sistemas de TI. “Com o software local, muitas vezes você precisa conceder permissões elevadas ou contas altamente privilegiadas para que o software seja executado, o que cria riscos”, afirmou.
Como o ataque SolarWinds aparentemente foi executado por meio de um patch de software, “Ironicamente, os clientes SolarWinds mais expostos foram os que foram realmente diligentes na instalação dos patches Orion”, afirmou White.
Leia os artigos de origem em GeekWire, da The Economist e in eSemana.
