Como saber se você é uma vítima do SolarWinds SUNBURST?

Se um invasor implantar malware no seu ambiente por meio de um sistema Orion comprometido, ele provavelmente usará o escalonamento de privilégios para começar a explorar as ações que pode realizar. Fique de olho no sistema Orion afetado, ou outros sistemas que se comunicaram com ele, em busca de comportamentos como: Modificação das tarefas do sistema Padrão de ação de criação, execução e exclusão de diretório Contas de usuários locais recém-criadas ou desconhecidas Existência ou evidência de uso do Adfind.exe Sinais de arquivos cmd.exe ou rundll32.exe gerados a partir de solarwinds.businesslayerhost.exe Saiba mais .

O que fazer se sua plataforma SolarWinds Orion estiver comprometida?

Se você estiver usando uma versão comprometida da plataforma Orion: Isole, desconecte ou desligue imediatamente os sistemas infectados Revise os registros para identificar a atividade de comando e controle ou movimentação lateral dos sistemas infectados Redefina todas as credenciais utilizadas pelo SolarWinds Orion e serviços associados Atualize o Orion para a versão mais recente de acordo com este comunicado Determine se você está executando algum outro produto da SolarWinds afetado listado no comunicado Saiba mais .

Práticas recomendadas para proteger sua organização contra o ataque à SolarWinds

Para reduzir os riscos tanto quanto possível, a Zscaler recomenda seguir estas etapas: Elimine sua superfície de ataque voltada para a internet, interrompa a movimentação lateral e bloqueie o C2 com uma arquitetura zero trust . Ative a inspeção completa de TLS/SSL e a prevenção avançada de ameaças no tráfego de cargas de trabalho para a internet. Execute uma sandbox de nuvem integrada para identificar e interromper ameaças desconhecidas. Aplique proteções para o tráfego de C2 conhecido com atualizações contínuas à medida que surgem novos destinos. Limite o impacto da movimentação lateral com a microssegmentação baseada na identidade para cargas de trabalho na nuvem. Escolha fornecedores que possam atestar os mais altos níveis de confidencialidade, integridade e disponibilidade.

Zpedia

/ O que é o ataque cibernético à SolarWinds?

O que é o ataque cibernético à SolarWinds?

Q: O que é o ataque cibernético à SolarWinds?

O ataque cibernético à SolarWinds foi um ataque à cadeia de suprimentos de software que envolveu a plataforma SolarWinds Orion em que um adversário de um estado-nação russo obteve acesso aos sistemas da SolarWinds e implantou atualizações com trojan ao software Orion. Por sua vez, isso permitiu aos criminosos instalar malware furtivo nas redes dos clientes da SolarWinds. O ataque à SolarWinds foi divulgado por várias empresas de segurança cibernética em conjunto com a Agência de Segurança Cibernética e Infraestrutura ( CISA ) dos EUA em dezembro de 2020. Saiba mais .

O ataque cibernético SolarWinds foi um ataque à cadeia de suprimentos de software que envolveu a plataforma SolarWinds Orion em que um adversário de um estado-nação russo obteve acesso aos sistemas da SolarWinds e implantou atualizações infectadas por trojan no software Orion. Por sua vez, isso permitiu aos criminosos instalar malware furtivo nas redes dos clientes da SolarWinds. O ataque à SolarWinds foi divulgado por várias empresas de segurança cibernética, em conjunto com a Agência de Segurança Cibernética e Infraestrutura (CISA) dos EUA, em dezembro de 2020.

O que você precisa saber sobre os ataques cibernéticos à SolarWinds

Zero Trust Proteção contra ameaças cibernéticas

O que é a SolarWinds?
Como funciona o ataque
Você foi atacado?
Práticas recomendadas
A Zscaler pode ajudar
Recursos sugeridos
Tópicos relacionados

O que é a SolarWinds?

A SolarWinds é uma empresa com sede no Texas que fornece soluções de software para gerenciamento da infraestrutura de tecnologia da informação (TI), permitindo que as organizações monitorem e gerenciem o desempenho dos seus ambientes de TI.

A SolarWinds Orion, uma plataforma de monitoramento e gerenciamento de infraestrutura de rede amplamente utilizada, foi projetada para oferecer aos clientes visibilidade das redes de vários fornecedores para que possam identificar e solucionar problemas. A Orion tem mais de 33 mil clientes, incluindo grandes empresas do setor privado e agências governamentais. Acredita-se que o ataque em questão tenha afetado aproximadamente 18 mil desses clientes — bem mais da metade.

No dia seguinte à divulgação da violação da SolarWinds, a Forbes informou que os ataques poderiam atingir o cerne do aparato de segurança dos Estados Unidos: “De acordo com uma análise de registros públicos, a gama de clientes do governo dos EUA que já compraram o SolarWinds Orion é vasta. O Pentágono é seu maior cliente, sendo o Exército e a Marinha grandes usuários. O Departamento de Assuntos de Veteranos... os Institutos Nacionais de Saúde, o Departamento de Energia, o DHS e o FBI também estão entre os muitos órgãos do governo dos EUA que já compraram a ferramenta.”

Depoimento

Não foram bombas como no ataque a Pearl Harbor, mas esse ataque às nossas agências nacionais e às empresas americanas da Fortune 500 pode ser ainda mais prejudicial à nossa segurança nacional e à prosperidade dos nossos negócios.

Steven J. Vaughan-Nichols, ZD-Net, 4 de janeiro de 2021

SolarWinds: quanto mais sabemos, pior parece

Como funcionou o ataque cibernético à SolarWinds?

O ataque, que ficou conhecido como SUNBURST nas comunicações da SolarWinds, afetou as versões 2019.4 a 2020.2.1 do Orion, lançadas entre março e junho de 2020.

Para realizar o ataque, os hackers modificaram um plug-in da plataforma Orion distribuído como parte de suas atualizações. Assinado digitalmente pela SolarWinds, ele contém uma backdoor que se comunica com servidores de terceiros sob controle dos criminosos. Depois de estabelecer uma base nas organizações afetadas, os criminosos podiam roubar dados, implantar códigos maliciosos ou interromper os negócios.

O ataque foi obra de um adversário sofisticado com profundo conhecimento sobre segurança operacional. Com base em dados publicamente disponíveis, esse adversário demonstrou um esforço significativo para evitar sua detecção, incluindo ofuscação de código e técnicas de limpeza, como esteganografia, técnicas de impressão digital para identificar sistemas visados e sistemas de análise, infraestrutura rotativa com foco na proximidade geográfica e execução de código em memória tanto quanto possível.

Essas técnicas, em conjunto com o uso de um componente assinado digitalmente de uma plataforma de software confiável como vetor de infecção inicial, indicam se tratar de um adversário altamente qualificado e disfarçado, disposto a gastar recursos para garantir o sucesso de sua operação.

Resposta dos EUA e sanções após o ataque

O ataque afetou várias agências de alto nível do governo federal dos EUA, incluindo o Departamento de Justiça (DOJ), o Departamento de Segurança Interna (DHS) e o Departamento do Tesouro, entre outros. Ele expôs os ambientes de e-mail do Microsoft 365 de várias agências federais, constituindo um “grande incidente” que justificou uma resposta defensiva.

Uma declaração da Casa Branca em abril de 2021 afirmou que o governo Biden “imporia custos à Rússia por ações de seu governo e serviços de inteligência contra a soberania e os interesses dos EUA”. Essas ações visaram órgãos do governo, comércio e inteligência russos, incluindo a expulsão de representantes diplomáticos dos serviços de inteligência russos nos EUA.

A mesma declaração nomeou formalmente o Serviço de Inteligência Estrangeira da Rússia (SVR) como autor do ataque. A CISA, o Departamento Federal de Investigação (FBI) e a Agência Nacional de Segurança (NSA) dos EUA divulgaram um comunicado de segurança conjunto que continha mais detalhes.

Depoimento

[O ataque à cadeia de suprimentos] é um dos tipos de ameaças mais difíceis de prevenir, porque utiliza as relações de confiança entre fornecedores, clientes e canais de comunicação de máquina para máquina, como mecanismos de atualização de software que são inerentemente confiáveis aos usuários.

Lucian Constantin, CSO Online, 15 de dezembro de 2020

Ataque à SolarWinds explicado: e por que foi tão difícil de detectar

Como saber se você foi atacado?

Para evitar ser detectado, o adversário aparentemente usou a backdoor da SolarWinds Orion apenas quando o ambiente de destino era de interesse específico. Dessa forma, analisar sua atividade de rede é a única maneira de saber se um agressor tentou obter ou obteve acesso.

Suspeita-se que a campanha tenha começado durante ou antes de março de 2020 (com possíveis testes já em outubro de 2019) e não envolveu nenhum indicador de comprometimento conhecido. Devido ao volume de dados envolvidos, muitas organizações não mantêm registros de acesso por tempo suficiente para determinar se um comprometimento ocorreu ou não.

Se um invasor implantar malware no seu ambiente por meio de um sistema Orion comprometido, ele provavelmente usará o escalonamento de privilégios para começar a explorar as ações que pode realizar. Fique de olho no sistema Orion afetado, ou outros sistemas que se comunicaram com ele, em busca de comportamentos como:

Modificação das tarefas do sistema
Padrão de ação de criação, execução e exclusão de diretório
Contas de usuários locais recém-criadas ou desconhecidas
Existência ou evidência de uso do Adfind.exe
Sinais de arquivos cmd.exe ou rundll32.exe gerados a partir de solarwinds.businesslayerhost.exe
Existência de regras de encaminhamento/exclusão de e-mail desconhecidas e/ou muito amplas no gateway de e-mail

Produtos e versões comprometidos da Orion

A maneira mais fácil de saber se você foi atacado é determinar se você está usando um produto Orion comprometido no seu ambiente. As versões afetadas da plataforma Orion incluem:

2019.4 HF5, versão 2019.4.5200.9083
2020.2 RC1, versão 2020.2.100.12219
2020.2 RC2, versão 2020.2.5200.12394
2020.2, versão 2020.2.5300.12432
2020.2 HF1, versão 2020.2.5300.12432

O que fazer se você estiver em risco

Se você estiver usando uma versão comprometida da plataforma Orion:

Isole, desconecte ou desligue imediatamente os sistemas infectados
Revise os registros para identificar a atividade de comando e controle ou movimentação lateral dos sistemas infectados
Redefina todas as credenciais utilizadas pelo SolarWinds Orion e serviços associados
Atualize o Orion para a versão mais recente de acordo com este comunicado
Determine se você está executando algum outro produto da SolarWinds afetado listado no comunicado

Depoimento

As empresas, como usuárias de software, também devem começar a pensar em aplicar princípios de rede zero trust e controles de acesso baseados em função não apenas para usuários, mas também para aplicativos e servidores.

Lucian Constantin, CSO Online, 15 de dezembro de 2020

Ataque à SolarWinds explicado: e por que foi tão difícil de detectar

Práticas recomendadas para proteger sua organização

Os ataques à cadeia de suprimentos ainda estão em evolução, e não há dúvida de que os adversários encontrarão novas maneiras de comprometer as operações e os dados sigilosos de órgãos públicos e empresas privadas. Para reduzir os riscos tanto quanto possível, a Zscaler recomenda seguir estas etapas:

Elimine sua superfície de ataque voltada para a internet, interrompa a movimentação lateral e bloqueie o C2 com uma arquitetura zero trust.
Ative a inspeção completa de TLS/SSL e a prevenção avançada de ameaças no tráfego de cargas de trabalho para a internet.
Execute uma sandbox integrada na nuvem para identificar e interromper ameaças desconhecidas.
Aplique proteções para o tráfego de C2 conhecido com atualizações contínuas à medida que surgem novos destinos.
Limite o impacto da movimentação lateral com a microssegmentação baseada na identidade para cargas de trabalho na nuvem.
Escolha fornecedores que possam atestar os mais altos níveis de confidencialidade, integridade e disponibilidade.

Mesmo que você não tome outras medidas, essas duas são as mais importantes, tornando seu ambiente muito mais difícil para um adversário invadir e facilitando a detecção de atividades inesperadas:

Aplique o acesso de privilégio mínimo para limitar a capacidade dos adversários de explorar sua posição.
Exija autenticação multifator para qualquer acesso a ativos de alto valor.

Como a Zscaler pode ajudar?

Os ataques à cadeia de suprimentos estão entre as ameaças cibernéticas modernas mais sofisticadas e difíceis de detectar. Para se defender com confiança, você precisa ter visibilidade de todo o tráfego no seu ambiente, várias camadas de segurança e uma compreensão clara da postura de segurança de todas as suas organizações parceiras.

A Zscaler Zero Trust Exchange™ protege sua organização contra ataques avançados à cadeia de suprimentos com serviços integrados nativamente e recursos avançados líderes do setor que permitem:

Identificar e interromper atividades maliciosas de servidores comprometidos, roteando todo o tráfego do servidor por meio do Zscaler Internet Access™
Restringir o tráfego da infraestrutura crítica para uma lista de permissões de destinos válidos
Inspecionar todo o tráfego de TLS/SSL em escala ilimitada, mesmo quando vem de fontes confiáveis
Bloquear todos os domínios de comando e controle (C2) conhecidos com a proteção avançada contra ameaças
Estender a proteção de C2 para todas as portas e protocolos com o Advanced Cloud Firewall (módulo Cloud IPS), incluindo destinos de C2 emergentes
Evitar a entrega de malware desconhecido como parte de uma carga útil de segundo estágio com a Advanced Cloud Sandbox
Limitar o impacto de um possível comprometimento, restringindo a movimentação lateral com a microssegmentação baseada na identidade por meio de uma arquitetura zero trust e da Zscaler Workload Segmentation
Proteger os aplicativos mais importantes limitando a movimentação lateral com o Zscaler Private Access