Milhares de empresas, além do Departamento de Segurança Interna (DHS) dos Estados Unidos, estão procurando pistas sobre um suposto ataque cibernético que pode ter hackers russos como principais autores. A violação foi confirmada pelo governo de Donald Trump no último domingo (13), quando foi confirmado que o ataque atingiu órgãos críticos, entre eles os departamentos de Tesouro e do Comércio, agências governamentais e o próprio DHS.

A invasão teria começado nos sistemas da SolarWinds, empresa com sede em Austin, no Texas, que vende suas tecnologias para entidades sensíveis do governo estadunidense. Para se ter uma ideia, a companhia presta serviços para o Departamento de Estado, Centros de Prevenção e Controle de Doenças (CDC), Sistemas de Informação Naval, FBI e Forças Armadas dos EUA. Mais de 400 corporações que aparecem nas listas das mais ricas do país também utilizam as tecnologias da SolarWinds, que hoje atende cerca de 300 mil clientes em todo o mundo.

O alvo dos hackers foi o Orion, um dos produtos da SolarWinds usado por organizações para visualizar e gerenciar redes internas de computadores. Os atacantes se aproveitaram de um backdoor no software, permitindo que escapassem de autenticação ou criptografia normais para esse tipo de sistema. Com isso, foi possível instalar um mecanismo malicioso para ter acesso a dados críticos.

O pior vem agora: os hackers estariam explorando uma brecha de segurança no Orion desde março. E como ela está ligada diretamente ao software original da SolarWinds, milhares de empresas e órgãos governamentais baixaram o programa oficial sem saber da vulnerabilidade, garantindo o acesso dos hackers a sistemas críticos. A SolarWinds não sabe dizer o número exato de entidades hackeadas, mas afirmou que “menos de” 18.000 organizações fizeram o download do programa comprometido.

O suposto ataque dos hackers russos foi revelado no domingo em um relatório da FireEye, consultoria de segurança cibernética, e que também está na lista de empresas afetadas pelo malware. De acordo com a companhia, o backdoor, chamado Sunburst, é diferente das demais ameaças dessa categoria porque, em vez de se infiltrar em vários sistemas simultaneamente, ele se concentra em um grupo mínimo de alvos, evitando levantar suspeitas. Para ampliar o disfarce, ele se infiltra no tráfego de rede como um programa oficial e armazena dados em arquivos legítimos, além de procurar por soluções de antivírus e saber quando evitá-las.

A FireEye diz que o Sunburst, embora tenha sido instalado no Orion em março, ficou por duas semanas inteiras quieto, sem dar sinal nenhum de vida. Só depois é que começou a se comunicar com os hackers. Os atacantes ainda miraram um alvo por vez, evitando maiores suspeitas, já que o malware não utilizava o mesmo código mais do que uma vez. Logo, a detecção da espionagem era bastante complexa.

Para ajudar as organizações a descobrir se seus sistemas foram hackeados, a FireEye e a Microsoft publicaram uma lista com possíveis indicadores de comprometimento. Entre eles está a verificação do próprio Sunburst na máquina, bem como a remoção de alguns endereços de IP que já são sabidos estarem em comunicação com os computadores e redes dos hackers. Não que isso faça muito efeito, levando em consideração que os atacantes usam um IP por vez.

O governo dos EUA também emitiu um alerta de emergência ordenando que todas as empresas e usuários (sejam ou não integrantes da cúpula do governo) se desconectem dos produtos da SolarWinds, além de revisar suas redes. Tanto as autoridades quanto a FireEye acreditam que o número de entidades afetadas só cresça nas próximas semanas, já que há vítimas também em países da Europa, Ásia e Oriente Médio.

[MIT, FireEye, Reuters]