Depois de se infiltrar em uma empresa de software com sede no Texas, um grupo de elite de hackers transformou o produto mais amplamente usado da companhia em um cavalo de Tróia. O plano não poderia ter funcionado melhor. Pelo menos meia dúzia de agências governamentais (até agora) e um número incontável das corporações mais ricas dos Estados Unidos os conduziram direto para seus portões de entrada.

Praticamente ninguém fora do mundo de TI tinha ouvido falar da SolarWinds antes de segunda-feira, mas acredita-se que sua carteira de clientes inclua centenas dos maiores geradores de receita dos EUA em quase todas as frentes da indústria. A Agência de Segurança Nacional e muitos dos outros membros mais bem protegidos do governo têm usado sua plataforma de gerenciamento de rede, incluindo, pelo menos no caso do Exército, redes de comunicação que lidam com informações confidenciais. Esse mesmo software, conhecido como Orion Platform, começou discretamente a distribuir malware criado para espionar seus usuários e roubar seus arquivos mais sensíveis, provavelmente em março deste ano.

De acordo com a SolarWinds, mais da metade de seus 33.000 clientes do Orion podem ter sido infectados. Por nove meses, aparentemente, ninguém percebeu.

Os Departamentos de Estado, Comércio, Tesouro e Segurança Interna, bem como os Institutos Nacionais de Saúde, que realiza pesquisas biomédicas em nome do governo, estão na lista de agências federais que atualmente são consideradas vítimas do ataque, segundo a reportagem do Washington Post do início desta semana. O Politico relatou na quinta-feira que o Departamento de Energia e sua Administração Nacional de Segurança Nuclear, responsáveis principalmente ​​por salvaguardar as armas nucleares do país, também foram comprometidos. (Em uma declaração na quinta-feira, um porta-voz do Departamento de Energia afirmou que o malware foi “isolado apenas para redes de negócios”.)

O que foi roubado, onde e quantas vítimas ainda permanecem um mistério.

O ataque à SolarWinds, que funcionários não identificados dos EUA atribuíram ao SVR, o serviço de inteligência estrangeira da Rússia, foi a primeira etapa do que os especialistas descrevem como um ataque à cadeia de suprimentos “altamente sofisticado”. Tudo começou com os hackers inserindo um código malicioso, conhecido como Sunburst, na plataforma Orion. Na quinta-feira, a SolarWinds disse que, embora o código-fonte do Orion esteja limpo, o Sunburst “parece ter sido inserido durante o processo de construção do software Orion”.

Os hackers transformaram o Sunburst em várias versões do Orion postadas pela SolarWinds em seu site. Quando os clientes corporativos e governamentais foram atualizar suas cópias existentes da plataforma, o Sunburst pegou uma carona e se incorporou à rede, mantendo-se inativo por alguns dias ou semanas. Ao ganhar vida, ele iniciou um reconhecimento em seu novo ambiente e enviou esses detalhes para seus manipuladores. De forma inteligente, os hackers disfarçaram sua comunicação com o Sunburst como um tráfego típico do Orion – o trabalho diário de funcionários de TI reais – um sinal da sofisticação envolvida.

Ele também conseguia baixar, transferir e executar arquivos por conta própria. Se os hackers decidissem que haviam encontrado um alvo, eles poderiam ordenar que o Sunburst implantasse novas cargas úteis. Um deles, chamado Teardrop, foi observado implantando uma versão customizada do software de penetração de rede Cobalt Strike. Esses recursos adicionais permitem que o Sunburst, por exemplo, colete as credenciais do usuário, monitore os pressionamentos de tecla e busque maneiras de aumentar seu poder na rede.

Incontáveis ​​empresas e agências do governo estão lutando para entender o escopo desse esquema elaborado de roubo de dados perpetrado, supostamente, por espiões de uma nação rival. Citando especialistas, a Bloomberg relatou na sexta-feira que a complexidade do ataque, agravada pela tendência incomum dos hackers de se passarem por verdadeiros trabalhadores de TI, pode interromper até mesmo o esforço mais robusto para entender a situação.

As autoridades disseram na quarta-feira que uma força-tarefa conjunta composta pelo FBI, a Agência de Segurança Cibernética e de Infraestrutura (CISA) e o Escritório do Diretor de Inteligência Nacional foi criada para coordenar uma resposta de “todo o governo” ao incidente. A CISA, onde vários funcionários de alto cargo foram recentemente demitidos pela Casa Branca, incluindo o ex-diretor Chris Krebs, alertou separadamente que o ataque ainda representa um “grave risco” para o país. A agência também reconheceu os hackers por sua “paciência, segurança operacional e habilidade comercial complexa”.

A Rússia negou seu envolvimento em ciberataques de qualquer tipo.

Os Comitês de Segurança Interna e Supervisão da Câmara disseram em um comunicado conjunto na quinta-feira que uma investigação foi lançada sobre os ataques aos sistemas do governo federal. Oficiais da inteligência foram convidados a realizar uma reunião confidencial na sexta-feira. O vice-presidente do Comitê de Inteligência do Senado, Mark Warner, por sua vez, criticou duramente a Casa Branca por não “levar este assunto a sério”. Ele continuou a acusar o presidente Trump de aparentemente não “reconhecer, muito menos agir em relação à gravidade desta situação”.

Até o momento da publicação deste texto, Trump ainda não havia emitido uma declaração sobre o ataque.