Precisando testar sua segurança digital?
Fale com a gente!

BLOG

Ataques à cadeia de suprimentos: o estranho caso da SolarWinds

POR:

Haline Farias

Quando se fala de um ataque cibernético, é comum que o alvo direto não seja o objetivo principal do atacante. Nos ataques elaborados, os efeitos indiretos resultantes são mais relevantes, por representarem o prêmio a ser alcançado. Por exemplo: um ataque cibernético a um software que controla um gerador de energia pode incapacitá-lo para sempre e, portanto, o software é o elemento direto, mas o alvo é o gerador, e danificar o gerador é o efeito indireto, o prêmio. É provável que o leitor nunca tenha ouvido falar da SolarWinds, a menos que este seja um analista de rede, ou trabalhe em grandes empresas de tecnologia.

Ataque à cadeia de suprimentos

De forma bem resumida, a SolarWinds faz softwares que gerenciam redes de computadores. São softwares corporativos que ficam monitorando como as coisas estão funcionando na rede. Isso ajuda os administradores e analistas a configurarem a rede de forma adequada, e a tomarem decisões técnicas e gerenciais importantes. Os produtos corporativos da SolarWinds são usados pela maioria das grandes empresas mundiais, principalmente as de tecnologia, e também por muitos governos.

Ocorre que atacantes comprometeram a SolarWinds de uma maneira sem precedentes. Até agora não se sabe exatamente como tudo aconteceu, apesar de existirem várias teorias. O que se sabe é que a SolarWinds foi alvo de um ataque para que fosse possível atacar os clientes dela, e não ela própria. Isso é conhecido como ataque à cadeia de suprimentos, e está entre os tipos de ataques cibernéticos mais perigosos.

Há bastante tempo este tem sido um ponto de fraqueza conhecido para a segurança cibernética das empresas no mundo todo, principalmente aquelas de tecnologia. Por exemplo, um ataque à cadeia de suprimentos que permita a alguém invadir o Google ou a Microsoft, poderia permitir a invasão de todo o planeta, porque a maioria das empresas e pessoas usam, de uma maneira ou de outra, o Google ou a Microsoft. Por isso que os ataques à cadeia de suprimentos são muito preocupantes e exigem atenção.

Vítimas por intermédio de terceiros

A própria SolarWinds usa software de outros fornecedores, então pode ser que ela mesmo tenha sido vítima por intermédio de terceiros, que estão na sua cadeia de suprimentos. Talvez no futuro seja possível saber exatamente o que aconteceu, mas, por enquanto, não se conhece nem a totalidade nem a extensão dos fatos. Tudo isso veio à tona em dezembro de 2020 e, pelo que temos, o ataque teria acontecido no início daquele mesmo ano.

O fato é que os atacantes invadiram o ambiente de construção de softwares da SolarWinds de uma forma muito sofisticada e silenciosa. Sem serem percebidos, inseriram portas secretas, chamadas pelos analistas de segurança de “backdoors”. Quem baixou os softwares e atualizações relativamente recentes da SolarWinds, no ano passado, baixou os backdoors. Isso permitiu que os invasores originais atacassem os clientes da SolarWinds, e neles implantassem outros códigos maliciosos ou obtivessem informações secretas, a partir dela.

Analistas relatam que cerca de 18.000 clientes baixaram o software contaminado, mas os invasores visavam atingir apenas 50 clientes importantes com a infecção secundária. O leitor pode pensar que não há motivo para preocupação, pois 50 empresas não parecem significativas. Engana-se! O problema é que entre estas poucas empresas afetadas estão Microsoft, Cisco, Intel, Deloitte e algumas das maiores empresas de segurança cibernética do mundo.

Juntas estas empresas possuem centenas de milhares de clientes, alvos secundários em potencial. Este é o motivo para se ficar alarmado com tudo isso, porque a maioria destas vítimas ainda está analisando o que aconteceu. Sabe-se que atacantes atacaram partes do Pentágono, o Departamento de Segurança Interna, o Departamento de Estado, o Departamento de Energia, a Administração Nacional de Segurança Nuclear e o Tesouro Americano nos EUA.

Situações de Risco de Segurança

Quando se desenvolve softwares acontecem uma variedade de defeitos conhecidos, que podem levar a situações de risco de segurança. Muitas vezes as pessoas que estão produzindo o software não conseguem identificar ou corrigir as falhas de forma adequada, ou não conseguem perceber que há uma vulnerabilidade de segurança latente. Isso é semelhante a quando escrevemos um texto, revisamos várias vezes em busca de erros e não os encontramos, porque já estamos acostumados ao texto, mas os erros acabam saltando aos olhos de outro revisor eventual. Portanto, recomenda-se atrasar o lançamento de um novo produto ou versão enquanto se testa o software antes de colocá-lo no mercado.

Cadeia de Suprimentos

No contexto da cadeia de suprimentos, deve-se prestar atenção ao fato de que os invasores modificaram atualizações de software e as enviaram aos alvos. O leitor mais técnico deve saber que os fabricantes protegem a integridade dos softwares publicados com certificados digitais e utilizam um processo de autenticação por assinatura digital criptográfica para garantir que um dispositivo confie no software. Assim, é possível saber que o software está publicado conforme autorizado pelo fornecedor. Infelizmente, neste ataque à SolarWinds, os atacantes também roubaram os certificados digitais, e conseguiram autenticar o software corrompido como verdadeiro, na sua fase final de produção, ou seja, no último minuto de entrega.

Investigação SolarWinds

As investigações envolvendo o caso da SolarWinds ainda vão continuar por um bom tempo, com diversas repercussões. Embora várias empresas aleguem que não se comprometeram, um ex-professor meu afirma que “a ausência de evidência não é evidência de ausência”. Além disso, grandes empresas que foram alvos indiretos do ataque à SolarWinds ainda não confirmaram publicamente o comprometimento, possivelmente porque a lei não exige essa divulgação.

O caso da SolarWinds continua e continuará ocupando muito tempo dos analistas de segurança, e preocupando os executivos e advogados das empresas envolvidas. Há ainda outro problema a ser analisado: a atribuição, ou seja, a qual ator, ou a quais atores, pode ser atribuído o ataque, e quem esteve interessado em violar esta importante cadeia de suprimentos? Quem são eles? O que eles realmente queriam? Qual era o prêmio? Os atacantes quase não deixaram vestígios de seu código de ataque.

Os analistas e pesquisadores tem feito um trabalho meticuloso, buscando desvendar o que aconteceu e, de modo geral, não tem chegado a lugar algum. O fato de os invasores terem conseguido o certificado digital de assinatura de software da SolarWinds e de terem inserido o backdoor apenas no último instante de desenvolvimento e entrega do software indica uma operação sofisticada, com longa preparação e grande financiamento. Mas o que eles realmente queriam é uma longa estória, que precisará de uma nova postagem.

Você também pode se interessar por:

Consequências do Vazamento de 220 milhões de Dados Pessoais

LGPD Segurança e Sigilo de Dados

Prof. Dr. Adriano Mauro Cansian

Membro do Conselho Consultivo da Resh Cyber Defense

RESH

Compartilhe:

Artigos Relacionados

Supply Chain Attack: Vulnerabilidades Ocultas na Cadeia Digital de Fornecedores 
Zero Trust Architecture: Repensando a Segurança Corporativa no Trabalho Híbrido
API Security: O Elo Crítico na Segurança de Microserviços
Supply Chain Attack: Vulnerabilidades Ocultas na Cadeia Digital de Fornecedores 
Zero Trust Architecture: Repensando a Segurança Corporativa no Trabalho Híbrido
API Security: O Elo Crítico na Segurança de Microserviços