Ataques à cadeia de suprimentos: o estranho caso da SolarWinds

Prof. Dr. Adriano Mauro Cansian

Membro do Conselho Consultivo da Resh Cyber Defense

Quando se fala de um ataque cibernético, é comum que o alvo direto não seja o objetivo principal do atacante. Nos ataques elaborados, os efeitos indiretos resultantes são mais relevantes, por representarem o prêmio a ser alcançado. Por exemplo: um ataque cibernético a um software que controla um gerador de energia pode incapacitá-lo para sempre e, portanto, o software é o elemento direto, mas o alvo é o gerador, e danificar o gerador é o efeito indireto, o prêmio.

É provável que o leitor nunca tenha ouvido falar da SolarWinds, a menos que este seja um analista de rede, ou trabalhe em grandes empresas de tecnologia. De forma bem resumida, a SolarWinds faz softwares que gerenciam redes de computadores. São softwares corporativos que ficam monitorando como as coisas estão funcionando na rede. Isso ajuda os administradores e analistas a configurarem a rede de forma adequada, e a tomarem decisões técnicas e gerenciais importantes. Os produtos corporativos da SolarWinds são usados pela maioria das grandes empresas mundiais, principalmente as de tecnologia, e também por muitos governos.

Ocorre que atacantes comprometeram a SolarWinds de uma maneira sem precedentes. Até agora não se sabe exatamente como tudo aconteceu, apesar de existirem várias teorias. O que se sabe é que a SolarWinds foi alvo de um ataque para que fosse possível atacar os clientes dela, e não ela própria. Isso é conhecido como ataque à cadeia de suprimentos, e está entre os tipos de ataques cibernéticos mais perigosos. Há bastante tempo este tem sido um ponto de fraqueza conhecido para a segurança cibernética das empresas no mundo todo, principalmente aquelas de tecnologia. Por exemplo, um ataque à cadeia de suprimentos que permita a alguém invadir o Google ou a Microsoft, poderia permitir a invasão de todo o planeta, porque a maioria das empresas e pessoas usam, de uma maneira ou de outra, o Google ou a Microsoft. Por isso que os ataques à cadeia de suprimentos são muito preocupantes e exigem atenção.

A própria SolarWinds usa software de outros fornecedores, então pode ser que ela mesmo tenha sido vítima por intermédio de terceiros, que estão na sua cadeia de suprimentos. Talvez no futuro seja possível saber exatamente o que aconteceu, mas, por enquanto, não se conhece nem a totalidade nem a extensão dos fatos. Tudo isso veio à tona em dezembro de 2020 e, pelo que temos, o ataque teria acontecido no início daquele mesmo ano.

O fato é que os atacantes invadiram o ambiente de construção de softwares da SolarWinds de uma forma muito sofisticada e silenciosa. Sem serem percebidos, inseriram portas secretas, chamadas pelos analistas de segurança de “backdoors”. Quem baixou os softwares e atualizações relativamente recentes da SolarWinds, no ano passado, baixou os backdoors. Isso permitiu que os invasores originais atacassem os clientes da SolarWinds, e neles implantassem outros códigos maliciosos ou obtivessem informações secretas, a partir dela.

Analistas dão conta que cerca de 18.000 clientes devem ter baixado o software contaminado.Mas, até agora, se sabe que apenas cerca de 50 clientes mais importantes foram atingidos pela infecção secundária, a qual os invasores estavam realmente interessados em dispersar. O leitor pode ser levado a pensar que, então, não há motivo de preocupação, porque apenas 50 empresas no mundo não é lá grande coisa. Engana-se! O problema é que entre estas poucas empresas afetadas estão Microsoft, Cisco, Intel, Deloitte e algumas das maiores empresas de segurança cibernética do mundo. Juntas estas empresas possuem centenas de milhares de clientes, alvos secundários em potencial. Este é o motivo para se ficar alarmado com tudo isso, porque a maioria destas vítimas ainda está analisando o que aconteceu. Do lado de instituições governamentais, somente nos EUA sabe-se que foram atacadas partes do Pentágono, o Departamento de Segurança Interna, o Departamento de Estado, o Departamento de Energia, a Administração Nacional de Segurança Nuclear e o Tesouro Americano.

Quando se desenvolve softwares acontecem uma variedade de defeitos conhecidos, que podem levar a situações de risco de segurança. Muitas vezes as pessoas que estão produzindo o software não conseguem identificar ou corrigir as falhas de forma adequada, ou não conseguem perceber que há uma vulnerabilidade de segurança latente. Isso é semelhante a quando escrevemos um texto, revisamos várias vezes em busca de erros e não os encontramos, porque já estamos acostumados ao texto, mas os erros acabam saltando aos olhos de outro revisor eventual. Portanto, é recomendado haver um atraso para lançar um novo produto ou versão, enquanto se testa um software, antes de colocá-lo no mercado.

Uma das coisas que se deve prestar atenção à cadeia de suprimentos, aqui neste contexto, é que os invasores entraram, modificaram atualizações de software, e as atualizações foram enviadas aos alvos.O leitor mais técnico deve saber que existem certificados digitais para proteger a integridade dos softwares publicados pelos fabricantes, e existe todo um processo de autenticação por assinatura digital criptográfica para que um dispositivo confie em um software. Assim, é possível saber que o software está publicado conforme autorizado pelo fornecedor. Infelizmente, neste ataque à SolarWinds, os atacantes também roubaram os certificados digitais, e conseguiram autenticar o software corrompido como verdadeiro, na sua fase final de produção, ou seja, no último minuto de entrega.

As investigações envolvendo o caso da SolarWinds ainda vão continuar por um bom tempo, com diversas repercussões. Há uma série de empresas dizendo que não há evidência de terem sido comprometidos, mas segundo um ex-professor meu, “a ausência de evidência não é evidência de ausência”. E ainda se sabe que há uma série de grandes empresas vítimas que também foram alvos indiretos do ataque à SolarWinds, mas ainda não vieram a público para dizer que foram comprometidas, e talvez nem o façam onde a lei não exige.

O caso da SolarWinds continua e continuará ocupando muito tempo dos analistas de segurança, e preocupando os executivos e advogados das empresas envolvidas. Há ainda outro problema a ser analisado: a atribuição, ou seja, a qual ator, ou a quais atores, pode ser atribuído o ataque, e quem esteve interessado em violar esta importante cadeia de suprimentos? Quem são eles? O que eles realmente queriam? Qual era o prêmio? Os atacantes quase não deixaram vestígios de seu código de ataque. Os analistas e pesquisadores tem feito um trabalho meticuloso, buscando desvendar o que aconteceu e, de modo geral, não tem chegado a lugar algum. O detalhe de terem conseguido o certificado digital de assinatura de software da SolarWinds, e o fato do backdoor haver sido inserido apenas no último instante de desenvolvimento e entrega do software, remete a uma operação sofisticada, de longa preparação e grande financiamento. Mas o que eles realmente queriam é uma longa estória, que precisará de uma nova postagem.

Você também pode se interessar por:

Consequências do Vazamento de 220 milhões de Dados Pessoais

LGPD Segurança e Sigilo de Dados