A contaminação do software Orion, da SolarWinds, que foi baixado em aproximadamente 18 mil instalações, representa uma ameaça para 15 empresas de infraestrutura crítica nos setores elétrico, óleo e gás e também manufatura, disse o CEO da empresa Dragos, especializada em segurança desse tipo de operação. Além dessas, ele afirmou que o Orion também infectou três empresas que prestam serviços para essas dez.
Essas três são fabricantes de equipamentos em regime OEM, ou seja, fabricam em regime de terceirização. Numa entrevista ao portal The Intercept, Lee disse que às vezes elas têm acesso remoto a áreas críticas de redes dos clientes, e privilégios que lhes permitem fazer alterações nessas redes, instalar novos softwares ou até mesmo controlar operações críticas.
Veja isso
Após invasão da FireEye, Pentágono faz manutenção em rede crítica
EUA: infraestrutura crítica em alerta causado por ataques externos
“Se um OEM tem acesso bidirecional a uma rede, geralmente é para equipamentos mais sensíveis, como controle de turbina, e você poderia realmente fazer ações perturbadoras”, disse Lee, acrescentando: “Mas só porque você tem acesso, não significa que você sabe o que fazer ou como fazer. Também não significa que eles podem desligar as luzes; eles têm que fazer mais depois disso”.
O CEO da Dragos se disse preocupado com o problema: “É particularmente preocupante porque … comprometer um OEM, dependendo de onde você o compromete, pode levar ao acesso a milhares de organizações. Dois dos OEMs que foram comprometidos têm acesso a centenas de redes ICS em todo o mundo”.
Lee observa que em alguns casos os OEMs não têm apenas acesso às redes dos clientes – eles na verdade infectaram seus clientes com o software da SolarWinds, porque não só usam SolarWinds em suas próprias redes, como também instalaram nas redes dos clientes para gerenciá-las e monitorá-las.
Lee não identificou os OEMs. Kevin Mandia, CEO da FireEye, disse que os invasores só entraram em cerca de 50 das milhares de entidades que foram contaminadas. Lee disse que as infecções no setor de infraestrutura crítica ocorreram não apenas nas redes de TI das empresas, mas também às vezes em redes reais de sistemas de controle industrial que gerenciam funções críticas.
No momento, não há evidências, no entanto, de que os hackers usaram a porta dos fundos do software SolarWinds para obter acesso às 15 entidades elétricas, de petróleo, gás e manufatura que foram infectadas com o software. Mas Lee observa que pode não ser possível descobrir tal atividade se os invasores os acessarem e se aprofundarem nas redes de controle industrial, porque as entidades de infraestrutura crítica geralmente não fazem registro e monitoramento extensivos de suas redes de sistema de controle.
“Nessas redes ICS, a maioria das organizações não tem os dados e a visibilidade para realmente procurar a violação”, diz Lee, acrescentando: “Então, eles podem determinar se estão comprometidos, mas … quase nenhum deles tem logs de rede para … determinar se há atividade de acompanhamento [em sua rede]. ”
Ele diz que todas as empresas infectadas estão “fazendo a caça necessária e [assumindo] que estão comprometidas”. Mas, sem se registrar para detectar a infecção e rastrear os movimentos dos hackers na rede, as empresas precisam caçar o que parece ser um comportamento malicioso. “E este é um adversário que penetra fundo e é muito difícil de erradicar”.
Se, em vez disso, os hackers vierem por meio dos OEMs infectados, usando as credenciais e o acesso privilegiado dessas empresas, poderá ser ainda mais difícil para os clientes OEM detectar a atividade dos hackers, uma vez que pareceria legítima.
Dragos notificou os três OEMs de que eles foram infectados, bem como funcionários do governo e funcionários da administração do presidente eleito Joe Biden.
Um alerta publicado na semana passada pela Agência de Segurança Cibernética e de Infraestrutura do Departamento de Segurança Interna observou que entidades de infraestrutura crítica foram comprometidas pelo software SolarWinds, mas não indicou quais indústrias foram afetadas e não observou que isso incluía os OEMs para infraestrutura crítica.
Com agências internacionais