Hackers supostamente financiados por um governo estrangeiro comprometeram as redes de computadores do fabricante de software americano SolarWinds e implantaram uma atualização maliciosa em seu software Orion, para infectar redes do governo americano e de organizações comerciais que o utilizam. Várias agências do governo federal, incluindo os departamentos do Tesouro e do Comércio dos EUA, tiveram alguns de seus sistemas de computador violados como parte dessa campanha de espionagem.
O anúncio foi feito ontem, dia 13 de dezembro, pela empresa de segurança da informação FireEye.
Em um comunicado de segurança, a SolarWinds informou que as versões desde 2019.4 HF 5 até 2020.2.1 de seu software Orion foram afetadas e aconselhou os clientes a atualizá-las para a versão 2020.2.1 HF 1 o mais rápido possível. A empresa informou que outra atualização (versão 2020.2.1 HF 2) deve ser publicada amanhã, terça-feira, 15 de dezembro de 2020, que substituirá o componente comprometido e fornecerá melhorias de segurança adicionais
Veja isso
Grupo APT já teria realizado 26 ataques de espionagem corporativa
Invasão da FireEye é recado e demonstração de poder da Rússia
“O governo dos EUA está ciente desses fatos e estamos tomando todas as medidas necessárias para identificar e corrigir quaisquer problemas potenciais associados a esta situação”, disse o porta-voz do Conselho de Segurança da Casa Branca, John Ulliott. Depois que o ataque cibernético foi descoberto, a Casa Branca convocou o Conselho de Segurança Nacional dos EUA para discutir as consequências do roubo de dados. A comunidade de inteligência dos EUA teme que os hackers que realizaram os ataques possam usar um método semelhante para invadir outras agências governamentais.
De acordo com fontes ouvidas pelo jornal Washington Post, o grupo APT29, muitas vezes associado aos serviços de inteligência russos, é o responsável pelos ataques. No entanto, os especialistas da FireEye não mencionaram o APT29; eles deram aos cibercriminosos um codinome neutro: UNC2452. No entanto, várias fontes da comunidade de segurança da informação confirmaram que, a julgar pelas evidências disponíveis, o APT29 está de fato por trás dos ataques.
Na noite de ontem, a SolarWinds publicou um comunicado à imprensa confirmando o fato de ter havido um ataque cibernético ao Orion, uma plataforma de software para monitoramento e gerenciamento centralizado de recursos de TI em grandes redes, incluindo servidores, estações de trabalho, dispositivos móveis e IoT, etc. Os invasores injetaram malware nas versões de atualização do Orion 2019.4 a 2020.2.1, lançadas entre março e junho de 2020.
Em seu relatório, os especialistas da FireEye chamam o malware de Sunburst. A Microsoft o chamou de Solorigate e adicionou regras de detecção ao Windows Defender. De acordo com o relatório FireEye, a campanha de espionagem não visa somente os EUA, podendo atingir “organizações públicas e privadas em todo o mundo. As vítimas incluem organizações governamentais, empresas de consultoria, tecnologia, telecomunicações e mineração na América do Norte, Europa, Ásia e Oriente Médio. É esperado que haja mais vítimas em outros países e áreas ”, diss.
