A Microsoft descobriu, nas investigações sobre a invasão da plataforma Orion, da SolarWinds, que o grupo responsável pelo incidente conseguiu acesso a uma parte do código-fonte de propriedade da empresa. A afirmação foi feita pelo Centro de Resposta de Segurança da Microsoft num post de seu blog publicado no último dia de 2020.
O incidente, que internamente passou a ser chamado de Solorigate, é objeto de uma grande investigação por parte desse departamento. Os autores do blog informam que foi localizada “atividade incomum com um pequeno número de contas internas e, após análise, descobrimos que uma conta foi usada para visualizar o código-fonte em vários repositórios de código-fonte. A conta não tinha permissão para modificar nenhum código ou sistema de engenharia e nossa investigação confirmou que nenhuma alteração foi feita. Essas contas foram investigadas e corrigidas”.
Veja isso
Criptografia do governo americano comprometida em ataque
Brecha da SolarWinds atinge 15 empresas de infraestrutura crítica
A investigação não encontrou evidências de acesso a serviços de produção ou dados de clientes, diz a publicação da Microsoft: “A investigação, que está em andamento, também não encontrou indicações de que nossos sistemas foram usados para atacar outras pessoas. Conforme relatamos anteriormente, detectamos aplicativos mal-intencionados da SolarWinds em nosso ambiente, que isolamos e removemos. Depois de investigar mais, agora podemos relatar que não encontramos evidências dos TTPs comuns (ferramentas, técnicas e procedimentos) relacionados ao abuso de tokens SAML falsificados contra nossos domínios corporativos”.
“Nossa investigação, entretanto, revelou tentativas de atividades além da simples presença de código malicioso SolarWinds em nosso ambiente. Essa atividade não colocou em risco a segurança de nossos serviços ou de quaisquer dados de clientes, mas queremos ser transparentes e compartilhar o que estamos aprendendo ao combater o que acreditamos ser um ator estadual muito sofisticado”.
“Na Microsoft, temos uma abordagem de código-fonte interno – o uso de práticas recomendadas de desenvolvimento de software de código-fonte aberto e uma cultura de código-fonte aberto – para tornar o código-fonte visível na Microsoft. Isso significa que não contamos com o sigilo do código-fonte para a segurança dos produtos e nossos modelos de ameaça pressupõem que os invasores tenham conhecimento do código-fonte. Portanto, visualizar o código-fonte não está vinculado à elevação do risco”.
“Assim como acontece com muitas empresas, planejamos nossa segurança com uma filosofia de “suposição de violação” e uma camada de proteções e controles de defesa em profundidade para impedir os invasores antes que eles obtenham acesso. Encontramos evidências de tentativas de atividades que foram frustradas por nossas proteções, portanto, queremos reiterar o valor das práticas recomendadas da indústria, conforme descrito aqui , e implementar estações de trabalho de acesso privilegiado (PAW)como parte de uma estratégia para proteger contas privilegiadas. Forneceremos atualizações adicionais se e quando descobrirmos novas informações para ajudar a informar e capacitar a comunidade. À medida que aprendemos mais com nossa própria investigação interna e ajudando os clientes, continuaremos a aprimorar nossos produtos de segurança e a compartilhar esses aprendizados com a comunidade”.