Empresa de segurança digital Malwarebytes revela que também foi vítima dos hackers da SolarWinds
Invasores entraram na rede explorando credenciais frágeis em um software da Microsoft. Fabricante de antivírus disse que hackers tivessem acesso a alguns e-mails, mas que sistemas de produção e software não foram atingidos.DivulgaçãoA fabricante de antivírus Malwarebytes revelou nesta terça-feira (19) que sua rede foi comprometida pelos mesmos hackers que invadiram os sistemas da SolarWinds. A companhia destacou, porém, que não há qualquer evidência de alteração em seu software ou risco para seus clientes.É a quarta fornecedora de soluções de segurança a admitir que foi vítima dos ciberespiões. As outras três são a FireEye, a Microsoft e a CrowdStrike. Tanto a invasão à Malwarebytes como a da CrowdStrike iniciaram através do Azure Active Directorye aplicativos do Microsoft 365. O elo entre os invasores da Malwarebytes e o grupo que atacou a SolarWinds foi estabelecido pela própria Microsoft, que detectou uma atividade suspeita nas aplicações em nuvem do Office 365 na conta da fabricante de antivírus. Essa atividade tinha características já associadas ao mesmo grupo que invadiu a SolarWinds."Após uma extensa investigação, determinamos que o atacante apenas teve acesso a uma parcela limitada de e-mails internos da companhia. Não encontramos evidências de acesso não autorizado aos nossos ambientes internos locais e de produção", afirmou a Malwarebytes.No caso da CrowdStrike, que foi atacada pelo mesmo canal, a empresa alegou que os hackers não obtiveram nenhuma informação porque a companhia não usa o serviço de e-mail da Microsoft.Muitas das outras vítimas desse grupo de hackers foram invadidas por meio do software Orion, da SolarWinds. Com acesso amplo aos sistemas da SolarWinds, eles conseguiram sabotar uma atualização do software, que foi distribuída aos clientes da empresa por meio de um canal oficial.Na prática, o programa de espionagem chegou aos clientes da SolarWinds sem levantar qualquer suspeita.No entanto, o governo dos Estados Unidos já havia alertado que esta não é a única técnica empregada pelos invasores para alcançar a rede dos alvos, e que havia também um ataque baseado em credenciais (usuários e senhas) frágeis. Na prática, os hackers tentavam adivinhar ou roubar as senhas dos alvos.A identidade dos hackers ainda está em aberto. A empresa de segurança digital FireEye, a primeira a revelar a existência da campanha e a admitir que foi invadida, identifica o grupo pelo código "UNC2452". Especialistas da fabricante de antivírus Kaspersky acharam algumas semelhanças técnicas com o Turla, um grupo de hackers russos, mas outros especialistas especulam sobre a possibilidade de associação ao "Cozy Bear", uma equipe de ciberespiões supostamente mantida pelo serviço de inteligência do governo russo.Pesquisadores apontam semelhanças técnicas entre programa espião da SolarWinds e grupo 'Turla'Hackers atacaram empresa de tecnologia de redes para invadir governo dos EUA e FireEye Especialistas encontram 4º programa espiãoO programa de espionagem distribuído no pacote de atualização do Orion vem sendo chamado pelos especialistas de "Sunburst". O Sunburst foi injetado na atualização do Orion por outro programa malicioso, o "Sunspot", que monitorava a atividade de preparação do software para injetar as modificações no momento correto.Por ser muito específico, o "Sunspot" foi usado unicamente contra a SolarWinds. O "Sunburst", por outro lado, chegou à rede de todos os quase 18 mil clientes da companhia que baixaram a atualização adulterada.Esses códigos são originais e foram desenvolvidos especificamente para as necessidades dos hackers.A FireEye identificou ainda um terceiro programa, chamado de "Teardrop". Esse programa foi usado para instalar um software de controle remoto da Cobalt Strike, uma empresa que fornece ferramentas comerciais para testes de segurança simulados. Porém, essas ferramentas são usadas com certa frequência por grupos de espionagem digital em operações reais – em outras palavras, não se trata de algo feito sob medida como os outros três.Nesta segunda-feira (18), especialistas da Symantec identificaram o quarto código malicioso inédito associado à operação. Eles o chamaram de "Raindrop". De acordo com a empresa, são conhecidos apenas quatro casos até o momento em que esse programa foi usado.O "Raindrop" tem a mesma função do "Teardrop" – instalar a ferramenta Cobalt Strike – mas é utilizado em outros computadores da rede atacada e tem características técnicas diferentes em relação ao anterior. Na prática, essas diferenças podem despistar investigadores que não estiverem cientes de ambas as versões.Especialistas em segurança estão enfrentando desafios para encontrar todas as peças do quebra-cabeça operacional dos hackers. Ainda que a atualização sabotada da SolarWinds tenha chegado a quase 18 mil clientes, os estágios posteriores da invasão foram distribuídos a um número limitado de alvos e com variações na execução – as ações ocorrem com prazos diferentes, por exemplo.Com isso, é possível que certos programas usados já tenham sido removidos pelos hackers até os investigadores iniciarem a análise dos sistemas.Dúvidas sobre segurança, hackers e vírus? Envie para [email protected]5 dicas para sua segurança digital5 dicas de segurança para sua vida digitalAssista mais vídeos para se manter seguro on-line
Fonte: G1
Mais sobre Ciência e Tecnologia
Leia também
