Qual foi o impacto do hack SolarWinds?

Incidentes de hackers sempre dominam as notícias, e com razão. Eles são a prova de que ninguém está seguro, especialmente quando a vítima é uma grande empresa com um sistema sofisticado de segurança cibernética. Um hack que teve um impacto substancial no panorama da segurança cibernética foi o hack SolarWinds.

Mas, ao contrário de outros hacks em grande escala, os danos do ataque da SolarWinds não se limitaram às finanças e à reputação da empresa. Os efeitos foram tão generalizados que o impacto do hack envolveu o governo dos EUA e suas agências.

Qual foi a escala do hack?

A SolarWinds é uma empresa de TI com sede nos Estados Unidos, especializada no desenvolvimento de software de gerenciamento para empresas e agências governamentais. Portanto, desde o início, estava claro que qualquer hack teria efeitos catastróficos além dos ativos e da reputação da SolarWinds.

É seguro dizer que a própria SolarWinds corporation não foi o alvo do ataque, mas apenas o método de ataque. SolarWinds relatou que pouco mais de 18.000 de seus clientes baixaram uma versão afetada, embora nem todos tenham sido ativamente hackeados.

Das vítimas, cerca de 20% eram instituições e agências do governo dos Estados Unidos, como o Departamento de Segurança Interna, o Departamento de Estado, a Administração de Segurança Nuclear Nacional e o Departamento de Energia, entre muitos outros.

Os 80 por cento restantes das vítimas eram empresas privadas, mas eles eram grandes jogadores em seu setor, com seu quinhão de clientes de alto perfil. O hack afetou empresas como Cisco, Intel, Deloitte e Microsoft, bem como algumas instituições médicas, hospitais e universidades.

É importante notar que a escala do incidente ainda não é totalmente conhecida. Embora os hackers tenham conseguido obter acesso a quase 20.000 clientes da SolarWinds, isso não significa que eles puderam contornar seus sistemas de segurança internos e comprometer arquivos e dados. Os números exatos não foram divulgados, mas é relatado que menos de 100 clientes foram hackeados.

Por exemplo, a Microsoft foi capaz de detectar o malware intrusivo em seu ambiente e isolá-lo a tempo. Eles não relataram nenhuma evidência de comprometimento ou vazamento de dados do cliente no ataque, permitindo que eles escapassem ilesos.

Mas nem todo mundo teve essa sorte. Os hackers conseguiram forçar o acesso a dezenas de e-mails pertencentes a altos funcionários do Departamento do Tesouro americano e, possivelmente, às propriedades de nuvem do departamento.

O que torna o hack SolarWinds diferente?

Freqüentemente, um incidente de hacking é o resultado de um sistema de segurança com falha ou de colaboração interna. Mas esse não foi o caso das empresas afetadas pelo chamado hack "Sunburst" - pouco menos de 100 de todas as que baixaram a atualização infectada.

Os hackers só precisavam contornar a segurança cibernética da SolarWinds. Eles então adicionaram código malicioso a um dos serviços de software mais usados ​​da empresa, o Orion. O incidente de hacking foi furtivo e não destrutivo, permitindo que escapasse do radar da SolarWinds e permanecesse lá por meses.

O código se espalhou para outros clientes pegando carona em uma das atualizações regulares de software que a SolarWinds envia a seus clientes. Lá, o código malicioso cria uma porta dos fundos para os hackers , permitindo que eles instalem malwares ainda mais invasivos, espiem seus alvos e vazem todas as informações que considerem importantes.

O hack do Sunburst abriu um precedente em quem as empresas podem e não podem confiar quando se trata de segurança cibernética. Afinal, as atualizações de software devem vir com correções de bugs e atualizações de segurança para manter seus sistemas protegidos contra vulnerabilidades exploradas e lacunas.

Esse tipo de ataque é conhecido como ataque à cadeia de suprimentos . Nele, os hackers têm como alvo a parte mais vulnerável da cadeia de suprimentos de uma empresa, em vez de atingir diretamente seu alvo. Eles então empacotam seu malware em recipientes confiáveis ​​e os enviam para seus alvos reais. Neste incidente, foi na forma de uma atualização de software de rotina.

Quem estava por trás do hack do SolarWinds?

Ainda não está claro qual organização ou grupo de pessoas estava por trás do hack, já que nenhum grupo de hackers reivindicou o incidente até agora. No entanto, os investigadores federais, juntamente com os principais especialistas em segurança cibernética, suspeitam principalmente do Serviço de Inteligência Estrangeiro da Rússia, também conhecido como SVR.

Essa conclusão foi construída sobre os incidentes de hackers anteriores de 2014 e 2015. Naquela época, as investigações também apontaram a invasão de servidores de e-mail na Casa Branca e no Departamento de Estado no SVR. Mas até agora, a Rússia nega ter qualquer coisa a ver com o hack da SolarWinds, não deixando nenhum culpado claro.

O que vem depois do hack do Sunburst?

Em termos dos efeitos diretos do hack, empresas e agências governamentais continuam a escanear seus sistemas em busca de backdoors adicionais que os invasores possam ter deixado, bem como qualquer vulnerabilidade de segurança que eles possam ter descoberto e os impedem de explorá-la no futuro ataque.

Mas quando se trata do cenário de cibersegurança corporativa e governamental, as coisas mudaram para sempre. Depois que o Orion da SolarWinds foi usado como um Cavalo de Tróia para se infiltrar em seus sistemas, o conceito de amigo e inimigo e de segurança cibernética de confiança zero precisa mudar para acompanhar.

Relacionado: O que é uma rede Zero Trust e como ela protege seus dados?

Governos, empresas e usuários teriam que mudar a forma como veem suas relações cooperativas e financeiras em troca de um forte escudo de segurança cibernética e um futuro mais seguro.

Você deve estar preocupado?

Os hackers raramente pegam o que vieram buscar e deixam o resto intacto. Tudo no banco de dados de uma empresa ou governo tem um valor imenso.

Embora as empresas que fazem negócios com a SolarWinds e as empresas afiliadas a essas empresas afetadas tenham verificado seus sistemas após o hack, não há muito que você possa fazer como usuário individual.

Não há necessidade de se preocupar em ter o malware ou backdoor em um de seus dispositivos, pois o ataque visou principalmente corporações e instituições. Mas você pode ser cliente de gigantes da tecnologia como Intel ou Microsoft, e eles têm registros pessoais e financeiros sobre você de compras anteriores.

Acompanhe todas as notificações urgentes que seus fornecedores enviam e se eles lançam algum anúncio público sobre incidentes de segurança. Quanto mais cedo você souber de uma possível violação de seus dados, melhores serão suas chances de escapar ileso.

Haverá outro ataque semelhante ao Sunburst?

Ainda não se sabe se as agências governamentais e empresas seriam capazes de atualizar seus sistemas de segurança a tempo antes de outro ataque.

Mas, enquanto as corporações e instituições carregarem dados confidenciais e valiosos, elas sempre serão o alvo de grupos de hackers, tanto locais quanto internacionais.