A campanha orquestrada por piratas informáticos russos, afiliados com o grupo Cozy Bear, atingiu diferentes alvos, naquele que está a ser considerado pelos especialistas como o ciberataque da década. A verdadeira dimensão dos ‘estragos’ ainda está a ser avaliada, mas há rumores de que a Microsoft tenha sido um alvo e que várias agências governamentais também tenham sido alvo de intrusão. Os hackers terão usado software de gestão de rede da SolarWinds Corp.
O Departamento de Segurança Interna admite que os hackers usaram vários métodos de entrada e que a investigação está em curso, enquanto a Microsoft ainda não comentou o tema.
Agências governamentais dos EUA atacadas
Um comunicado conjunto assinado pelo FBI, pela Agência de Infraestrutura e Cibersegurança (CISA) e o gabinete do Diretor de Inteligência Nacional dos EUA admite que “esta é uma situação em curso, e enquanto continuamos a trabalhar para perceber o alcance completo desta campanha, sabemos que este ataque afetou redes dentro do governo federal”.
Sabe-se que a Administração Nacional de Segurança Nuclear (NNSA) e o Departamento de Energia (DOE), entidades essenciais da Agência Nuclear dos EUA e partes importantes da estratégia de armamento nuclear do país, foram afetadas por esta campanha. Não é conhecida, para já, a extensão dos danos, quais os sistemas afetados ou que informações possam ter caído nas mãos dos piratas. Já em 2012, um porta-voz da NNSA tinha confirmado que os laboratórios nucleares e o DOE estavam sob ataques constantes, chegando-se a registar mais de dez milhões de ciberameaças sérias todos os dias.
Microsoft também na mira
Nesta quinta-feira, a tecnológica de Redmond também revelou ter encontrado evidências de software malicioso nos seus sistemas, num ataque que está relacionado com a vaga a que se assiste no setor público dos EUA.
A Microsoft é utilizadora do software Orion, da SolarWinds Corp, que se acredita ter servido de porta de entrada para os atacantes russos afetarem os sistemas das vítimas. Por outro lado, produtos da Microsoft terão sido adulterados para facilitar os ataques, noticia a Reuters.
Um porta-voz da Microsoft adianta que “como outros clientes da SolarWinds Corp, temos estado ativamente a procurar por indicadores deste ator e podemos confirmar que encontramos binário malicioso no nosso ambiente, que isolamos e removemos (…) não há indicações de que os nossos sistemas foram usados para atacar outros”. No entanto, uma fonte próxima do processo revela que os hackers terão usado as ofertas de cloud da Microsoft para os ataques, evitando a infraestrutura central da empresa, mas ninguém de Redmond comentou a utilização desta técnica.
Forças de segurança em alerta
A CISA e o FBI pedem a todas as organizações para estarem vigilantes e não assumirem que estão seguras a não ser que estejam a usar a versão mais recente do software da SolarWinds. Sabe-se para já que os hackers não exploraram todas as redes a que ganharam acesso. Este programa é usado por centenas de milhares de empresas e agências governamentais em todo o mundo. Pelo menos 18 mil clientes terão descarregado a atualização do Orion que continha a backdoor que deu acesso aos hackers. Enquanto as correções não foram instaladas, os piratas podem ter cimentado outras vulnerabilidades e estabelecido outros pontos de entrada.
O Departamento de Justiça, o FBI e o Departamento de Defesa mudaram as comunicações rotineiras para redes classificadas, que se acredita não terem sido atacadas. Esta medida visa ajudar a fluir as comunicações, sem que os cibercriminosos as possam espiar.
Os especialistas alertam que este grupo tem sido bastante cuidadoso, tendo apagado os logs e outros vestígios que possam ter deixado.
