A limpeza de hack do SolarWinds pode levar meses, dizem os especialistas em segurança cibernética

A limpeza de hack do SolarWinds pode levar meses dizem

O especialista em segurança cibernética Steven Adair e sua equipe estavam nos estágios finais de expulsar os hackers de uma rede de think tank no início deste ano, quando um padrão suspeito nos dados de log chamou sua atenção.

Os espiões não apenas conseguiram invadir – uma ocorrência comum no mundo da resposta a incidentes cibernéticos – mas eles navegaram direto para o sistema de e-mail do cliente, passando pelas proteções de senha recentemente atualizadas como se elas não existissem.

“Uau”, lembrou Adair, pensando em uma entrevista recente. “Esses caras são mais espertos do que o urso médio.”

Foi apenas na semana passada que a empresa de Adair – a Volexity de Reston, Virgínia – percebeu que os ursos com os quais ela lutava eram o mesmo grupo de hackers avançados que comprometeram a SolarWinds, empresa de software com sede no Texas.

Usando uma versão subvertida do software da empresa como uma chave-esqueleto improvisada, os hackers se infiltraram em uma faixa de redes do governo dos EUA, incluindo os Departamentos do Tesouro, Segurança Interna, Comércio, Energia, Estado e outras agências.

Quando a notícia do hack estourou, Adair imediatamente pensou no think tank, onde sua equipe rastreou um dos esforços de invasão para um servidor SolarWinds, mas nunca encontrou a evidência de que precisava para descobrir o ponto de entrada preciso ou alertar a empresa. Os indicadores digitais publicados pela empresa de segurança cibernética FireEye em 13 de dezembro confirmaram que o think tank e a SolarWinds foram atingidos pelo mesmo ator.

Autoridades e legisladores dos EUA alegaram que a Rússia é a culpada pela onda de hackers, acusação que o Kremlin nega.

Adair – que passou cerca de cinco anos ajudando a defender a NASA de ameaças de hackers antes de finalmente fundar a Volexity – disse que tinha sentimentos contraditórios sobre o episódio. Por um lado, ele estava satisfeito porque a suposição de sua equipe sobre uma conexão SolarWinds estava certa. Por outro lado, eles estavam no limite de uma história muito maior.

Uma grande parte da indústria de cibersegurança dos EUA está agora no mesmo lugar que Volexity estava no início deste ano, tentando descobrir onde os hackers estiveram e eliminar os vários pontos de acesso secretos que os hackers provavelmente plantaram nas redes de suas vítimas. O colega de Adair, Sean Koessel, disse que a empresa estava recebendo cerca de 10 ligações por dia de empresas preocupadas que pudessem ter sido alvejadas ou que os espiões estivessem em suas redes.

Seu conselho para todos os outros que procuram os hackers: “Não deixe pedra sobre pedra”.

Koessel disse que o esforço para retirar os hackers do think tank – que ele se recusou a identificar – se estendeu do final de 2019 até meados de 2020 e ocasionou dois novos arrombamentos. Executar a mesma tarefa em todo o governo dos EUA provavelmente será muito mais difícil.

“Eu poderia facilmente ver que leva meio ano ou mais para descobrir – se não anos para algumas dessas organizações”, disse Koessel.

Pano Yannakogeorgos, um professor associado da New York University que serviu como reitor fundador do Air Force Cyber ​​College, também previu um cronograma estendido e disse que algumas redes teriam que ser extirpadas e substituídas no atacado.

Em qualquer caso, ele previu um alto preço, já que especialistas em cafeína foram trazidos para examinar os registros digitais em busca de traços de comprometimento.

“Há muito tempo, tesouro, talento e Mountain Dew envolvidos”, disse ele.

© Thomson Reuters 2020


O MacBook Air M1 é a besta portátil de um laptop que você sempre quis? Discutimos isso no Orbital, nosso podcast semanal de tecnologia, que você pode assinar via Podcasts da Apple, Podcasts do Google, ou RSS, baixe o episódioou apenas aperte o botão play abaixo.

Deixe uma resposta

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *