Skip to content
ataque solarwinds

Ataque à cadeia de suprimentos da SolarWinds

Como você deve ter visto, uma brecha relacionada a ferramenta de monitoramento de rede SolarWinds Orion foi anunciada na tarde do dia 13 de dezembro que parece afetar e permitir ataque a 18.000 dos clientes ativos deles. Nós nos mantivemos informados e gostaríamos de oferecer algumas atualizações e passos de recomendação a serem seguidos.

P: O que aconteceu?

Hackers russos pertencentes ao grupo de ameaça APT29 (conhecido como Cozy Bear) adulteraram o software de atualização do SolarWinds para implementar malwares e executar o ataque. Esse tipo de ataque é conhecido como “supply chain attack”. Uma vez dentro dos ambientes, os atacantes conseguem as vezes comprometer contas do Office 365 roubando tokens de SAML para personificar e espiar e-mails e exfiltrar dados. Essa informação foi confirmada pelo departamento de tesouro e comércio dos EUA. Essas técnicas funcionam de forma similar em diversas aplicações de SaaS, apesar de não haver incidências confirmadas relatadas.

P: Como a AIQON pode me ajudar a responder a essa informação?

Monitoramento contínuo: Uma das ferramentas fornecidas pela AIQON, é o Obsidian – Cloud Detection Response – Utilize o Obsidian para monitorar a atividade suspeita nas contas de SaaS como logins de locais estranhos ou novos dispositivos com MFA sendo adicionado as contas. Esteja sempre em alerta. O comportamento exibido no O365 pode ser usado para acessar outros sistemas logo mais avaliações, analises e procura são encorajadas.

Persistência no SaaS: Procure por alertas ao redor de atividade privilegiada suspeita. Examine novas contas privilegiadas criadas nos últimos 6 meses (a criação de conta foi um marco para esse ataque). Procure por exfiltração de dados usando alertas e a pesquisa do Obsidian.

Resposta ao incidente: Você instalou alguma atualização do SolarWinds nos últimos 6 meses? Use a linha do tempo de atividade do Obsidian para investigar se uma brecha ocorreu e caso tenha ocorrido, identifique o impacto. Mais importantes, sabemos que o Solarwinds era um dos caminhos até a organização e ataque. Mas isso não significa que ele era o único. O destino era apps de produtividade (Office 365, G suíte, Box, etc.) então monitore-os.

Leia também:  Proteção para o SaaS de forma eficiente

ataque solarwinds

P: O que o Obsidian já fez para ajudar os clientes a responder a esse tipo de ataque?

Revisão de indicador: A equipe de pesquisa de ameaça da Obsidian tem avaliado os indicadores baseados em IP para possíveis sinais de atividade com o ambiente do cliente já que a pesquisa indica que o atacante utilizou sua infraestrutura C2 para acessar os ambientes de SaaS. Nós entraremos em contato com quaisquer organizações potencialmente afetadas diretamente.

Buscas salvas para procura: Alguns indicadores têm uma fidelidade menor e podem ver a atividade do seu ambiente mesmo em circunstâncias normais. Para esses, criamos uma nova sub-seção do Obsidian busca salva chamada de “Campanhas de ameaça”. Analise os resultados dessas buscas para atividades suspeitas com base no conhecimento da sua própria organização. Elas são focadas em detectar o acesso inicial e as credenciais iniciais similar as táticas, técnicas e procedimentos publicados sobre essa atividade.

Nota: Essas consultas representam possíveis indicadores de comprometimento e não são imediatamente indicativos de atividade maliciosa.

P: O que eu deveria saber?

Procure e crie algumas regras. As buscas salvas que oferecemos são um grande começo para procurar dentro do seu ambiente. A medida que você começa a filtrar os resultados, você pode encontrar eventos que parecem notavelmente suspeitos ou que são maliciosos. Neste ponto da sua procura, sugerimos que você crie um botão de “regra de alerta” para ser notificado de atividade futura.

Links uteis

Comente o que achou do artigo