A Microsoft confirmou nesta quinta-feira (17) que foi uma das vítimas de um imenso ataque hacker realizado via software de gerenciamento de rede da empresa norte-americana SolarWinds, que vitimou dezenas de empresas e órgãos governamentais dos EUA. Acredita-se que o grupo tem conexões com o governo russo.

“Assim como outros clientes da SolarWinds, procuramos ativamente por indícios deste ataque e podemos confirmar que encontramos binários maliciosos em nosso ambiente, que isolamos e removemos”, disse a empresa.

publicidade

“Não encontramos evidência de acesso a serviços de produção ou aos dados dos consumidores. Nossas investigações, que ainda estão em progresso, não encontraram absolutamente nenhum indício de que nossos sistemas foram usados para atacar outros”, completou.

A empresa divulgou um mapa de clientes que usam seu software anti-vírus Microsoft Defender e que instalaram o software Orion, da SolarWinds contendo o malware.

Mapa mostra as regiões mais afetadas pelo ataque à SolarWinds. Fonte: Microsoft

A imagem deixa claro que os EUA foram o principal foco do ataque, principalmente polos de tecnologia na Califórnia e Texas, além de locais com grande concentração de agências governamentais, como a região de Washington, D.C.

80% destes clientes estão localizados nos EUA, mas a Microsoft também identificou vítimas no Canadá, México, Bélgica, Espanha, Reino Unido, Israel e Emirados Árabes. A empresa identificou e notificou 40 clientes que foram alvo de maior atenção por parte dos hackers, e sofreram intrusão adicional usando ataques mais sofisticados.

Brad Smith, Presidente da Microsoft, afirma: “isto não é ‘espionagem como de costume’, mesmo na era digital. Em vez disso, ele representa um ato de imprudência que criou uma vulnerabilidade tecnológica séria para os Estados Unidos e para o mundo. De fato, este não é um ataque a alvos específicos, mas à confiabilidade de uma infraestrutura mundial crítica, para avançar os objetivos de uma agência de inteligência de um país”.

Entenda o ataque à SolarWinds

No início deste ano, hackers invadiram os sistemas da SolarWinds, uma empresa que desenvolve software de gerenciamento de redes, e injetaram código malicioso em um de seus produtos, o Orion.

Sem conhecimento da situação, a SolarWinds distribuiu este software modificado aos seus clientes, que incluem 425 das empresas na lista “Fortune 500” e várias agências governamentais, em uma série de atualizações entre março e junho.

Após se instalar no sistema de uma vítima, o código malicioso ficava “dormente” por duas semanas, quando então acordava e abria um “backdoor” (“porta dos fundos”, no jargão de tecnologia) que permitia o acesso de hackers ao sistema.

Com isso eles podiam roubar arquivos e assumir remotamente o controle de uma máquina. Uma empresa de cybersegurança afirma que os hackers encontraram uma forma de contornar a autenticação em dois fatores na versão web do Outlook, o que lhes permitiu ler comunicação privada de várias agências – incluindo algumas nos mais altos escalões do governo dos EUA.

O malware só foi detectado neste mês, o que significa que os hackers estiveram roubando dados silenciosamente ao longo dos últimos nove meses, sem que ninguém soubesse. Entre os clientes da SolarWinds estão 10 empresas de telecomunicações os EUA, a Casa Branca e o Pentágono. A empresa acredita que “menos” de 18.000 de seus 33.000 clientes instalaram o software modificado.

Segundo o Washington Post, um grupo hacker russo conhecido como APT29 ou CozyBear é o responsável pelo ataque. O Serviço Geral de Inteligência e Segurança da Holanda (AIVS) acredita que este grupo é ligado ao governo russo, e controlado pelo Serviço de Inteligência Estrangeira (SVR) do país.

Kevin Mandia, CEO da empresa de segurança FireEye, que foi uma das vítimas, afirmou: “estamos testemunhando um ataque por uma nação com capacidade ofensiva topo de linha”.

Fonte: Business Insider