

Afetada no grande ataque hacker via software de gerenciamento de rede da SolarWinds, a Microsoft divulgou, na quarta-feira (20), detalhes de como os criminosos permaneceram “invisíveis” durante as atividades maliciosas. E elas duraram, no mínimo, nove meses.
As investigações do Microsoft 365 Defender Research Team, do Microsoft Threat Intelligence Center (MSTIC) e do Microsoft Cyber Defense Operations Center (CDOC) identificaram táticas, comportamentos anti-forenses e segurança operacional utilizados para acobertar as ações dos criminosos. “Os atacantes são operadores habilidosos e metódicos que seguem as melhores práticas de segurança de operações (OpSec) para minimizar rastros, permanecer fora do radar e evitar a detecção”, explica a Microsoft.
De acordo com a apuração da companhia, as táticas usadas pelos hackers incluem:
A lista é extensa, mas a Microsoft continua a investigar o caso, com o apoio da Mitre ATT&CK — empresa que desenvolve metodologias contra ameaças cibernéticas —, em busca de identificar outras técnicas usadas nos ataques.
Além das estratégias que permitiram a não detecção dos hackers durante as atividades, a Microsoft também identificou algumas particularidades sobre a ativação do segundo estágio do backdoor (uma porta dos fundos para a entrada dos criminosos) Solorigate DLL. Segundo as investigações, o Sunburst foi implantado em fevereiro e distribuído acidentalmente pela SolarWinds por volta de março. Depois, os hackers prepararam os implantes personalizados de Cobalt Strike até o início de maio, quando os ataques práticos começaram.
Eles então desativaram a função de geração de backdoor e binário do ambiente SolarWinds em 4 de junho, provavelmente por terem atingido um número de alvos interessante. Com isso, os esforços foram voltados para os ataques com atividades manuais, a partir dos implantes Cobal Strike.
Apesar de os apelidos dos cibercriminosos terem sido identificados — StellarParticle (CrowdStrike), UNC2452 (FireEye), SolarStorm (Palo Alto Unit 42) e Dark Halo (Volexity) —, suas verdadeiras identidades seguem como incógnita. Um comunicado do começo do mês vindo de FBI, CISA, ODNI e NSA ligou os ataques da SolarWinds ao grupo Advanced Persistent Threat (APT), apoiado pelo governo russo. Já a Kaspersky associou os hackers ao grupo de cibercriminosos Turla, também da Rússia.
Via: Bleeping Computer