Afetada no grande ataque hacker via software de gerenciamento de rede da SolarWinds, a Microsoft divulgou, na quarta-feira (20), detalhes de como os criminosos permaneceram “invisíveis” durante as atividades maliciosas. E elas duraram, no mínimo, nove meses.

As investigações do Microsoft 365 Defender Research Team, do Microsoft Threat Intelligence Center (MSTIC) e do Microsoft Cyber ​​Defense Operations Center (CDOC) identificaram táticas, comportamentos anti-forenses e segurança operacional utilizados para acobertar as ações dos criminosos. “Os atacantes são operadores habilidosos e metódicos que seguem as melhores práticas de segurança de operações (OpSec) para minimizar rastros, permanecer fora do radar e evitar a detecção”, explica a Microsoft.

Técnicas usadas

De acordo com a apuração da companhia, as táticas usadas pelos hackers incluem:

• evasão metódica de indicadores compartilhados para os hosts comprometidos e inserção de implantes DLL Cobalt Strike personalizados em cada máquina;
• camuflagem e incorporação no ambiente por meio de renomeações de ferramentas e binários para combinar arquivos e programas no dispositivo infectado;
• desativação dos registros de eventos (por meio do Auditpol) antes das atividades maliciosas e sua ativação, posteriormente, para não levantar suspeitas;
• criação de regras de firewall para minimizar pacotes de saída em determinados protocolos antes de executar atividades de enumeração de rede;
• planejamento cuidadoso das atividades de movimento lateral — quando um invasor utiliza contas não confidenciais para acessar contas confidenciais —, com desabilitação de serviços de segurança nos hosts alvejados;
• alterações de data e hora de arquivos e uso de ferramentas de limpeza para impedir a descoberta dos implantes DLL maliciosos nos ambientes infectados.

A lista é extensa, mas a Microsoft continua a investigar o caso, com o apoio da Mitre ATT&CK — empresa que desenvolve metodologias contra ameaças cibernéticas —, em busca de identificar outras técnicas usadas nos ataques.

Cronologia

Além das estratégias que permitiram a não detecção dos hackers durante as atividades, a Microsoft também identificou algumas particularidades sobre a ativação do segundo estágio do backdoor (uma porta dos fundos para a entrada dos criminosos) Solorigate DLL. Segundo as investigações, o Sunburst foi implantado em fevereiro e distribuído acidentalmente pela SolarWinds por volta de março. Depois, os hackers prepararam os implantes personalizados de Cobalt Strike até o início de maio, quando os ataques práticos começaram.

Eles então desativaram a função de geração de backdoor e binário do ambiente SolarWinds em 4 de junho, provavelmente por terem atingido um número de alvos interessante. Com isso, os esforços foram voltados para os ataques com atividades manuais, a partir dos implantes Cobal Strike.

Apesar de os apelidos dos cibercriminosos terem sido identificados — StellarParticle (CrowdStrike), UNC2452 (FireEye), SolarStorm (Palo Alto Unit 42) e Dark Halo (Volexity) —, suas verdadeiras identidades seguem como incógnita. Um comunicado do começo do mês vindo de FBI, CISA, ODNI e NSA ligou os ataques da SolarWinds ao grupo Advanced Persistent Threat (APT), apoiado pelo governo russo. Já a Kaspersky associou os hackers ao grupo de cibercriminosos Turla, também da Rússia.

Via: Bleeping Computer