SolarWinds: ex-CEO da empresa culpa estagiário por senha fraca

O ex-CEO da SolarWinds, empresa no centro do que é considerado o “maior e mais sofisticado ataque hacker que o mundo já viu”, culpou “um estagiário” por uma falha de segurança gritante: um repositório de código-fonte (um servidor git) acessível publicamente, protegido com a senha “solarwinds123”.

Questionado pela deputada federal Rashida Tlaib na última sexta-feira (26), durante uma audiência conjunta dos comitês de supervisão da câmara e de segurança nacional, Kevin Thompson afirmou que a senha fraca foi “um erro cometido por um estagiário”.

“Ele violou nossa política de senhas e postou a senha internamente, em sua própria conta privada do Gitub”, disse Thompson. “Assim que isso foi identificado e levado à atenção de minha equipe de segurança, o problema foi corrigido”.

O servidor e a senha foram descobertos pelo pesquisador de segurança Vinoth Kumar. A falha foi corrigida em novembro de 2019, logo após ter sido reportada, mas segundo Kumar a senha estava disponível publicamente online desde junho de 2018.

Mapa da Microsoft mostra localização de empresas e agências afetadas pelo ataque à SolarWinds

Já o atual CEO da SolarWinds, Sudhakar Ramakrishna, afirmou que o servidor estava em uso desde 2017. “Acredito que esta era a senha que um estagiário usou em um de seus servidores no Github em 2017”, disse o executivo. “Isso foi reportado à nossa equipe de segurança e imediatamente corrigido”. 

O que nem Thompson, nem Ramakrishna, conseguiram explicar foi como seu sistema de TI aceitou uma senha tão fraca.

A desculpa de Thompson não foi bem aceita pelos deputados. “Eu tenho uma senha mais forte que ‘solarwinds123’ no iPad dos meus filhos para impedir que eles vejam YouTube demais”, disse a deputada Katie Porter. “Você e sua empresa deveriam estar impedindo os russos de ler os e-mails do Departamento de Defesa!”.

E-mails entre Kumar e a SolarWinds mostraram que a senha fraca permitiu ao pesquisador se logar no servidor e fazer o upload de arquivos. Ele avisou que, com esta tática, qualquer hacker poderia enviar software malicioso aos sistemas da SolarWinds. 

Ainda não se sabe qual papel, se algum, o servidor exposto e sua senha fraca tiveram no ataque à infraestrutura da empresa. Entretanto, o incidente coloca em dúvida os procedimentos internos de segurança de uma empresa responsável por proteger 425 das empresas no ranking “Fortune 500” das maiores empresas do mundo.

Entenda o ataque à SolarWinds

No início de 2020, hackers invadiram os sistemas da SolarWinds, uma empresa que desenvolve software de gerenciamento de redes, e injetaram código malicioso em um de seus produtos, o Orion.

Sem conhecimento da situação, a SolarWinds distribuiu este software “contaminado” aos seus clientes em uma série de atualizações entre março e junho.

Após se instalar no sistema de uma vítima, o código malicioso ficava “dormente” por duas semanas, quando então acordava e abria um “backdoor” (“porta dos fundos”, no jargão de tecnologia) que permitia o acesso de hackers ao sistema.

Segundo Brad Smith, presidente da Microsoft, ataque hacker à SolarWinds foi o “maior e mais sofisticado” que o mundo já viu. Imagem: G Holland/Shutterstock

Com isso eles podiam roubar arquivos e assumir remotamente o controle de uma máquina. O malware só foi detectado em dezembro, o que significa que os hackers estiveram roubando dados silenciosamente ao longo de nove meses, sem que ninguém soubesse. 

Estima-se que até 18 mil empresas e órgãos governamentais que usavam o software da SolarWinds para proteger seus sistemas foram vítimas do ataque.

Entre elas estão a Microsoft e a Malwarebytes, além de órgãos do governo dos EUA como o Departamento de Justiça (DoJ), o Departamento de Energia (DoE), a National Nuclear Security Administration (NNSA), responsável pelo arsenal de armas nucleares dos EUA, a Federal Energy Regulatory Commission (FERC), os laboratórios nacionais de Sandia e Los Alamos no Novo México e em Washington, o Office of Secure Transportation na NNSA e o Richland Field Office do DoE.

Segundo o Washington Post, um grupo hacker russo conhecido como APT29 (ou CozyBear) é o responsável pelo ataque. O Serviço Geral de Inteligência e Segurança da Holanda (AIVS) acredita que o grupo é ligado ao governo russo, e controlado pelo Serviço de Inteligência Estrangeira (SVR) do país. Serviços de inteligência dos EUA também afirmam que a Rússia “provavelmente” está por trás do ataque, mas não nomeiam suspeitos.

Fonte: CNN

Esta post foi modificado pela última vez em 1 de março de 2021 10:12

Compartilhar
Deixe seu comentário
Publicado por
Rafael Rigues