Reprodução: anyaberkut/istockphoto.com
O ex-CEO da SolarWinds, empresa no centro do que é considerado o “maior e mais sofisticado ataque hacker que o mundo já viu”, culpou “um estagiário” por uma falha de segurança gritante: um repositório de código-fonte (um servidor git) acessível publicamente, protegido com a senha “solarwinds123”.
Questionado pela deputada federal Rashida Tlaib na última sexta-feira (26), durante uma audiência conjunta dos comitês de supervisão da câmara e de segurança nacional, Kevin Thompson afirmou que a senha fraca foi “um erro cometido por um estagiário”.
“Ele violou nossa política de senhas e postou a senha internamente, em sua própria conta privada do Gitub”, disse Thompson. “Assim que isso foi identificado e levado à atenção de minha equipe de segurança, o problema foi corrigido”.
O servidor e a senha foram descobertos pelo pesquisador de segurança Vinoth Kumar. A falha foi corrigida em novembro de 2019, logo após ter sido reportada, mas segundo Kumar a senha estava disponível publicamente online desde junho de 2018.
Já o atual CEO da SolarWinds, Sudhakar Ramakrishna, afirmou que o servidor estava em uso desde 2017. “Acredito que esta era a senha que um estagiário usou em um de seus servidores no Github em 2017”, disse o executivo. “Isso foi reportado à nossa equipe de segurança e imediatamente corrigido”.
O que nem Thompson, nem Ramakrishna, conseguiram explicar foi como seu sistema de TI aceitou uma senha tão fraca.
A desculpa de Thompson não foi bem aceita pelos deputados. “Eu tenho uma senha mais forte que ‘solarwinds123’ no iPad dos meus filhos para impedir que eles vejam YouTube demais”, disse a deputada Katie Porter. “Você e sua empresa deveriam estar impedindo os russos de ler os e-mails do Departamento de Defesa!”.
E-mails entre Kumar e a SolarWinds mostraram que a senha fraca permitiu ao pesquisador se logar no servidor e fazer o upload de arquivos. Ele avisou que, com esta tática, qualquer hacker poderia enviar software malicioso aos sistemas da SolarWinds.
Ainda não se sabe qual papel, se algum, o servidor exposto e sua senha fraca tiveram no ataque à infraestrutura da empresa. Entretanto, o incidente coloca em dúvida os procedimentos internos de segurança de uma empresa responsável por proteger 425 das empresas no ranking “Fortune 500” das maiores empresas do mundo.
No início de 2020, hackers invadiram os sistemas da SolarWinds, uma empresa que desenvolve software de gerenciamento de redes, e injetaram código malicioso em um de seus produtos, o Orion.
Sem conhecimento da situação, a SolarWinds distribuiu este software “contaminado” aos seus clientes em uma série de atualizações entre março e junho.
Após se instalar no sistema de uma vítima, o código malicioso ficava “dormente” por duas semanas, quando então acordava e abria um “backdoor” (“porta dos fundos”, no jargão de tecnologia) que permitia o acesso de hackers ao sistema.
Com isso eles podiam roubar arquivos e assumir remotamente o controle de uma máquina. O malware só foi detectado em dezembro, o que significa que os hackers estiveram roubando dados silenciosamente ao longo de nove meses, sem que ninguém soubesse.
Estima-se que até 18 mil empresas e órgãos governamentais que usavam o software da SolarWinds para proteger seus sistemas foram vítimas do ataque.
Entre elas estão a Microsoft e a Malwarebytes, além de órgãos do governo dos EUA como o Departamento de Justiça (DoJ), o Departamento de Energia (DoE), a National Nuclear Security Administration (NNSA), responsável pelo arsenal de armas nucleares dos EUA, a Federal Energy Regulatory Commission (FERC), os laboratórios nacionais de Sandia e Los Alamos no Novo México e em Washington, o Office of Secure Transportation na NNSA e o Richland Field Office do DoE.
Segundo o Washington Post, um grupo hacker russo conhecido como APT29 (ou CozyBear) é o responsável pelo ataque. O Serviço Geral de Inteligência e Segurança da Holanda (AIVS) acredita que o grupo é ligado ao governo russo, e controlado pelo Serviço de Inteligência Estrangeira (SVR) do país. Serviços de inteligência dos EUA também afirmam que a Rússia “provavelmente” está por trás do ataque, mas não nomeiam suspeitos.
Fonte: CNN
Esta post foi modificado pela última vez em 1 de março de 2021 10:12
Deixe seu comentário