Ataque ao SolarWinds pode esconder novos vetores de intrusão

Segurança

A Agência de Segurança Cibernética e Segurança de Infraestrutura diz existirem evidências de acessos anteriores que não impactaram as instâncias do SolarWinds.

A Varonis anunciou a identificação de um pico nas investigações forenses relacionadas às invasões do software SolarWinds Orion.

Embora haja evidências de comprometimento nas versões 2019.4 HF 5 até 2020.2.1 do sistema, é possível que o código malicioso tenha começado bem antes, com os tokens SAML (Security Assertion Markup Language), diz a empresa.

No caso da invasão ao Orion, os atacantes introduziram um backdoor pré-criado em um produto de software confiável (SolarWinds Orion) que foi entregue automaticamente a milhares de clientes.

Esta invasão surgiu disfarçada como uma atualização normal.

Diz a Varonis que o mais provável é que o grupo por trás das ameaças tenha se valido de credenciais expostas em 2018 pelo GitHub para obter acesso à infraestrutura de atualização de software da empresa.

De acordo com Carlos Rodrigues, vice-presidente da Varonis, a assinatura do DLL pode ter ocorrido de duas formas: por meio de uma base no processo de desenvolvimento, na qual o atacante adicionou o backdoor; ou ainda roubando a chave privada do certificado e substituindo o DLL oficial por uma versão maliciosa.

Read also :