Existe uma máxima da segurança cibernética para garantir a confiança dos sistemas: esteja alerta a anexos de fontes desconhecidas e não transfira credenciais para sites fraudulentos. Mas os hackers cada vez mais inovadores estão minando esse senso básico de confiança e levantando uma questão incômoda: o que poderia ser feito se o hardware ou o software legítimo que compõem sua rede tivesse sido comprometido diretamente na fonte?
Esse tipo de hacking insidioso e cada vez mais comum é conhecido como ataque à cadeia de suprimentos, uma técnica na qual um código ou componente malicioso é injetado em um software ou hardware confiável, comprometendo pacotes e componentes de softwares obtidos de fornecedores oficiais e, portanto, aparentemente legítimas e seguras. Como não há um alvo específico, nesse tipo de ataque, os intrusos podem sequestrar sistemas e propagar malwares de forma camuflada através de cada programa que um fornecedor vende, cada atualização de software que ele envia, até mesmo através de equipamentos físicos enviados aos clientes.
Ao comprometer um fornecedor, os criminosos digitais escolhem uma rota indireta para ataques que é difícil de detectar, injetando uma vulnerabilidade que torna o acesso ilegal a dados mais forte e generalizado, especialmente devido ao enorme alcance e rendimento potencial. Com a penetração certa, os hackers só precisam quebrar um sistema para criar trampolins para diversas redes, levando a centenas ou mesmo milhares de vítimas, o que torna esse um método particularmente lucrativo para proliferação de ransomware e outros tipos de malwares, por exemplo.
Ataques à cadeia de suprimentos não são novidades. Tivemos alguns de repercussão internacional muito recentemente. Em 2017, um dos malwares mais destrutivos da história atingiu alvos ucranianos e rapidamente se espalhou pelo mundo. O malware conhecido como NotPetya se infiltrou em quase todas as redes ucranianas e se apoderou de sistemas em toda a Europa, Reino Unido e outros. Como consequência, corporações e agências governamentais foram paralisadas com prejuízo na casa dos bilhões. Desde então, os especialistas em segurança ficaram em alerta para o próximo grande ataque à cadeia de suprimentos.
Entre 2020 e 2021, milhares de redes corporativas e governamentais americanas foram infectadas, incluindo as redes dos departamentos do Tesouro e do Comércio dos EUA. O incidente aconteceu depois que os hackers injetaram código malicioso nos sistemas SolarWinds e, assim, puderam distribuir atualizações com malware para os usuários. Esse malware criou um backdoor que deu aos hackers acesso a muitas informações confidenciais.
A Microsoft, uma líder no ramo de tecnologia da informação, estava entre as vítimas desse incidente com a SolarWinds, de acordo com notas oficiais, os hackers puderam visualizar o código-fonte dos produtos desenvolvidos pela empresa.
A própria Microsoft, que é referência em segurança, explica que em ataques à cadeia de suprimentos de software, os fornecedores não sabem que seus aplicativos ou atualizações estão infectados com código malicioso quando são distribuídos ao público. O código malicioso é executado com as mesmas relações de confiança e permissões do aplicativo. Os tipos de ataques à cadeia de suprimentos elencados pela Microsoft são:
Comprometimento das ferramentas de criação de software;
Roubo de certificados de assinatura de código ou aplicativos maliciosos assinados usando a identidade da empresa desenvolvedora;
Comprometimento do código especial enviado em componentes de hardware ou firmware;
Pré-instalação de malware em dispositivos (câmeras, USB, telefones, etc.).
Os incidentes com o NotPetya que distribuiu códigos maliciosos que destruíram terabytes de dados e causou blecautes generalizados e o mais recente com a SolarWinds mostra como agências governamentais e empresas comerciais são vulneráveis quando o software adquirido de fornecedores externos não é protegido adequadamente. E não nos surpreenderemos se nos próximos meses aumentarem ainda mais significativamente os ataques à cadeia de suprimentos, especialmente quando consideramos que a proliferação de dispositivos embarcados ampliou sobremaneira a superfície de ameaças e levou a um aumento nos ataques de hardware. Embora sejam mais difíceis de executar, também são mais difíceis de detectar.
Então, o que os profissionais de segurança devem observar diante desses desafios? Definitivamente a resposta é: se munir de todas as armas na guerra cibernética que assola o mundo virtual moderno.
Nós temos um vasto conhecimento em segurança da informação empresarial e gerenciamento de dados. Já ajudamos organizações a melhorar a eficiência de seus negócios e operações de TI implementando estratégias de tecnologia para segurança e gerenciamento de riscos e podemos te ajudar tornando sua organização menos vulnerável, agende um horário com nosso time comercial.
Referências:
https://learn.microsoft.com/pt-br/microsoft-365/security/intelligence/supply-chain-malware?view=o365-worldwide
https://g1.globo.com/economia/tecnologia/blog/altieres-rohr/post/2020/12/14/hackers-atacaram-empresa-de-tecnologia-de-redes-para-invadir-governo-dos-eua-e-fireeye.ghtml
https://olhardigital.com.br/2020/12/18/videos/ataque-hacker-a-solarwinds-afeta-empresas-e-governo-dos-eua/
https://www.cisoadvisor.com.br/ataque-a-solarwinds-foi-feito-de-dentro-dos-estados-unidos/
https://seginfo.com.br/2020/10/08/caso-maersk-saiba-como-o-notpetya-foi-responsavel-por-um-dos-maiores-ataques-ciberneticos-da-historia/
