Além dos russos: hackers chineses também teriam atacado a SolarWinds

O ano de 2020 terminou com uma bomba para o mercado de segurança cibernética — especialistas identificaram uma elaborada e sofisticada campanha maliciosa contra a SolarWinds, respeitada fornecedora de serviços de TI. Os atacantes (que acredita-se serem de origem russa) conseguiram comprometer o ambiente usado para compilar o software de gerenciamento Orion, distribuindo uma versão “trojanizada” para mais de 18 mil empresas.

• Campanha hacker contra os EUA atingiu pelo menos 40 empresas
• Só fica pior! Ataque à SolarWinds expôs códigos-fonte da Microsoft
• Hackers chineses estavam usando o Exchange para espionar usuários, diz Microsoft

Porém, as primeiras investigações a respeito do incidente logo revelaram que, ao que tudo indica, a plataforma Orion também possuía brechas “naturais” em sua estrutura que também foram abusadas para instalar uma web shell maliciosa batizada de Supernova na rede dos clientes da SolarWinds. Por muito tempo, acreditava-se que esta segunda manobra também tinha sido efetuada pelos russos, mas tudo indica que estávamos errados.

De acordo com uma nova pesquisa do Counter Threat Unit (CTU), time de especialistas da Secureworks, a Supernova é uma obra de um grupo de hackers estatais chineses que os pesquisadores nomearam de “Spiral”. Isso significa que o SolarWinds Orion estava sendo atacado por duas entidades governamentais distintas simultaneamente — e possivelmente sem que uma delas soubesse da atividade alheia.

A CTU só foi capaz de levantar essa teoria após comparar os métodos usados no incidente da SolarWinds com os empregados em outro ataque cibernético sofrido em agosto de 2020 pela ManageEngine, cliente da Secureworks. Em tal episódio, os criminosos agiram exatamente da mesma forma para abusar de uma vulnerabilidade de dia zero no produto ManageEngine ServiceDesk, também com intuito de ganhar acesso a redes corporativas.

Diversidade chinesa

“Inicialmente, os pesquisadores da CTU não conseguiram atribuir a atividade de agosto a nenhum grupo de ameaças conhecido. No entanto, as seguintes semelhanças com a intrusão do Spiral no final de 2020 sugerem que tal grupo foi o responsável por ambas as invasões”, explicaram os especialistas. O Spiral já foi categorizado como mais uma APT — sigla para advanced persistent threat ou ameaça persistente avançada.

Como bem lembram os pesquisadores da CTU, a descoberta de mais uma APT patrocinada pelo governo chinês só reforça os esforços do país asiático em espionar empresas e órgãos do ocidente. Recentemente, outro grupo de hackers chineses — os HAFNIUM — ganharam notoriedade na mídia após abusar de falhas em versões antigas do Microsoft Exchange para obter acesso a servidores de centenas de companhias ao redor do globo.

“Em um momento em que todos estão caçando web shells do HAFNIUM por causa da vulnerabilidade de dia zero no Exchange que aprendemos na semana passada, a atividade da Spiral é um lembrete de que as empresas estão sendo golpeadas em mais de uma frente”, afirma Juan Andres Guerrero-Saade, pesquisador de ameaças da SentinelOne, ao Ars Technica. Segundo o especialista, o relatório é “um lembrete da diversidade e amplitude do ecossistema APT”.

Fonte: Ars Technica