Na semana passada, foi divulgada a notícia de que um adversário sofisticado penetrou na rede da FireEye e roubou as ferramentas de avaliação da Equipa Vermelha da empresa.O ataque está alegadamente ligado a um maiorataque à cadeia de abastecimentoque atingiu organizações governamentais, de consultoria, tecnologia e telecomunicações na América do Norte, Europa, Ásia e Médio Oriente.
Para ter uma ideia do que este conjunto de ferramentas roubadas é capaz de fazer, pode consultar alista prioritária de CVEs que a FireEye recomenda que as organizações resolvam imediatamente-em essência, a lista de vulnerabilidades conhecidas das quais a FireEye (e agora qualquer adversário com suas ferramentas) pode facilmente tirar proveito. Com base na lista, tudo, desde Citrix, Terminal Services, Microsoft Exchange, Windows endpoints e Microsoft Outlook, está em risco. Particularmente alarmante, perto do topo da lista de prioridades , é uma vulnerabilidade NETLOGON que resulta numa escalada de privilégios do Microsoft Active Directory, dando ao atacante acesso de administrador de domínio. Se um atacante utilizar esta vulnerabilidade específica, dada a natureza do Active Directory, o privilégio obtido pode facilitar o acesso a qualquer coisa na sua rede.
De acordo com os relatórios, o adversário comprometeu a FireEye, entre outros alvos, como o Tesouro dos EUA e o Departamento de Comércio, com "trojanizadas" para a SolarWinds, um fornecedor de tecnologia que ajuda o governo federal e as empresas da Fortune 500 a monitorizar a saúde das suas redes de TI. As actualizações distribuíram malware que a FireEye apelidou de SUNBURST. Este último ataque à cadeia de abastecimento agitou a comunidade informática, e com razão, tendo em conta a grande base de clientes da SolarWinds.Nos documentos da SEC apresentados a 14 de Dezembro,a SolarWinds afirmouque 18.000 clientesinstalaram a actualização com malware.A história ainda está a desenrolar-se e a extensão dos danos permanece desconhecida.
Numa entrevista àentrevista à Al Jazeeranessa mesma manhã, Richard Stiennon, analista-chefe de investigação da IT-Harvest, comparou o ataque à cadeia de abastecimento ao NotPetya, que se propagou de forma semelhante, disfarçando-se de uma actualização de software legítima.O NotPetya é facilmente o ciberataque mais destrutivo até à data, causando10 mil milhões de dólares em danos totaisem 2017, de acordo com funcionários da Casa Branca. Tal como muitas empresas de renome afectadas pelo NotPetya, a maior empresa de transportes marítimos do mundo, a Maersk,passou mais de uma semanaa recuperar manualmente o seu Active Directory.
O Active Directory está na mira dos atacantes
Em primeiro lugar, o sector concorda que a FireEye respondeu muito bem ao incidente, sendo extremamente transparente em relação às ferramentas roubadas daferramentas da Equipa Vermelhaque contêm scripts personalizados, algumas ferramentas de pirataria informática disponíveis ao público e alguns conjuntos de ferramentas desenvolvidos à medida.
De acordo com a FireEye, não existem explorações de dia zero nas ferramentas, pelo que todos os CVE mencionados têm correcções disponíveis. Mas isso não é garantia de que todos os sistemas, aplicações e plataformas afectados pela lista estejam actualizados. Tome nota da lista e certifique-se de que o seu ambiente está actualizado.
Há algumas lições a aprender proactivamente com esta história:
1. Os ciberataques exploram cada vez mais os pontos fracos da cadeia de abastecimento como um método eficaz de distribuição de malware para um impacto generalizado.
2. Os maus da fita estão a olhar para além das campanhas de violação do tipo "pulverizar e rezar" e começam a ser extremamente direccionados, atacando os bons da fita e tirando partido de qualquer propriedade intelectual (neste caso, ferramentas internas de pirataria informática) para obter vantagem.
3. Se uma organização como a FireEye, que se dedica exclusivamente à cibersegurança, não está completamente a salvo de ataques, a sua organização também não está.
4. Conjuntos de ferramentas automatizadas sofisticadas podem chegar facilmente às mãos de um atacante principiante, tornando-o um adversário tão perigoso como alguém com anos de experiência em equipas vermelhas.
5. O Windows e o Active Directory são os principais alvos dos ciberataques actuais. A natureza centralizada do acesso disponibilizado às contas de utilizador com privilégios elevados faz do Active Directory o foco perfeito de ciberataque. Por conseguinte, as organizações devem manter-se atentas às alterações efectuadas ao Active Directory, implementando mesmo medidas para monitorizar continuamente os indicadores de exposição, evitar alterações que elevem ainda mais o acesso a outras partes do seu ambiente e estar preparadas para recuperar de ransomware e outros ataques à integridade dos dados.
Embora o ataque da FireEye não represente o lançamento de ferramentas ou exploits nunca antes vistos, ele destaca a importância de manter seu ambiente corrigido contra vulnerabilidades conhecidas e o papel crítico que o Active Directory desempenha nos ataques cibernéticos atuais.Como guardião de aplicativos e dados críticos, o Active Directory se tornou o principal alvo de ataques generalizados que prejudicaram as empresas nos últimos anos.Ao compreender em que é que os maus da fita se estão a focar, deve procurar modificar a sua estratégia de segurança para construir a sua posição de protecção em torno das partes do ambiente que são valiosas para os atacantes.
Dada a escala do ataque à cadeia de suprimentos da SolarWinds e as violações subsequentes de agências governamentais e empresas de alto perfil, provavelmente veremos mais vítimas fazendo revelações nos próximos dias.Se tiver alguma dúvida sobre como proteger o seu Active Directory contra a lista de vulnerabilidades publicada pela FireEye ou quaisquer ataques em curso, não hesite emcontactaro pessoal da Semperis.