SolarWind: Impacto no governo dos EUA continua a crescer

Já são 13 as entidades governamentais dos EUA afetadas pelo ataque à SolarWinds, com a recente revelação de que o Departamento da Justiça foi também atingido, tendo sido comprometidos os emails de mais de 3 mil funcionários

O Departamento de Justiça norte-americano confirmou no passado dia 5 de janeiro que os hackers responsáveis pelo ataque à cadeia de fornecimento da SolarWinds – o maior em memória, tendo afetado dezenas de milhares de organizações a nível mundial – atacaram os seus sistemas de IT, tendo acedido aos emails de múltiplos colaboradores.

“A este ponto, o número de caixas de email acedidas parece estar limitada a cerca de 3%, e não temos indicação que nenhuma informação confidencial tenha sido comprometida”, garante Marc Raimondi, porta-voz do Departamento de Justiça. Como tal, o número de endereços de email comprometidos deve ser entre 3000 e 3450. O ponto de entrada, acrescenta, foi entretanto bloqueado.

O Departamento da Justiça junta-se agora a uma crescente lista de entidades governamentais norte-americanas que admitiram ter sido afetadas pelo ataque, incluindo:

O Departamento do Tesouro
O Departamento do Comércio
O Departamento da Saúde
A Agência de Cibersegurança e Infraestrutura
O Departamento de Segurança Nacional
O Departamento do Estado
A Administração Nacional de Segurança Nuclear
O Departamento de Energia
Três governos estatais
A cidade de Austin

O ataque foi detetado no passado dia 14 de dezembro, quando a Microsoft e a FireEye confirmaram que a rede interna da empresa de software de IT texana SolarWinds havia sido comprometida. No seguimento deste ataque, 18 mil empresa privadas e entidades governamentais suas clientes fizeram download do update nos quais, sem o conhecimento da empresa, tinha sido inserido um backdoor trojan.

Apesar do seu largo espectro, a análise subsequente do ataque concluiu que os hackers apenas tomaram partido desta vulnerabilidade num número seleto de organizações, com o propósito explícito de recolher informações – possivelmente para propósitos de espionagem – sobre as atividades recentes do alvo através de um malware de segunda linha denominado Teardrop, que toma controlo da rede local para ganhar acesso à infraestrutura de cloud e email da organização.

No dia 5 de janeiro, o FBI, a Agência de Cibersegurança e Infraestrutura, o Gabinete do Diretor de Inteligência Nacional e a NSA publicaram uma declaração conjunta na qual atribuem o ataque à cadeia de fornecimento da SolarWinds a “um agente Advanced Persistent Threat (APT), provavelmente de origem russa”.

As quatro agência descrevem a operação SolarWinds como “um esforço de recolha de informação”, não uma tentativa de causar destruição ou disrupção na infraestrutura de IT norte-americana.