Hackers russos roubaram dados de clientes Microsoft

Hackers ligados ao governo da Rússia conseguiram ter acesso a informações de clientes da Microsoft e roubaram e-mails de mais de uma empresa do setor privado, segundo fontes relataram ao jornal The Washington Post. Analistas de segurança disseram que a confirmação da extensão do ataque é um dado preocupante na campanha de espionagem cibernética em andamento em Moscou visando várias agências dos EUA e redes de computadores corporativas.

As invasões teriam ocorrido por meio de um parceiro corporativo da Microsoft que lida com serviços de acesso à nuvem, disseram ao Post fontes a par do assunto. Eles não identificaram o parceiro ou a empresa que teve e-mails roubados.

A informação vem à tona dias depois de o presidente da Microsoft, Brad Smith, dizer que a empresa não viu nenhum cliente violado por meio de seus serviços, incluindo a alardeada plataforma de nuvem Azure usada por governos, grandes corporações e universidades em todo o mundo.

A revelação levantou preocupações entre analistas de segurança sobre a extensão da invasão dos hackers russos e quais dados podem ter sido obtidos.

“Se for verdade que os dados de um provedor de serviços em nuvem foram invadidos e estão nas mãos de algum ator ameaçador, essa é uma situação muito séria”, disse John Reed Stark, que dirige uma empresa de consultoria e é ex-chefe do escritório de cibersegurança do Departamento de Justiça dos EUA. “Deve gerar todos os tipos de alertas dentro desse provedor de nuvem que podem desencadear uma litania de requisitos de notificação e divulgação tanto nacionais quanto internacionais.”

Em um comunicado na semana passada, a Microsoft afirmou que estava notificando “mais de 40 clientes” que seus sistemas haviam sido violados. Alguns deles foram comprometidos por terceiros, disseram pessoas a par do assunto.

Segundo a empresa, os invasores hackearam o revendedor, roubando credenciais que podem ser usadas para obter amplo acesso às contas do Azure e de seus clientes. Uma vez dentro da conta de um determinado cliente, o invasor tinha a capacidade de ler – e roubar – e-mails, entre outras informações.

A Microsoft começou a alertar clientes do setor privado sobre o problema na semana passada. Jones disse que a empresa também informou ao governo dos EUA “que alguns parceiros revendedores foram afetados”, e a invasão pode também afetar agências estatais federais.

A invasão teria começado nos sistemas da SolarWinds, empresa com sede em Austin, no Texas, que vende suas tecnologias para entidades sensíveis do governo americano. A companhia presta serviços para o Departamento de Estado, Centros de Prevenção e Controle de Doenças (CDC), Sistemas de Informação Naval, FBI e Forças Armadas dos EUA. Mais de 400 corporações que aparecem nas listas das empresas mais ricas do país também utilizam as tecnologias da SolarWinds, que hoje atende cerca de 300 mil clientes em todo o mundo.

O alvo dos hackers foi o Orion, um dos produtos da SolarWinds usado por organizações para visualizar e gerenciar redes internas de computadores. Os invasores se aproveitaram de uma porta de entrada no software, permitindo que escapassem de sistemas de autenticação ou criptografia normais para esse tipo de mecanismo. Com isso, foi possível instalar um dispositivo para ter acesso a dados críticos.

Segundo analistas, os hackers estariam explorando uma brecha de segurança no Orion desde março. E como ela está ligada diretamente ao software original da SolarWinds, milhares de empresas e órgãos governamentais baixaram o programa oficial sem saber da vulnerabilidade, garantindo o acesso dos hackers a sistemas confidenciais. A SolarWinds não sabe dizer o número exato de entidades hackeadas.

O ataque dos hackers russos foi revelado no domingo em um relatório da FireEye, consultoria de segurança cibernética, que também está na lista de empresas afetadas pelo malware. De acordo com a companhia, o backdoor, chamado Sunburst, é diferente das demais ameaças dessa categoria porque, em vez de se infiltrar em vários sistemas simultaneamente, ele se concentra em um grupo mínimo de alvos, evitando levantar suspeitas. Para ampliar o disfarce, ele se infiltra no tráfego de rede como um programa oficial e armazena dados em arquivos legítimos, além de procurar por soluções de antivírus e saber quando evitá-las.

A FireEye diz que o Sunburst, embora tenha sido instalado no Orion em março, ficou “invisível” por semanas. Só depois é que começou a se comunicar com os hackers. Os atacantes ainda miraram um alvo por vez, evitando maiores suspeitas.

Para ajudar as organizações a descobrir se seus sistemas foram hackeados, a FireEye e a Microsoft publicaram uma lista com possíveis indicadores de comprometimento. O governo dos EUA também emitiu um alerta de emergência ordenando a todas empresas e usuários que se desconectem dos produtos da SolarWinds.

A investigação agora se tornou a principal prioridade para o general Paul Nakasone, que chefia a Agência de Segurança Nacional e o Comando Cibernético dos EUA. Descobrir a extensão das violações e os responsáveis por ela tem sido difícil porque nem a NSA, o Departamento de Segurança Interna, ou o FBI têm autoridade legal ou jurisdicional para saber onde estão todos os afetados pela invasão. (Com agências internacionais).