O ataque à SolarWinds, que levou a uma fuga de dados de várias agências federais do governo norte-americano e comprometeu várias empresas, incluindo gigantes tecnológicas, foi um dos incidentes que marcou o panorama da cibersegurança em 2020. As investigações têm vindo a detalhar o papel de hackers russos no caso, mas agora suspeita-se que atacantes chineses tenham também participado no ataque.

De acordo com fontes a que a Reuters teve acesso, um grupo de hackers chineses conseguiu explorar uma outra vulnerabilidade no software desenvolvido pela SolarWinds. Em causa está o acesso aos sistemas do National Finance Center (NFC), uma das agências do Departamento da Agricultura dos Estados Unidos (USDA na sigla em inglês).

O NFC é responsável por prestar serviços financeiros a 160 agências do governo norte-americano, incluindo o FBI e os Departamentos de Segurança Interna, do Estado e do Tesouro. Os registos da entidade incluem informações sensíveis acerca dos mais de 600.000 funcionários das agências, como números de Segurança Social e de telefone, endereços de correio eletrónico e dados bancários.

Em resposta à agência noticiosa, um porta-voz da USDA afirmou que todos os indivíduos e organizações afetados já tinham sido notificados acerca do sucedido. No entanto, mais tarde, um outro porta-voz da mesma entidade indicou, sem disponibilizar uma explicação, que o NFC não tinha sido comprometido pelo ataque.

Fora da falta de consenso que parece existir no seio da USDA, o ministério chinês dos negócios estrangeiros indicou que a atribuição do ataque a hackers chineses é um “assunto tecnicamente complexo” e que qualquer alegação deveria ser suportada por provas concretas. “A China opõe-se decididamente e combate qualquer forma de ciberataque ou cibercrime”, sublinhou o ministério em comunicado.

Já a SolarWinds revelou que tinha conhecimento de um único cliente cuja rede interna tinha sido afetada por um novo grupo de hackers, mas que não tinha encontrado provas conclusivas acerca da sua identidade e que tinha disponibilizado um update para resolver a vulnerabilidade em questão ainda em dezembro do ano passado.

Hackers do ataque à SolarWinds recolhem dados através do Microsoft 365. Malwarebytes foi afetada
Hackers do ataque à SolarWinds recolhem dados através do Microsoft 365. Malwarebytes foi afetada
Ver artigo

Seguindo as recentes descobertas da FireEye, Sudhakar Ramakrishna, CEO da SolarWinds, revelou numa recente entrevista ao The Wall Street Journal que o primeiro grupo de hackers poderia estar a ler os emails da empresa há pelo menos nove meses. “Algumas contas de correio eletrónico foram comprometidas. Isso levou-os [hackers] a comprometer mais contas dentro do nosso ambiente do Office 365”, avançou o responsável.

Embora o objetivo de ambas as operações cibercriminosas tenha como alvo o governo norte-americano, os especialistas indicam que os grupos operam separadamente e com métodos diferentes.

Por um lado, o primeiro grupo de alegados hackers russos conseguiu infiltrar-se na rede interna da SolarWinds através de uma “back door” nas atualizações ao software Orion. Por outro, o grupo de hackers chineses terá explorado uma vulnerabilidade diferente no código do mesmo software, acedendo a redes que já tinham sido comprometidas anteriormente.

Os dois grupos de atacantes estão a focar-se em falhas de segurança em produtos de software relativamente desconhecidos por parte do público em geral, mas que são essenciais para múltiplas empresas e agências governamentais.

Segundo Tom Warrick, antigo membro do Departamento de Segurança Interna dos Estados Unidos, “dependendo do tipo de dados que foram comprometidos, esta pode ser uma falha de segurança extremamente séria”. De acordo com Warrick, toda a situação poderá fazer com que as forças adversárias consigam ganhar acesso privilegiado a sistemas de informação fulcrais dos Estados Unidos, recolhendo informação sensível e aperfeiçoando as suas táticas de espionagem.