Publicado originalmente por Wired
Os atacantes estavam em milhares de redes corporativas e governamentais. Eles ainda podem estar lá agora. Nos bastidores da investigação da SolarWinds.
Steven Adair não era muito agitado no início.
Era final de 2019 e Adair, presidente da empresa de segurança Volexity, estava investigando uma violação de segurança digital em um think tank americano. A intrusão não foi nada de especial. Adair imaginou que ele e sua equipe derrotariam os atacantes rapidamente e acabariam com o caso – até que notaram algo estranho. Um segundo grupo de hackers estava ativo na rede do think tank. Eles estavam atrás de e-mails, fazendo cópias e enviando para um servidor externo. Esses invasores eram muito mais habilidosos e voltavam à rede várias vezes por semana para desviar a correspondência de executivos específicos, especialistas em políticas e equipe de TI.
Adair e seus colegas apelidaram a segunda gangue de ladrões de “Dark Halo” e os expulsaram da rede. Mas logo eles estavam de volta. Como se viu, os hackers haviam plantado um backdoor na rede três anos antes – um código malicioso que abria um portal secreto, permitindo que eles entrassem ou se comunicassem com as máquinas infectadas. Agora, pela primeira vez, eles o estavam usando. “Fechamos uma porta e eles foram rapidamente para a outra”, diz Adair.
Sua equipe passou uma semana expulsando os atacantes novamente e se livrando da porta dos fundos. Mas no final de junho de 2020, os hackers voltaram de alguma forma. E eles voltaram a pegar e-mails das mesmas contas. Os investigadores passaram dias tentando descobrir como eles haviam voltado. O Volexity concentrou-se em um dos servidores do think tank — uma máquina executando um software que ajudava os administradores de sistema da organização a gerenciar sua rede de computadores. Esse software foi feito por uma empresa que era bem conhecida pelas equipes de TI em todo o mundo, mas provavelmente atrairia olhares vazios de praticamente todo mundo – uma empresa de Austin, Texas, chamada SolarWinds…
Veja o artigo completo no site Wired