Como proteger-se de ataques à cadeia de fornecimento?

As cadeias de fornecimento tornaram-se, no mundo hiperconectado que já nos define, num dos elos mais vulneráveis da cibersegurança industrial. A interdependência tecnológica entre organizações criou uma superfície de ataque ampla e complexa que os cibercriminosos aprenderam a explorar muito bem: agora, em vez de atacar diretamente a organização-alvo, dirigem os seus esforços para fornecedores ou serviços externos, que se tornam condutas através das quais se infiltra malware, se rouba informação ou se interrompem operações críticas.

Um dos ataques mais emblemáticos e devastadores neste sentido foi o perpetrado contra a SolarWinds em 2021, que evidenciou como até soluções legítimas e certificadas podem ser manipuladas, além de quão urgente é adotar novas estratégias de defesa que travem estas ameaças desde a sua origem.

O caso SolarWinds: quando o inimigo entra pela porta principal

No infame ataque à cadeia de fornecimento de 2021 vinculado à SolarWinds, uma importante empresa americana de software de gestão de IT, cibercriminosos presumivelmente apoiados por entidades governamentais estrangeiras injetaram código malicioso em atualizações de software legítimas do produto Orion. Esta porta traseira, conhecida como SUNBURST, conseguiu evitar os sistemas de defesa tradicionais na nuvem, e até desativá-los em alguns casos.

As atualizações comprometidas estavam assinadas com certificados digitais válidos, o que lhes permitiu contornar os controlos de segurança dos principais fornecedores. Ao provir de um software certificado, o pacote corrompido conseguiu passar as defesas baseadas em listas brancas e instalar-se sem levantar suspeitas em milhares de organizações, incluindo ambientes de tecnologia operacional (OT) e instituições governamentais. Assim, os atacantes obtiveram um ponto de acesso privilegiado a estes sistemas.

Uma vez dentro das redes, os atacantes implementaram uma operação sofisticada: descarregaram e executaram ficheiros maliciosos, executaram shellcodes, realizaram injeções para obter acesso total às aplicações e escalaram privilégios ao máximo. Foi necessário que uma empresa de cibersegurança fosse também vítima para que, por casualidade, detetasse a exfiltração das suas ferramentas críticas e se emitisse o alerta.

Alguns fabricantes admitiram que os seus produtos foram ludibriados ou desabilitados temporariamente, permitindo a execução livre de técnicas avançadas de ataque. Os atacantes atuaram com paciência e precisão, mantendo-se invisíveis durante longos períodos de tempo.

Este ataque sublinhou as limitações das defesas baseadas exclusivamente em IoCs (indicadores de compromisso) ou em antivírus de nova geração (NGAV), que foram incapazes de detetar e deter a ameaça.

Além disso, este incidente foi um ponto de inflexão para governos, empresas privadas e a indústria em geral, demonstrando que até as organizações mais protegidas podem ser vulneráveis perante ameaças avançadas e impulsionando-as a repensar a sua postura de cibersegurança.

Agora bem… O que NÃO teria acontecido com o AZT Protect?

O AZT Protect é um sistema de defesa integral que foi criado para proteger ativos críticos, impedindo a execução de código adulterado ou não confiável e aplicando a inteligência artificial para detetar e bloquear técnicas de ataque genéricas desde o primeiro momento.

A seguir, apresentamos uma análise detalhada da linha temporal do ataque SUNBURST, destacando cada fase e técnica utilizada e mostrando exatamente em que pontos o AZT Protect o teria detido.

Fase inicial: entrega da carga maliciosa mediante atualização legítima

O ataque SUNBURST começa com a entrega de uma carga maliciosa através de uma atualização legítima de Orion assinada pela SolarWinds. Como esta provém de uma fonte confiável, o sistema executa-a sem suspeitas. No entanto, a atualização introduz um mecanismo automatizado que, ao ativar-se, abre uma porta traseira para carregar mais código malicioso.

Neste ponto inicial, o agente AZT, ao vigiar continuamente a execução de código em memória, teria detetado e bloqueado a execução de shellcode utilizado para abrir a porta traseira. Este primeiro bloqueio teria sido suficiente para deter o SUNBURST antes de causar dano.

Para esta análise, o AZT Protect foi utilizado no modo “Deteção”, que permitiu observar o desenvolvimento completo do ataque sem bloqueá-lo. Esta modalidade, distinta do modo “Prevenção” que se utiliza por defeito em ambientes de produção, permite estudar em detalhe cada fase do ataque.

Numa implementação real, com o sistema a operar no modo “Prevenção”, as técnicas observadas teriam sido neutralizadas à medida que apareciam. Durante este exercício controlado, no entanto, permitiu-se que o ataque avançasse para evidenciar a sequência de eventos e as capacidades reativas do sistema.

Ativação do malware e abertura da porta traseira

O ataque continua quando o malware embutido se ativa, tentando abrir uma porta traseira mediante shellcode. O AZT Protect deteta-o imediatamente. Como detalhávamos antes, caso tivesse sido configurado no modo “Prevenção”, o ataque teria fracassado nesse instante. No contexto desta análise, no entanto, permitiu-se a sua execução para observar como progredia a ameaça e que outras técnicas implementava.

É importante destacar que o ataque empregou técnicas a nível de processo, difíceis de identificar sem uma vigilância constante da memória DRAM e, em muitos casos, do próprio núcleo (kernel) do sistema operativo. Neste contexto, o AZT Protect atua precisamente a nível kernel, mediante uma tecnologia patenteada que lhe permite observar em tempo real tanto os processos como o código que se executa em memória. Graças a isso, pode detetar uma ampla variedade de técnicas de ataque genéricas, incluindo aquelas que costumam passar despercebidas para soluções tradicionais.

Fortalezas de proteção do AZT Protect

A principal vantagem do AZT Protect é a sua capacidade de bloquear ataques antes de que se executem, mesmo que nunca tenham sido vistos antes. Ou seja, protege contra ataques de tipo zero-day desde o primeiro momento. Não depende de padrões prévios nem necessita de analisar IoCs na nuvem para deter ameaças, o qual pode gerar atrasos críticos, especialmente em ambientes OT que operam sob janelas de manutenção muito restritas.

Assim, o AZT Protect oferece defesa imediata contra vulnerabilidades de aplicações sem necessidade de atualizações, patches, conexão à internet ou soluções na nuvem. Além disso, pode detetar quando uma aplicação crítica foi adulterada mediante a exploração de vulnerabilidades, sem necessidade de que um CVE seja descoberto previamente.

Descarregar battlecard AZT Protect

Novo paradigma para a ciberdefesa

A brecha da SolarWinds mudou o panorama geopolítico da cibersegurança. Embora atribuída a um ator estatal, também deixou em evidência a fina linha que separa os ataques patrocinados por Estados e o cibercrime organizado. O nível de sofisticação do ataque, assim como o facto de ter afetado infraestruturas críticas e agências governamentais, manifesta o alcance real que podem chegar a ter este tipo de ameaças.

Na sequência deste caso, muitos países encontram-se a rever as suas estratégias de defesa cibernética, implementando novas normativas de cumprimento para infraestruturas críticas e empresas públicas. Também as seguradoras estão a elevar as suas exigências antes de outorgar coberturas, como demonstra o caso do ataque à Merck e a sua reclamação de 1.400 milhões de dólares.

Além disso, o incidente impulsionou a adoção do modelo de segurança Zero Trust, ao demonstrar que as arquiteturas tradicionais baseadas em perímetro são insuficientes face a ameaças persistentes avançadas.