SolarWinds Sunburst
O que é SolarWinds Sunburst?
SolarWinds SunburstAtaque a cadeia de fornecimento de 2020 em que a backdoor Sunburst foi inserida em atualizacoes do SolarWinds Orion, comprometendo agencias do governo dos EUA e empresas globais.
O Sunburst e a backdoor trojanizada implantada na plataforma de gestao TI SolarWinds Orion entre marco e junho de 2020 e descoberta pela FireEye em dezembro de 2020. Os atacantes comprometeram o pipeline de compilacao da SolarWinds e inseriram codigo malicioso em atualizacoes Orion legitimamente assinadas, que foram entao distribuidas a cerca de 18.000 organizacoes. Um subconjunto, incluindo os Departamentos do Tesouro, Comercio, Justica e Seguranca Interna dos EUA, FireEye e Microsoft, sofreu exploracao adicional via implantes TEARDROP e Cobalt Strike. As autoridades norte-americanas atribuiram a campanha a UNC2452 / APT29 (SVR). O incidente impulsionou reformas profundas na seguranca da cadeia de fornecimento de software, incluindo SBOM e builds assinados.
● Exemplos
- 01
Um servidor Orion contacta avsvmcloud.com e recebe uma carga util Cobalt Strike na segunda fase.
- 02
Uma agencia reconstroi a sua implantacao Orion a partir de media limpa e roda todos os certificados de assinatura SAML.
● Perguntas frequentes
O que é SolarWinds Sunburst?
Ataque a cadeia de fornecimento de 2020 em que a backdoor Sunburst foi inserida em atualizacoes do SolarWinds Orion, comprometendo agencias do governo dos EUA e empresas globais. Pertence à categoria Vulnerabilidades da cibersegurança.
O que significa SolarWinds Sunburst?
Ataque a cadeia de fornecimento de 2020 em que a backdoor Sunburst foi inserida em atualizacoes do SolarWinds Orion, comprometendo agencias do governo dos EUA e empresas globais.
Como funciona SolarWinds Sunburst?
O Sunburst e a backdoor trojanizada implantada na plataforma de gestao TI SolarWinds Orion entre marco e junho de 2020 e descoberta pela FireEye em dezembro de 2020. Os atacantes comprometeram o pipeline de compilacao da SolarWinds e inseriram codigo malicioso em atualizacoes Orion legitimamente assinadas, que foram entao distribuidas a cerca de 18.000 organizacoes. Um subconjunto, incluindo os Departamentos do Tesouro, Comercio, Justica e Seguranca Interna dos EUA, FireEye e Microsoft, sofreu exploracao adicional via implantes TEARDROP e Cobalt Strike. As autoridades norte-americanas atribuiram a campanha a UNC2452 / APT29 (SVR). O incidente impulsionou reformas profundas na seguranca da cadeia de fornecimento de software, incluindo SBOM e builds assinados.
Como se defender contra SolarWinds Sunburst?
As defesas contra SolarWinds Sunburst costumam combinar controles técnicos e práticas operacionais, conforme detalhado na definição acima.
Quais são outros nomes para SolarWinds Sunburst?
Nomes alternativos comuns: UNC2452, Solorigate, Backdoor Sunburst.
● Termos relacionados
- attacks№ 1116
Ataque à cadeia de fornecimento
Ataque que compromete um fornecedor de software, hardware ou serviços de confiança para alcançar os seus clientes a jusante.
- malware№ 080
Backdoor
Mecanismo encoberto que contorna a autenticação ou os controlos de acesso normais para conceder ao atacante acesso futuro ao sistema.
- defense-ops№ 193
Cobalt Strike
Plataforma comercial de simulacao de adversarios amplamente usada em operacoes de red team e frequentemente abusada por atacantes para pos-exploracao e comando e controle.