O ataque à SolarWinds em 2020 foi um ataque humilhante e total à segurança cibernética do governo dos EUA, e é provável que uma das principais razões pelas quais não seja mais famoso seja que ainda sabemos muito pouco sobre o que os hackers alcançaram. Mas agora temos mais algumas migalhas para trabalhar, porque novas revelações da Bloomberg revelaram que os hackers estavam nas contas de e-mail do Departamento do Tesouro, essencialmente fazendo o que queriam.
A reportagem da Bloomberg vem de uma ação judicial da Lei de Liberdade de Informação, que resultou na divulgação de um relatório de investigação redigido pelo inspetor-geral do Tesouro.
Para refrescar sua memória, a SolarWinds é uma empresa de gerenciamento de informações com sede no Texas que é uma parte pouco conhecida da cadeia de fornecimento de software, mas também onipresente e essencial. No início de 2020, a SolarWinds foi alvo de uma elite, possivelmente entidade afiliada à Rússiae se infiltrou por meio de uma combinação de engenharia social e hacking – essencialmente transformando uma peça-chave de seu software, chamada Orion Platform, em um distribuidor de malware, espalhando suas ferramentas de espionagem por todos os sistemas pertencentes aos clientes da SolarWinds. Essa lista de clientes incluía organizações sensíveis ao mais alto nível, como a Casa Branca e a NSA, expondo os hackers a redes de comunicações que processam informações confidenciais.
A principal informação chocante relatada logo após a descoberta do hack foi a duração da exposição: cerca de nove meses – a maior parte de 2020. Agora sabemos um pouco sobre quatro desses nove meses.
Bloomberg diz que a infiltração na conta SolarWinds do Departamento do Tesouro ocorreu em 6 de julho de 2020, quando a conta de administrador de mais alto nível do software SolarWinds do Tesouro foi comprometida. Os hackers aparentemente usaram essa conta para alterar um aplicativo chamado Secure Mail, que por sua vez “potencialmente permitia acesso a todos os endereços de e-mail que terminassem em ‘treasury.gov’”, de acordo com o relatório do inspetor-geral.
A infiltração no sistema de e-mail do Tesouro aparentemente durou até 12 de outubro de 2020, quando o Tesouro – aparentemente acidentalmente – encerrou a festa dos hackers com algum tipo de mudança no sistema. O usuário da conta de administrador comprometida afirma no relatório não saber quais e-mails específicos foram direcionados ou se algo foi realmente roubado ou não.
