# FireEye Breach - O Fio que Revelou o SolarWinds (Dezembro 2020) > [!danger] A Empresa de Segurança que Descobriu a Maior Espionagem da Historia > Em 8 de dezembro de 2020, a **FireEye** (hoje Mandiant) públicou um post surpreendente: a propria empresa havia sido comprometida por um **ator estatal sofisticado**. Ferramentas proprietarias de red team - usadas para testes de penetracao em clientes - foram roubadas. A investigação interna sobre esse comprometimento levou a uma descoberta monumental: o vetor era uma **atualização do SolarWinds Orion** com um backdoor inserido pelo [[g0016-apt29]] (Cozy Bear / SVR russo). O que comecou como investigação de um breach de uma empresa de segurança tornou-se a revelacao do **maior ataque de espionagem cibernética da historia**, afetando 18.000 organizacoes incluindo múltiplas agencias do governo americano. --- ## Attack Flow ```mermaid graph TB A["🔍 APT29 Descobre FireEye como Alvo<br/>Reconhecimento de alto valor<br/>Ferramentas red team como objetivo"] --> B["📦 SolarWinds Orion Comprometido<br/>SUNBURST inserido no build<br/>Atualiza distribuição legitima"] B --> C["💻 FireEye Instala Update Orion<br/>Plataforma de monitoramento<br/>SUNBURST dormente 14 dias"] C --> D["🔓 SUNBURST Ativado<br/>C2 via DNS avsvmcloud.com<br/>Simula trafego legitimo Orion"] D --> E["🛠️ Ferramentas Red Team Acessadas<br/>Scripts e tools proprietarias<br/>Exfiltração sem detecção"] E --> F["🔎 Investigação Interna FireEye<br/>Detecta MFA suspeito<br/>Novo iPhone registrado"] F --> G["📢 Divulgacao Publica 8 Dez 2020<br/>Blog post + CVEs para defesa<br/>Revela SolarWinds como vetor"] G --> H["🌍 Cascata: 18.000 Orgs Comprometidas<br/>Governo EUA, Microsoft, Intel<br/>CISA Diretiva de Emergencia 21-01"] ``` --- ## A Descoberta Acidental A detectacao do comprometimento nao foi via sistema de monitoramento sofisticado - foi por **anomalia comportamental de baixo nivel**. Um analista de segurança da FireEye notou que um segundo smartphone havia sido registrado para autenticação MFA em uma conta corporativa. O funcionario nao havia registrado tal dispositivo. Ao investigar a anomalia, a equipe de segurança descobriu evidências de acesso nao autorizado persistente. O detalhe que tornou a descoberta possível: o atacante havia tentado registrar o novo dispositivo MFA de um IP residencial - um erro operacional pequeno que criou o sinal de alerta. Ate esse momento, o [[g0016-apt29]] havia mantido presenca completamente silenciosa por semanas ou meses. --- ## As Ferramentas de Red Team Roubadas A FireEye publicou imediatamente **456 regras de detecção** (Snort, Yara, ClamAV e OpenIOC) para detectar uso das ferramentas roubadas - uma decisao que foi amplamente elogiada na comunidade de segurança. As ferramentas nao eram zero-days proprietarios - eram scripts e frameworks que automatizavam técnicas conhecidas - mas em maos erradas poderiam facilitar ataques futuros contra clientes da propria FireEye. A transparencia da FireEye ao publicar as regras de detecção antes de qualquer detalhe sobre o comprometimento definiu um padrao de responsabilidade para o setor. --- ## Por que a FireEye Era um Alvo Premium A FireEye tinha acesso privilegiado a inteligência sobre ameaças globais: - **Dados de incidentes de clientes** de centenas de organizacoes governamentais e corporativas - **Ferramentas de red team** que revelavam TTPs ofensivos valorizados por atores estatais - **Conhecimento sobre atribuicao** de ataques - quem fez o que - **Relacionamentos com agencias de inteligência** como NSA, CISA e FBI Para o SVR russo, comprometer a FireEye significava potencialmente acessar informações sobre operações de contrainteligência americana e técnicas ofensivas utilizadas por aliados. --- ## A Cascata: De um Breach para 18.000 Organizacoes A investigação interna da FireEye identificou rapidamente que o vetor era o **SolarWinds Orion** - software de monitoramento de rede instalado por práticamente todas as organizacoes Fortune 500 e governos ocidentais. O SUNBURST havia sido inserido nas versoes 2019.4 a 2020.2.1, distribuidas entre marco e junho de 2020. O aviso coordenado com a SolarWinds, Microsoft, CISA e FBI em 13 de dezembro de 2020 desencadeou: - CISA **Diretiva de Emergencia 21-01**: todas as agencias federais americanas devem desligar o SolarWinds Orion - Microsoft: assumiu controle do dominio C2 `avsvmcloud[.]com` via sinkhole - SolarWinds: patches de emergencia e auditoria completa do pipeline de build --- ## Impacto para a Industria de Segurança O caso gerou um paradoxo perturbador: **se a FireEye - especialista global em resposta a incidentes - podia ser comprometida por meses sem detectar, nenhuma organização estava segura**. A confiança em produtos de segurança como detecção magica foi abalada. Para o [[g0016-apt29]], o comprometimento da FireEye foi provavelmente apenas um alvo de oportunidade dentro de uma operação muito maior. A escala do SolarWinds attack mostrou que o objetivo principal era espionagem governamental sistemica, nao danos financeiros. --- ## Relevância para o Brasil Embora o foco principal fosse agencias americanas, organizacoes brasileiras que usavam o SolarWinds Orion foram potencialmente afetadas. O [[cert-br]] emitiu alerta sobre o incidente. O Ministerio da Defesa e orgaos de inteligencia brasileiros revisaram suas dependencias em software de monitoramento de rede estrangeiro. O incidente acelerou discussoes sobre **soberania digital** e riscos de dependencia de softwares estrangeiros em infraestrutura critica brasileira. --- ## Cronologia do Incidente | Data | Evento | |------|--------| | Out 2019 | APT29 insere probe inicial no build da SolarWinds | | Mar-Jun 2020 | SUNBURST distribuido via updates do Orion | | Abr-Mai 2020 | FireEye possívelmente comprometida (timeline estimada) | | Nov 2020 | Analista FireEye detecta MFA anomalo | | 8 Dez 2020 | FireEye pública breach e libera 456 regras de detecção | | 13 Dez 2020 | Divulgacao coordenada SolarWinds/CISA/FBI | | 14 Dez 2020 | CISA emite Diretiva de Emergência 21-01 | | Mai 2021 | Biden assina Executive Order 14028 | --- ## Referências CTI | Elemento | Ligacao | |----------|---------| | Threat Actor | [[g0016-apt29]] - Cozy Bear / Nobelium / SVR | | Campanha | [[solarwinds-supply-chain-attack]] | | Malware | [[s0559-sunburst]] - backdoor no SolarWinds Orion | | Técnica MITRE | [[t1195-supply-chain-compromise]] | | Técnica MITRE | [[t1071-application-layer-protocol]] - C2 via DNS | | Evento que desencadeou | [[2020-12-solarwinds-supply-chain]] | | Contexto setor | [[cybersecurity]] - empresa de segurança como alvo | --- > [!info] Navegacao - Eventos Relacionados > [[2020-12-solarwinds-supply-chain]] | [[2020-12-solarwinds]] | [[g0016-apt29]] | [[s0559-sunburst]] | [[_timeline]]