2020-12-solarwinds

# SolarWinds SUNBURST - Supply Chain Attack (Dezembro 2020) > [!danger] Maior Operação de Espionagem Cibernética dos EUA > Em dezembro de 2020, o mundo descobriu que o [[g0016-apt29]] (Cozy Bear / SVR russo) havia comprometido silenciosamente a **SolarWinds Orion Platform** durante 9 meses, inserindo um backdoor em atualizações legítimas que chegaram a **18.000+ clientes** - incluindo o Departamento do Tesouro, State Department, DHS e empresas Fortune 500. O SUNBURST foi considerado a maior operação de espionagem cibernética contra os EUA. --- ## Attack Flow ```mermaid graph TB A["🏭 SolarWinds Build Environment Pipeline CI/CD comprometido Mar–Jun 2020"] --> B["🐛 SUNBURST Backdoor Inserido em Orion.Core.BusinessLayer.dll Assinado digitalmente pela SolarWinds"] B --> C["📦 Orion Update 2019.4–2020.2.1 Distribuído via HTTPS 18.000+ organizações instalam"] C --> D["⏳ Dormência de 2 Semanas Evita detecção sandbox Beacon aleatório C2"] D --> E["🌐 C2 via DNS avsvmcloud.com Tráfego disfarçado como Orion"] E --> F["🔍 Reconhecimento Interno Enumeração de usuários Mapeamento de AD e nuvem"] F --> G["🔑 TEARDROP / RAINDROP Malware de 2a fase Apenas alvos de alto valor"] G --> H["📧 Email / Cloud Access Office 365, Azure AD Exfiltração de inteligência"] ``` --- ## Método: Comprometimento do Pipeline de Build O aspecto mais sofisticado do ataque foi o ponto de entrada: o [[g0016-apt29]] não explorou uma vulnerabilidade no produto SolarWinds - comprometeu o **sistema de build** da empresa entre outubro de 2019 e março de 2020. O backdoor SUNBURST foi inserido diretamente no código-fonte da Orion Platform antes da compilação, garantindo que a assinatura digital da SolarWinds fosse aplicada ao artefato malicioso. Essa abordagem significava que as organizações recebiam um update **oficialmente assinado, verificado e distribuído** via canal legítimo - sem qualquer sinal de alerta. Os mecanismos de verificação de integridade tradicionais foram contornados pela própria autoridade do fornecedor. A detecção só ocorreu em 13 de dezembro de 2020, quando a [[mandiant]] investigou um incidente no próprio ambiente - e encontrou o SUNBURST durante análise forense. A FireEye havia sido comprometida pelo mesmo vetor semanas antes, e a investigação do próprio incidente levou à descoberta da campanha global. --- ## Alvos Confirmados e Impacto O APT29 foi cirúrgico: das 18.000+ organizações que receberam o SUNBURST, apenas algumas centenas foram selecionadas para comprometimento ativo de segunda fase (TEARDROP/RAINDROP). Os alvos de alto valor confirmados incluíam: - **Departamento do Tesouro dos EUA** - emails de funcionários exfiltrados - **Departamento de Segurança Interna (DHS)** - incluindo CISA - **Departamento de Estado** - comúnicações diplomáticas - **NSA / ODNI** - agências de inteligência - **Departamento de Energia / NNSA** - programa nuclear - **Microsoft, Intel, Cisco, VMware** - acesso a código-fonte e ferramentas internas A CISA emitiu a **Emergency Directive 21-01** - a mais severa já emitida até aquele momento - ordenando desconexão imediata da SolarWinds Orion em todo o governo federal. --- ## Técnicas e Evasão O SUNBURST foi projetado com evasão como prioridade máxima: 1. **Dormência de 12–14 dias** após instalação antes de qualquer comunicação C2 2. **Verificação de ambiente**: encerrava imediatamente em domínios com "test", "dev", "sinkhole" no nome 3. **Blocklist de processos de segurança**: desativava comunicação se detectasse CrowdStrike, Carbon Black, Tanium rodando 4. **C2 via DNS sobre HTTPS**: comunicação disfarçada como telemetria Orion legítima para `avsvmcloud.com` 5. **Intervalos aleatórios de beacon**: variação de 1 minuto a 14 dias para evitar detecção por anomalia de rede --- ## Resposta e Consequências A resposta ao SolarWinds gerou mudanças estruturais na segurança de software nos EUA: - **Executive Order 14028** (maio 2021) - Biden mandatou Software Bill of Materials (SBOM) para software vendido ao governo federal - **CISA SCuBA** (Secure Cloud Business Applications) - frameworks obrigatórios para cloud federal - Investimento de US$ 1,9 bilhão em cibersegurança federal via ARPA - Revisão de todos os contratos de software do governo com requisitos de segurança de supply chain A SolarWinds separou o ambiente de build, contratou ex-CISA director Chris Krebs e Chris Inglis como consultores, e adotou modelo **zero-trust** em toda infraestrutura. --- ## Nota: Eventos Relacionados no Vault > [!info] Este evento possui nota mais detalhada em [[2020-12-solarwinds-supply-chain]], que documenta a análise técnica completa do SUNBURST. Esta nota serve como referência cronológica na timeline principal. --- ## Referências CTI | Elemento | Ligação | |----------|---------| | Threat Actor | [[g0016-apt29]] - SVR / Rússia (Cozy Bear) | | Backdoor | SUNBURST - DLL trojanizada | | 2ª fase | TEARDROP, RAINDROP | | CVE auxiliar | [[cve-2020-10148\|CVE-2020-10148]] - SolarWinds API Auth Bypass | | Técnica MITRE | [[T1195.002]] - Compromise Software Supply Chain | | Técnica MITRE | [[T1071.004]] - DNS C2 | | Nota detalhada | [[2020-12-solarwinds-supply-chain]] | | Evento sucessor | [[2021-05-colonial-pipeline]] | --- > [!info] Navegação - Eventos Relacionados > [[2017-06-notpetya]] | [[2021-05-colonial-pipeline]] | [[g0016-apt29]] | [[2020-12-solarwinds-supply-chain]] | [[_timeline]]