# SolarWinds Compromise > [!critical] APT29 usou o ataque SolarWinds para comprometer agencias federais americanas e dezenas de empresas Fortune 500 > O **SolarWinds Compromise** e o nome dado ao conjunto de intrusoes de alto valor resultantes do [[solarwinds-supply-chain|ataque a cadeia de suprimentos da SolarWinds]]. Enquanto ~18.000 organizacoes instalaram o Orion comprometido, o [[g0016-apt29|APT29]] selecionou manualmente um subset de ~100 alvos de alto valor para exploração ativa - priorizando agencias governamentais americanas, empresas de tecnologia critica e firmas de segurança cibernetica. ## Visão Geral O **SolarWinds Compromise** e a fase de exploração ativa e pos-comprometimento da [[solarwinds-supply-chain|campanha SolarWinds Supply Chain]]. Embora aproximadamente 18.000 organizacoes tenham instalado as atualizacoes comprometidas do Orion contendo o backdoor [[s0559-sunburst|SUNBURST]], o [[g0016-apt29|APT29]] (SVR russo) selecionou cuidadosamente um subset muito menor - provavelmente menos de 100 organizacoes - para exploração ativa e profunda. A selecao dos alvos revelou as prioridades de inteligência do SVR: agencias governamentais americanas com acesso a informações diplomaticas, de segurança nacional e de politica externa; empresas de tecnologia com acesso a infraestrutura critica; e - significativamente - a empresa de segurança cibernetica FireEye, cujas ferramentas de Red Team seriam valiosas para operações futuras. A técnica mais sofisticada do comprometimento foi a forge de tokens SAML: ao comprometer certificados de assinatura SAML em sistemas Active Directory Federation Services (AD FS), o APT29 conseguiu gerar tokens de autenticação válidos que concediam acesso a ambientes cloud como Azure e Microsoft 365 sem credenciais válidas - efetivamente burlando MFA e criando um vetor de persistência que sobreviveria a desinstalacao do Orion comprometido. Esta nota foca no comprometimento ativo das vitimas selecionadas; para o contexto completo da campanha de supply chain, ver [[solarwinds-supply-chain|SolarWinds Supply Chain]]. ## Attack Flow (Pos-Comprometimento) ```mermaid graph TB A["SUNBURST Beacon<br/>DNS para avsvmcloud.com<br/>Vitima selecionada para ativacao"] --> B["Reconhecimento Profundo<br/>Varredura de AD, tokens OAuth<br/>Dados de servicos cloud"] B --> C["TEARDROP Implantado<br/>Memory-only dropper<br/>Nenhum arquivo em disco"] C --> D["Cobalt Strike BEACON<br/>Infraestrutura dedicada por vitima<br/>IP do mesmo pais da vitima"] D --> E["SAML Token Forge<br/>Certificados AD FS comprometidos<br/>Acesso cloud sem credenciais válidas"] E --> F["Exfiltração Seletiva<br/>Emails, documentos, código-fonte<br/>Dados de inteligencia de alto valor"] ``` ## TTPs Utilizadas | Tática | Técnica | ID | Observacao | |--------|---------|-----|------------| | Initial Access | Supply Chain Compromise | [[t1195-002-supply-chain-compromise\|T1195.002]] | Via Orion update comprometido com SUNBURST | | Defense Evasion | Code Signing | [[t1553-002-code-signing\|T1553.002]] | DLL assinada com certs legitimos SolarWinds | | Defense Evasion | Obfuscated Files | [[t1027-obfuscated-files\|T1027]] | XOR customizado, anti-forense, timestomping | | Defense Evasion | Indicator Removal | [[t1070-indicator-removal\|T1070]] | Remoção de backdoors após estabelecer acesso legitimo | | Persistence | Valid Accounts | [[t1078-valid-accounts\|T1078]] | Credenciais OAuth de aplicações comprometidas | | Credential Access | SAML Tokens | [[t1606-002-saml-tokens\|T1606.002]] | Forge de tokens via certs AD FS roubados | | Collection | Data from Info Repositories | [[t1213-data-from-information-repositories\|T1213]] | Acesso a wikis e repositorios de código internos | ## Vitimas Notaveis **Governo Américano:** - Departamento de Estado (comúnicacoes diplomaticas) - Departamento do Tesouro (sistemas financeiros e politica economica) - Departamento de Comercio (NTIA - dados de politica de internet) - DHS/CISA (o proprio orgao de cibersegurança dos EUA) - Escritorio Executivo do Presidente **Setor Privado:** - FireEye/Mandiant - ferramentas de Red Team roubadas; levou a descoberta do ataque - [[_microsoft|Microsoft]] - acesso a sistemas internos e código-fonte - Intel, Cisco, Deloitte - comprometimentos confirmados - [[_crowdstrike|CrowdStrike]] - tentativa de acesso detectada e bloqueada com sucesso ## Relacao com Outros Ataques O SolarWinds Compromise nao foi um evento isolado - faz parte de um padrao de operações do [[g0016-apt29|APT29]] contra a cadeia de suprimentos de tecnologia: - [[microsoft-corporate-breach-2024|Microsoft Corporaté Breach 2024]] - atribuido ao mesmo grupo (Midnight Blizzard) - As técnicas de SAML token forge foram posteriormente documentadas e se tornaram um TTP recorrente do APT29 - O [[s0265-kazuarv2|KAZUAR]] backdoor foi identificado em sistemas comprometidos pelo SolarWinds, conectando a campanha ao toolkit historico do APT29 ## Relevância LATAM e Brasil Ver [[solarwinds-supply-chain|SolarWinds Supply Chain]] para contexto completo de relevância regional. Específicamente para o SolarWinds Compromise: organizacoes brasileiras subsidiarias de empresas americanas comprometidas podem ter sido afetadas via movimento lateral ou compartilhamento de credenciais. Instancias do Microsoft 365 e Azure com federacao SAML que usavam SolarWinds Orion devem ser auditadas para evidências de token forging. ## Mitigação - Revisar todos os eventos de autenticação SAML no período marco-dezembro 2020 - Revogar e reemitir certificados AD FS e tokens OAuth de aplicações - Implementar [[m1032-multi-factor-authentication|M1032]] com métodos resistentes a token forging (FIDO2) - Adotar monitoramento de anomalias em autenticacoes cloud via [[m1031-network-intrusion-prevention|M1031]] ## Referências - [1](https://attack.mitre.org/campaigns/C0024/) MITRE ATT&CK - SolarWinds Compromise C0024 (APT29) - [2](https://cloud.google.com/blog/topics/threat-intelligence/evasive-attacker-leverages-solarwinds-supply-chain-compromises-with-sunburst-backdoor) Mandiant - SUNBURST Backdoor Analysis (2020) - [3](https://en.wikipedia.org/wiki/2020_United_States_federal_government_data_breach) Wikipedia - 2020 United States Federal Government Data Breach - [4](https://www.picussecurity.com/resource/blog/ttps-used-in-the-solarwinds-breach) Picus Security - TTPs in the SolarWinds Breach (2020) - [5](https://www.ic3.gov/CSA/2020/201229.pdf) FBI/CISA - APT Compromise Government Agencies Alert (2020)