# SolarWinds Supply Chain > [!critical] APT29 comprometeu a cadeia de suprimentos da SolarWinds - 18.000 organizacoes impactadas em 2020 > O ataque SolarWinds foi o compromisso de supply chain mais significativo da historia moderna: o **APT29** (SVR russo) injetou o backdoor **SUNBURST** no processo de build do software Orion da SolarWinds, distribuindo-o para aproximadamente 18.000 clientes via atualização legitima e assinada digitalmente. Agencias federais americanas, empresas Fortune 500 e orgaos de inteligência foram comprometidos silenciosamente por até 14 meses. ## Visão Geral O **SolarWinds Supply Chain Attack** (MITRE C0024) representa um marco divisor na historia da segurança cibernetica: pela primeira vez, um ator de ameaça estado-nacao demonstrou capacidade de comprometer simultaneamente milhares de organizacoes ao contaminar o processo de construcao de software amplamente confiado. Atribuido ao [[g0016-apt29|APT29]] (Cozy Bear / SVR russo) com alta confiança pelos governos dos EUA e Reino Unido em abril de 2021, o ataque permaneceu indetectado por aproximadamente 14 meses. O vetor central foi a injecao de aproximadamente 4.000 linhas de código malicioso no arquivo `SolarWinds.Orion.Core.BusinessLayer.dll`, um componente legitimo do software Orion de monitoramento de rede. O arquivo comprometido foi assinado digitalmente com certificados válidos da SolarWinds, o que eliminava alertas de segurança convencionais. A campanha combinou paciencia operacional extrema com técnicas de evasão de classe mundial: o backdoor [[s0559-sunburst|SUNBURST]] aguardava até 14 dias antes de iniciar comunicação C2, verificava a presenca de ferramentas forenses e mascarava seu trafego de rede como telemetria legitima do protocolo Orion. O impacto geopolitico foi profundo. Agencias federais americanas - incluindo Departamento de Estado, Tesouro, Comercio e DHS - foram comprometidas. FireEye teve ferramentas de Red Team roubadas. Microsoft, Intel, Cisco e Deloitte confirmaram comprometimentos. O ataque catalisou uma revisao completa da postura de segurança de supply chain nos EUA e resultou em novos frameworks regulatorios para fornecedores de software governamental. Para o Brasil e a América Latina, embora nao hajá vitimas confirmadas públicamente, a campanha estabeleceu um precedente critico: qualquer organização que utilize software de monitoramento de rede amplamente adotado e vulnerável a comprometimentos silenciosos de supply chain de longa duracao. ## Attack Flow ```mermaid graph TB A["Comprometimento do Build<br/>SolarWinds - Set 2019<br/>Injecao SUNSPOT no pipeline"] --> B["SUNBURST Injetado<br/>DLL assinada digitalmente<br/>Distribuida como update legitimo"] B --> C["Instalação em ~18.000<br/>organizacoes via Orion update<br/>Mar-Jun 2020"] C --> D["Reconhecimento Silencioso<br/>Dormencia 14 dias<br/>Verificação anti-sandbox"] D --> E["Beacon DNS para C2<br/>avsvmcloud.com DGA<br/>Trafego mascarado como OIP"] E --> F["Selecao de Alvos<br/>Subset de alto valor<br/>~100 ativados manualmente"] F --> G["TEARDROP + Cobalt Strike<br/>Persistência profunda<br/>Movimento lateral via SAML"] G --> H["Exfiltração de Dados<br/>Código-fonte, emails<br/>Documentos sensiveis"] ``` ## Cronologia ```mermaid timeline title SolarWinds Supply Chain - Linha do Tempo 2019-09 : APT29 compromete infraestrutura SolarWinds 2019-10 : Primeira injecao de código - teste de conceito 2020-02 : SUNBURST injetado no pipeline de build do Orion 2020-03 : Updates maliciosos distribuidos para 18.000 clientes 2020-06 : Ultima versao comprometida distribuida 2020-10 : FireEye detecta anomalia - ataque em progresso 2020-12-08 : FireEye divulga roubo de ferramentas Red Team 2020-12-13 : Divulgacao publica - CISA Diretriz de Emergencia 21-01 2020-12-15 : Microsoft ativa killswitch no dominio avsvmcloud.com 2021-01-05 : FBI, CISA, ODNI e NSA confirmam atribuicao a Russia 2021-04 : EUA e Reino Unido atribuem formalmente ao SVR/APT29 ``` ## TTPs Utilizadas | Tática | Técnica | ID | Observacao na Campanha | |--------|---------|-----|------------------------| | Initial Access | Supply Chain Compromise | [[t1195-002-supply-chain-compromise\|T1195.002]] | Injecao no pipeline de build do Orion | | Defense Evasion | Code Signing | [[t1553-002-code-signing\|T1553.002]] | SUNBURST assinado com certificados legitimos SolarWinds | | Defense Evasion | Obfuscated Files | [[t1027-obfuscated-files\|T1027]] | Criptografia customizada XOR, anti-forense | | Defense Evasion | Indicator Removal | [[t1070-indicator-removal\|T1070]] | Substituicao temporaria de utilitarios, timestomping | | Persistence | Valid Accounts | [[t1078-valid-accounts\|T1078]] | Abuso de credenciais OAuth e service principals | | Credential Access | SAML Tokens | [[t1606-002-saml-tokens\|T1606.002]] | Forge de tokens SAML para acesso a Azure/M365 | | Lateral Movement | SMB/Admin Shares | [[t1021-002-smb-windows-admin-shares-lateral\|T1021.002]] | Movimento lateral via credenciais comprometidas | | Exfiltration | Exfiltration Alt Protocol | [[t1048-exfiltration-alternative-protocol\|T1048]] | Dados exfiltrados via canal C2 mascarado | ## Malware e Ferramentas - [[s0559-sunburst|SUNBURST]] - Backdoor principal injetado no Orion DLL; comúnica via HTTP mascarado como telemetria OIP - [[s0560-teardrop|TEARDROP]] - Dropper memory-only que carregou [[s0154-cobalt-strike|Cobalt Strike]] em alvos de alto valor - [[s0562-sunspot|SUNSPOT]] - Implante no pipeline de build que substituia o arquivo DLL durante compilacao - [[s0565-raindrop|Raindrop]] - Loader alternativo ao TEARDROP; entregava variantes do Cobalt Strike - [[s0154-cobalt-strike|Cobalt Strike]] - Framework C2 implantado nos alvos mais criticos para persistência e movimento lateral ## Vitimas e Impacto **Agencias do governo americano comprometidas:** - Departamento de Estado, Tesouro, Comercio, DHS, Justica - NSA (o proprio orgao de espionagem eletronico dos EUA usava SolarWinds) - Escritorio Executivo do Presidente **Setor privado confirmado:** - [[_microsoft|Microsoft]] - acesso a código-fonte e sistemas internos - [[_crowdstrike|CrowdStrike]] - tentativa de acesso detectada e bloqueada - FireEye/Mandiant - ferramentas de Red Team roubadas - Intel, Cisco, Deloitte - comprometimentos confirmados **Escala global:** ~18.000 organizacoes instalaram atualizacoes comprometidas; ~100 foram ativadas para exploitacao ativa pelo APT29 ## Relevância LATAM e Brasil O Brasil nao possui vitimas públicamente confirmadas, porém a campanha tem relevância direta para a regiao por tres razoes: (1) Multinacionais com operações brasileiras que usavam SolarWinds Orion podem ter sido afetadas sem divulgacao pública; (2) O modelo de ataque via supply chain de software de gestao e gerenciamento de rede e perfeitamente replicavel contra fornecedores de TI amplamente utilizados no setor governamental e financeiro brasileiro; (3) O caso catalisou a criação de requisitos de segurança em cadeia de suprimentos que influenciaram frameworks regulatorios incluindo a [[lgpd|LGPD]] e normas do [[bacen-3909|BACEN 3909/2021]]. Organizacoes brasileiras que utilizavam SolarWinds Orion nas versoes afetadas (2019.4 a 2020.2.1 HF1) devem realizar forensic review de seus ambientes do período de 2020. ## Mitigação **Acoes técnicas prioritarias:** - Revisar logs de sistemas SolarWinds Orion para o período Marco-Dezembro 2020 - Auditar todas as contas OAuth, service principals e permissoes no Azure AD/M365 - Revogar e reemitir tokens SAML de todos os sistemas de federacao de identidade - Implementar verificação de integridade de software via [[m1045-code-signing|M1045]] na cadeia de fornecimento **Controles estratégicos:** - Adotar [[m1016-vulnerability-scanning|M1016]] - monitoramento continuo de integridade de binarios de fornecedores - Implementar [[m1032-multi-factor-authentication|M1032]] - MFA resistente a phishing para todas as contas privilegiadas - Revisar e limitar permissoes de OAUTH applications e service principals - Exigir SBOM (Software Bill of Materials) de fornecedores criticos ## Referências - [1](https://cloud.google.com/blog/topics/threat-intelligence/evasive-attacker-leverages-solarwinds-supply-chain-compromises-with-sunburst-backdoor) Mandiant - Highly Evasive Attacker Leverages SolarWinds Supply Chain (2020) - [2](https://attack.mitre.org/campaigns/C0024/) MITRE ATT&CK - SolarWinds Compromise C0024 - [3](https://unit42.paloaltonetworks.com/solarstorm-supply-chain-attack-timeline/) Unit 42 - SolarStorm Supply Chain Attack Timeline (2020) - [4](https://www.ic3.gov/CSA/2020/201229.pdf) FBI/CISA - APT Compromise of Government Agencies (2020) - [5](https://en.wikipedia.org/wiki/2020_United_States_federal_government_data_breach) Wikipedia - 2020 United States Federal Government Data Breach - [6](https://www.picussecurity.com/resource/blog/ttps-used-in-the-solarwinds-breach) Picus Security - TTPs Used in the SolarWinds Breach (2020)