# SolarWinds Supply Chain Attack > [!danger] APT29 comprometeu 18.000 organizacoes via update do SolarWinds Orion - espionagem de Estado em escala > Entre outubro de 2019 e dezembro de 2020, o [[g0016-apt29|APT29 / Cozy Bear]] (SVR russo) inseriu o backdoor SUNBURST em atualizacoes legitimas do SolarWinds Orion, comprometendo aproximadamente 18.000 clientes - incluindo 9 agencias federais americanas, Microsoft, FireEye e dezenas de empresas Fortune 500. A campanha permaneceu indetectada por 14 meses, redefinindo o risco global de supply chain de software. ## Visão Geral **SolarWinds Supply Chain Attack** é uma campanha de espionagem cibernética sofisticada atribuída com alta confiança a [[g0016-apt29|APT29 / Cozy Bear]] (SVR - Serviço de Inteligência Estrangeiro da Rússia), ativa entre março de 2020 e janeiro de 2021, descoberta públicamente em dezembro de 2020. A campanha comprometeu o processo de build do software SolarWinds Orion, inserindo o backdoor [[s0559-sunburst]] em atualizações legítimas distribuídas a aproximadamente 18.000 clientes. Os alvos primários incluíram organizações dos setores [[government]], [[technology]] e [[telecommunications|telecomúnicações]], com impacto confirmado em agências governamentais dos EUA, empresas de segurança cibernética e organizações de infraestrutura crítica. **Motivação inferida:** Espionagem estratégica - coleta de inteligência política e tecnológica. **Motivacao adicional:** A campanha permaneceu indetectada por mais de 14 meses - de setembro de 2019 a dezembro de 2020. O mecanismo de dormencia do [[s0559-sunburst]] aguardava até 14 dias antes de ativar comunicação C2, e verificava a presenca de ferramentas de segurança para evitar análise. **Relevância LATAM/Brasil:** Impacto direto limitado na regiao, mas a campanha redefiniu o cenário global de ameaças a cadeias de suprimentos de software e serve como referência para análise de risco em organizacoes brasileiras que utilizam software de fornecedores globais. ## Attack Flow ```mermaid graph TB A["🔓 Acesso ao Build Server<br/>SolarWinds - set/2019<br/>via credenciais comprometidas"] --> B["💉 SUNSPOT Implant<br/>Monitoramento do processo de build<br/>injeta SUNBURST quando build inicia"] B --> C["📦 SUNBURST no Orion<br/>Backdoor inserido em DLL legítima<br/>assinado digitalmente pela SolarWinds"] C --> D["🌍 Distribuição em Massa<br/>18.000 organizacoes recebem<br/>update Orion 2019.4 a 2020.2.1"] D --> E["⏱️ Período de Latencia<br/>SUNBURST aguarda 12-14 dias<br/>verifica dominio = nao análise"] E --> F["📡 C2 via DNS<br/>Subdominios avsvmcloud.com<br/>comúnicação mascarada como OIP"] F --> G["🎯 Selecao de Alvos<br/>Subconjunto de 18K escolhido<br/>para comprometimento profundo"] G --> H["🔑 Movimento Lateral<br/>SAML token forging<br/>acesso a Office 365 / Azure AD"] H --> I["📤 Exfiltração<br/>Emails + docs classificados<br/>via GoldFinder + GoldMax"] ``` ```mermaid gantt title SolarWinds Supply Chain Attack - APT29 dateFormat YYYY-MM section Fases Acesso inicial e preparação :2019-09, 2020-02 Insercao do SUNBURST no build :2020-02, 2020-03 Distribuição de updates maliciosas :2020-03, 2020-06 Operação furtiva ativa :2020-06, 2020-12 Descoberta e resposta :2020-12, 2021-04 ``` ## Linha do Tempo | Data | Evento | |------|--------| | 2019-09-04 | Atacantes obtêm acesso inicial aos sistemas da SolarWinds | | 2019-10 | Código de teste injetado no processo de build do Orion | | 2020-02-20 | Compilação do backdoor [[s0559-sunburst]] inserido no código-fonte | | 2020-03-26 | SolarWinds distribui atualizações do Orion contendo código malicioso | | 2020-06 | Período de distribuição de atualizações comprometidas encerra | | 2020-12-08 | FireEye descobre comprometimento de sua própria rede | | 2020-12-13 | FireEye divulga públicamente a descoberta do backdoor SUNBURST | | 2020-12-15 | Microsoft, GoDaddy e FireEye executam sinkhole do domínio C2 | | 2021-01-05 | CISA emite diretiva de emergência para agências federais dos EUA | | 2021-04 | Governos dos EUA e Reino Unido atribuem formalmente o ataque ao SVR | ## TTPs Utilizadas (Mapa ATT&CK) | Tática | Técnica | ID | Observação na Campanha | |--------|---------|-----|------------------------| | Initial Access | Supply Chain Compromise | [[t1195-002-supply-chain-compromise\|T1195.002]] | Inserção de backdoor no build do SolarWinds Orion | | Execution | PowerShell | [[t1059-001-powershell\|T1059.001]] | Execução de comandos pós-comprometimento | | Persistence | Scheduled Task | [[t1053-005-scheduled-task\|T1053.005]] | Manutenção de acesso persistente em sistemas comprometidos | | Defense Evasion | Obfuscated Files | [[t1027-obfuscated-files\|T1027]] | Ofuscação do tráfego C2 como protocolo OIP legítimo | | Command and Control | Web Protocols | [[t1071-001-web-protocols\|T1071.001]] | Comúnicação C2 via HTTPS mascarada como tráfego Orion | | Discovery | System Information Discovery | [[t1082-system-information-discovery\|T1082]] | Reconhecimento do ambiente antes de movimentação lateral | | Lateral Movement | Remote Services | [[t1021-remote-services\|T1021]] | Movimentação lateral usando credenciais obtidas | | Exfiltration | Exfiltration Over C2 Channel | [[t1041-exfiltration-c2\|T1041]] | Exfiltração de dados por canal C2 estabelecido | ## Malware e Ferramentas - [[s0559-sunburst]] - backdoor principal inserido no SolarWinds Orion; comunicação C2 via DNS e HTTPS - [[s0562-sunspot]] - implante responsável por injetar SUNBURST no processo de build do Orion - [[s0560-teardrop]] - dropper pós-exploração em memória que entregava [[s0154-cobalt-strike|Cobalt Strike]] Beacon - [[s0565-raindrop]] - loader adicional para movimentação lateral entre sistemas comprometidos - [[s0588-goldmax|GoldMax]] - backdoor de segunda fase para persistência de longo prazo (MITRE C0024) - [[s0597-goldfinder|GoldFinder]] - HTTP tracer para mapear proxies e redirecionadores na cadeia C2 - [[s0589-sibot|Sibot]] - downloader VBScript de segunda fase para recuperar payloads adicionais - [[s0682-trailblazer|TrailBlazer]] - backdoor de substituição utilizado em fases avançadas da intrusão - [[mimikatz|Mimikatz]] - coleta de credenciais em memória - [[s0552-adfind|AdFind]] - reconhecimento de Active Directory - **Ferramentas legítimas abusadas:** [[s0154-cobalt-strike|Cobalt Strike]], PowerShell, WMI, certutil ## Alvos e Impacto **Setores alvejados:** - [[government]] - espionagem em agências federais dos EUA (Treasury, Commerce, DHS, State) - [[technology]] - acesso a propriedade intelectual e código-fonte (Microsoft, FireEye, Intel, Cisco) - [[telecommunications|telecomúnicações]] - interceptação de comúnicações estratégicas - [[critical-infrastructure|infraestrutura crítica]] - acesso a sistemas de energia e utilidades **Países com vítimas confirmadas:** - EUA - centenas de organizações entre 18.000 que instalaram atualizações comprometidas - Reino Unido, Canadá, Bélgica, Israel - vítimas confirmadas em setores governamentais **Impacto documentado:** - Aproximadamente 18.000 organizações instalaram atualizações comprometidas - Comprometimento confirmado de pelo menos 9 agências federais dos EUA - Dados de inteligência e política externa potencialmente exfiltrados ## Resposta e Mitigação **Ações de resposta documentadas:** - 2020-12-13: FireEye públicou IoCs e análise técnica detalhada - 2020-12-15: Microsoft, GoDaddy e FireEye executaram sinkhole do domínio avsvmcloud[.]com - 2021-01-05: CISA emitiu Diretiva de Emergência 21-01 para agências federais - 2021-04: Sanções dos EUA contra Rússia e expulsão de diplomatas ## Indicadores de Comprometimento > [!ioc]- IOCs - SolarWinds Supply Chain Attack / SUNBURST (TLP:WHITE) > Fonte: FireEye / Mandiant, dezembro 2020. Fonte: CISA AA20-352A. > > **Dominio C2 (Defanged)** > - `avsvmcloud[.]com` - dominio principal C2 do SUNBURST (sinkholed em 15/12/2020 por Microsoft, GoDaddy e FireEye) > > **Versoes do SolarWinds Orion Comprometidas** > - Orion 2019.4 até 2020.2.1 HF1 - contendo DLL SUNBURST maliciosa assinada digitalmente > > **Behavioral IoCs** > - DLL `SolarWinds.Orion.Core.BusinessLayer.dll` com hash diferente do esperado no path de instalacao do Orion > - Resoluções DNS anomalas para subdomínios de `avsvmcloud[.]com` originadas de hosts com SolarWinds Orion > - Trafego HTTPS mascarado como protocolo OIP (Orion Improvement Program) para IPs externos > - SAML token forging em contas de servico Azure AD / Office 365 > - Atividade em horarios anomalos consistente com fuso horario do atacante (UTC+3 / Moscou) **Recomendações de mitigação:** - Implementar verificação de integridade de software em pipelines de build (SBOM) - Monitorar tráfego DNS para resoluções anômalas de subdomínios - Aplicar princípio de menor privilégio em contas de serviço - Implementar segmentação de rede para limitar movimentação lateral - Auditar regularmente atualizações de software de terceiros antes de implantação **Atores:** [[g0016-apt29|APT29 / Cozy Bear]] **CVEs explorados:** [[cve-2020-10148|CVE-2020-10148]] **TTPs chave:** [[t1195-002-supply-chain-compromise|T1195.002 - Supply Chain Compromise]] · [[t1071-001-web-protocols|T1071.001 - Web Protocols]] · [[t1027-obfuscated-files|T1027 - Obfuscated Files or Information]] **Malware:** [[s0559-sunburst]] · [[s0562-sunspot]] · [[s0560-teardrop]] · [[s0154-cobalt-strike|Cobalt Strike]] **Setores impactados:** [[government]] · [[technology]] · [[telecommunications|telecomúnicações]] --- *Fonte: MITRE ATT&CK - SolarWinds Compromise C0024* *Fonte: [CISA - AA20-352A Advisory](https://www.cisa.gov/news-events/cybersecurity-advisories/aa20-352a)* *Fonte: [Unit 42 - SolarStorm Supply Chain Attack Timeline](https://unit42.paloaltonetworks.com/solarstorm-supply-chain-attack-timeline/)* *Fonte: [Mandiant - Evasive Attacker Leverages SolarWinds](https://cloud.google.com/blog/topics/threat-intelligence/evasive-attacker-leverages-solarwinds-supply-chain-compromises-with-sunburst-backdoor)*