A Microsoft descobriu outro malware usado pelos hackers que estavam por trás do ataque à cadeia de suprimentos da SolarWinds, empresa americana de desenvolvimento de softwares, descoberto em dezembro de 2020.
Pesquisadores da área de segurança descobriram vários módulos usados pelo grupo que realizou o ataque. O grupo é chamado de Nobelium pela companhia. Em abril, os Estados Unidos e o Reino Unido culparam o Serviço de Inteligência Estrangeiro da Rússia pela invasão.
O malware recém-descoberto foi batizado de FoggyWeb pela companhia e é um “backdoor” – porta de acesso não autorizada que costuma ser instalada em sistemas de computadores. O programa foi usado pelos invasores depois de um servidor específico ter sido comprometido.
Nesse caso, os grupos costumam usar muitas táticas para roubar logins e senhas das redes. Dessa forma, eles se tornam administradores e acessam o Serviços de Federação do Active Directory (ADFS), componente de software que fornece aos usuários acesso a login e gerência dos sistemas e aplicativos localizados no Windows Server.
FoggyWeb explora sistemas remotamente
Esse servidor permite que os hackers fiquem dentro da rede mesmo depois de uma limpeza. De acordo com a Microsoft, o FoggyWeb tem sido usado na rede desde o início de 2021.
– Nobelium usa o FoggyWeb para extrair remotamente a configuração da base de dados dos servidores AD FS, decodificados como certificados token-singning e token-decryption, assim como o download e a execução de componentes adicionais – explica Ramin Nafisi, da Microsoft Threat Intelligence Center.
– O FoggyWeb é passivo e altamente direcionado para a capacidade de extrair remotamente informações essenciais de um servidor AD FS. Ele pode também receber componentes maliciosos de um servidor de comando e controle e executá-los no servidor – acrescenta Nafisi.
O “backdoor” permite a exploração do token Security Assertion Markup Language (SAML) que é usada para ajudar os usuários a validarem aplicativos mais facilmente.
Como aumentar a segurança e proteger o sistema
A Microsoft recomenda clientes que podem ser afetados pelos hackers três passos para se protegerem de ataques:
- fiscalizar a infraestrutura para configurações de servidores on-premise e cloud e de configurações por usuário e por aplicativos;
- remover o acesso de usuários e plataformas; rever configurações;
- alterar senhas de acesso;
- usar um módulo de segurança de hardware para prevenir que o FoggyWeb roube os segredos dos servidores AD FS.
