O ataque à SonicWall que roubou backups na nuvem dos clientes, incluindo suas configurações de firewalls, foi realizado por meio de uma chamada de API, segundo revelou a empresa de cibersegurança. Os firewalls da SonicWall possuem um recurso que permite backups em nuvem de arquivos de configuração. Esses arquivos contêm dados criptografados de login e configuração. Os invasores podem usar essas informações para lançar ataques direcionados adicionais.
Em setembro, a SonicWall relatou que invasores obtiveram acesso a backups de pelo menos 5% de seus clientes de firewall por meio de ataques de força bruta. O número exato de clientes afetados não foi divulgado na época. No mês passado, a SonicWall publicou uma atualização sobre o incidente, afirmando que os arquivos de firewall de todos os clientes que utilizam backup em nuvem foram afetados. Além disso, a descrição dos ataques de força bruta foi removida, mencionando-se apenas um “incidente de segurança de backup em nuvem”. Nenhum outro detalhe foi fornecido.
A SonicWall divulgou uma atualização muito breve sobre o incidente. Segundo o comunicado, uma investigação encomendada pela empresa, feita com a participação da empresa de cibersegurança Mandiant, indica que o ataque foi obra de um agente estatal. A base para essa alegação não foi divulgada. A empresa também não especificou a qual país foi atribuído o ataque no relatório dos investigadores.
