Il Tesoro degli Stati Uniti, la National Telecommunications and Information Administration (NTIA) controllata dal Dipartimento del Commercio e numerose altre agenzie governative americane sono rimaste vittime, negli ultimi mesi, di una massiccia campagna di cyber spionaggio mirata al monitoraggio del traffico interno di posta elettronica.
Ossia proprio nel periodo elettorale americano.
Sono state sottratte comunicazioni riservate tra i dipendenti delle agenzie federali e numerosi documenti sensibili. L’attacco, secondo il Washington Post che cita fonti anonime di esperti governativi e privati, sarebbe stato condotto da attori state-sponsored che lavorano presumibilmente per la Russia, che però ha smentito.
Ed è grave anche perché l’attacco sfrutta una vulnerabilità dei prodotti di rete e di sicurezza SolarWinds che sono usati da oltre 300 mila clienti, tra cui grosse multinazionali.
Le attività di cyber spionaggio sarebbero state opera del gruppo hacker APT29 (conosciuto anche col nome di Cozy Bear), lo stesso che si ritiene abbia orchestrato l’attacco hacker alla società statunitense di sicurezza informatica FireEye durante il quale sono stati rubati strumenti di penetration test.
Dalle ultime notizie, si sa che la campagna di cyber spionaggio, iniziata probabilmente già nella scorsa primavera, è molto diffusa e riguarda organizzazioni pubbliche e private in tutto il mondo ed è stata confermata anche dagli analisti di sicurezza della stessa FireEye, che hanno identificato i threat actor come UNC2452.
Indice degli argomenti
Attacco al governo americano: i dettagli della backdoor
In particolare, gli analisti di FireEye hanno scoperto che gli attaccanti sono riusciti ad intromettersi (con tecniche simili a quelle di un trojan) nella supply chain utilizzata per distribuire gli aggiornamenti del software di IT monitoring SolarWinds Orion, molto utilizzato dalle aziende a livello mondiale e, nel caso in specie, dal Dipartimento della Difesa americana e dalla Federal Reserve, la banca centrale statunitense.
In questo modo, gli attaccanti sono stati in grado di distribuire un malware con funzionalità di backdoor ribattezzato SUNBURST nascosto proprio in un aggiornamento della suite SolarWinds e che, grazie all’utilizzo di molteplici tecniche di anti-analisi per eludere il rilevamento, è riuscito per un lungo periodo a occultare le attività malevoli degli attaccanti mentre si infiltravano nei sistemi delle agenzie governative americane. La stessa tecnica utilizzata, a quanto pare, anche per colpire FireEye.
La catena infettiva dell’attacco
Subito dopo l’attivazione nel sistema target, il malware inizia ad eseguire alcuni movimenti laterali per propagarsi all’interno della rete e ad esfiltrare dati. Dalle prima analisi dei campioni del finto aggiornamento della suite SolarWinds Orion, inoltre, si è scoperto che il malware oltre a mascherare il suo traffico di rete sfruttando il protocollo Orion Improvement Program (OIP, generalmente usato per raccogliere dati statistici sulle prestazioni e sull’utilizzo da parte degli utenti SolarWinds a scopo di miglioramento del prodotto), avvia subito una comunicazione via HTTP con server remoti per recuperare ed eseguire comandi dannosi (“Jobs”) con funzionalità di spyware, tra cui anche quelli utili per il trasferimento di dati, per l’esecuzione di file, per la profilazione e il riavvio del sistema di destinazione, oltre alla disabilitazione dei servizi di sistema.
Inoltre, per non essere scoperti, gli attaccanti hanno utilizzato per le comunicazioni tra il malware e i server remoti indirizzi IP offuscati mediante VPN dislocate negli stessi paese delle vittime in modo da eludere, anche in questo caso, eventuali controlli su traffici di rete anomali.
Perché è grave l’attacco alla supply chain di SolarWinds
“La compromissione dei prodotti Orion Network Management Products di SolarWinds pone rischi inaccettabili per la sicurezza delle reti federali”, è stato il commento di Brandon Wales, direttore ad interim della Cybersecurity and Infrastructure Security Agency (CISA) statunitense. La stessa agenzia per la sicurezza nazionale ha quindi sollecitato le agenzie civili federali a monitorare le loro reti interne per individuare attività sospette e scollegare o spegnere immediatamente i prodotti Orion di SolarWinds.
La gravità di quanto accaduto è data anche dal fatto che i prodotti di rete e di sicurezza SolarWinds sono utilizzati da oltre 300.000 clienti in tutto il mondo, tra cui anche molte aziende Fortune 500 e agenzie governative. Solo negli Stati Uniti, i prodotti SolarWinds sono installati dalle principali società di telecomunicazioni, da tutte e cinque le filiali dell’esercito americano e altre importanti organizzazioni governative come il Pentagono, il Dipartimento di Stato, la NASA, la National Security Agency (NSA), il Dipartimento di Giustizia, l’Ufficio del Presidente e il servizio postale. È evidente, quindi, quali potrebbero essere le conseguenze dell’attacco.
Attacco al governo americano: le domande da porsi ora
“L’incidente potrebbe avere conseguenze devastanti”, è il commento a caldo di Pierluigi Paganini senior researcher presso il Cyber Security and International Relations Studies (CCSIRS) – Università degli Studi di Firenze. “Si tratta di un attacco estremamente complesso alla supply chain dell’azienda SolarWinds che fornisce le sue soluzioni a centinaia di migliaia di clienti, tra cui le agenzie di intelligence ed aziende di medie e grandi dimensioni. Il patrimonio informativo esfiltrato attraverso questa metodica di attacco è potenzialmente illimitato ed impatta ogni settore”. “Gli attacchi alle supply chain sono complessi da realizzare”, sottolinea Paganini, “ma ancora di più da individuare, in quanto il fornitore legittimo dei software è compromesso. L’unico modo di individuare attacchi alla supply chain dei fornitori di software consiste nel verificare puntualmente ogni componente del codice fornito, ivi compresi i continui aggiornamenti rilasciati.
Proprio gli aggiornamenti diventano spesso vettore di minacce e riescono ad eludere ogni controllo di sicurezza in quanto ritenuti innocui perché rilasciati da un vendor affidabile”. “È dunque opportuno porsi almeno un paio di quesiti”, conclude Pierluigi Paganini. “Tra i clienti di SolarWinds vi sono anche aziende che operano nella produzione di vaccini COVID-19 o impegnate nella risposta alla pandemia? Quante e quali aziende ed organizzazioni italiane sono clienti del medesimo vendor? Confesso di aver paura delle risposte”.
Com’è potuto succedere?
“Com’è potuto succedere? Per il solito motivo”, dice Michele Colajanni, professore di sicurezza informatica all’Unimore. Ossia: “utilizzo di applicazioni vulnerabili, spesso note, e per le quali non sono stati presi provvedimenti. Di fronte a simili problemi di gestione informatica (basilare) non c’è super centro cyber che ti possa proteggere. Nessuno può dirsi tranquillo e “scagliare la prima pietra”.
“Purtroppo gli attacchi cosiddetti di “supply chain”, in cui gli aggressori compromettono la catena di distribuzione di un software usato dai bersagli, sono molto difficili da prevenire”, dice invece Stefano Zanero, professore al Politecnico di Milano. “I clienti che usano quella tecnologia in tutto il mondo ora sono di fronte a un problema significativo, in quanto essa viene usata proprio per gestire i sistemi informatici. Purtroppo, è probabile che vadano considerate compromesse, e quindi ripristinate, tutte le macchine gestite con software SolarWinds”, aggiunge.
Gli aggiornamenti ai prodotti SolarWinds
Da parte sua, SolarWinds ha pubblicato un bollettino di sicurezza specificando che l’attacco ha interessato le versioni della sua suite Orion dalla 2019.4 fino alla 2020.2.1, raccomandando agli utenti di passare immediatamente alla versione 2020.2.1 HF 1. Domani, inoltre, dovrebbe essere rilasciato un ulteriore aggiornamento con numero di versione 2020.2.1 HF 2 che sostituisce la componente compromessa e fornisce diversi miglioramenti aggiuntivi in termini di sicurezza.
Google down per attacco hacker? No
Intanto vanno smentite le voci – che trovano spazio su siti italiani e stranieri – secondo cui il problema Google fosse dovuto ad hackeraggio, magari lo stesso che ha colpito il governo americano. Sono due notizie non correlate
Today, at 3.47AM PT Google experienced an authentication system outage for approximately 45 minutes due to an internal storage quota issue. This was resolved at 4:32AM PT, and all services are now restored.
— Google Cloud (@googlecloud) December 14, 2020