Nobelium, il gruppo hacker responsabile dell’attacco alla supply chain di SolarWinds e associato alla S.V.R. (agenzia russa che esegue attività di intelligence e spionaggio al di fuori della Federazione), è riuscito ad entrare con impressionate facilità nei sistemi di Constant Contact, una società di comunicazione che distribuisce e-mail per conto dell’Agenzia statunitense per lo sviluppo internazionale (US Agency for International Development, USAID).
Per farlo, ha sfruttato le informazioni di accesso del servizio di web tracking di Constant Contact recuperate proprio dall’hacking SolarWinds.
Dopo aver ottenuto l’accesso a un account del servizio di e-mail marketing, i cyber criminali hanno quindi avviato una massiccia campagna di spear phishing inviando migliaia di messaggi di posta elettronica che sembravano provenire dall’Agenzia statunitense.
Indice degli argomenti
Attacco iniziato dopo il data breach del web tracker
Tom Burt, Corporate Vice President, Customer Security & Trust di Microsoft che ha scoperto l’attacco, ha dichiarato che Nobelium non è mai dovuta entrare dentro alcun sistema governativo, ma con il data breach di Constant Contact si sono fatti strada all’interno dell’account dell’agenzia, cosa che gli ha permesso di poter inviare e-mail che sembravano provenire dall’agenzia stessa.
Questa campagna ha preso di mira 3.000 account di posta elettronica attraverso 150 organizzazioni, soprattutto negli Stati Uniti. Ma gli obiettivi ad ora individuati sono almeno in 24 paesi.
Più che entrare nel merito dell’attacco in sé e delle conseguenze geopolitiche che potrà o non potrà avere, anche alla luce della forte presa di coscienza da parte dell’amministrazione Biden sulla necessità di un sistema di protezione cyber in grado di fronteggiare la crescente ondata di attacchi (pensiamo, ad esempio, all’ordine esecutivo emesso in seguito all’attacco a Colonial Pipeline per blindare le infrastrutture critiche americane), è interessante capire come tutto ciò sia potuto avvenire con estrema facilità.
Web tracker: quali pericoli di cyber security
Il tracciamento da parte dei web tracker è spesso vissuto solo come un problema di privacy soprattutto per le persone (B2C): la privacy è a tutti gli effetti un aspetto integrante della cyber security, ma il vero problema è l’allargamento della superficie di attacco.
In ambito aziendale (B2B) ed in casi come questi di sicurezza nazionale, tutte le informazioni personali sono merce molto preziosa per gli attaccanti, perché le identità digitali ottenute aggregando tutti i dati che lasciamo sul web contribuiscono a creare vettori di attacco praticamente perfetti.
Gli hacker sono oramai delle aziende e come tali mirano ad aumentare sia l’efficacia che l’efficienza: una ricerca del Ponemon Institute, infatti, conferma come il 29,6% dei servizi web subisca in media un data breach ogni 24 mesi.
Le informazioni così ottenute permettono ovviamente di ridurre sensibilmente sia il tempo che le risorse economiche necessarie per attività di social engineering, migliorando il dettaglio delle informazioni utili ad eseguire attacchi di spear phishing con alte probabilità di successo.
In questo caso, tra le informazioni raccolte dai web tracker, oltre al dettaglio degli interessi personali dei singoli, ci sono tutta una serie di informazioni sul dispositivo, come ad esempio il sistema operativo, la versione del browser o l’indirizzo IP utilizzato dall’utente.
Nel caso specifico, con le identità digitali recuperate dal breach a Constant Contact, Nobelium ha messo in atto una campagna di spear phishing con e-mail contenenti link a malware, che hanno dato ai russi l’accesso persistente alle reti dei sistemi informativi dei destinatari.
Questo permette, inoltre, di poter eseguire movimenti laterali e compromettere infrastrutture intere.
Gli attacchi di social engineering che fanno leva sugli interessi delle persone possono arrivare tramite:
- e-mail private o lavorative (ad esempio CRM o SAP chiedendo di resettare la password);
- banner pubblicitari mirati;
- messaggi via SMS o app di instant messaging.
Web tracker: proteggersi rendendo “invisibile “ l’utente
Per mitigare i rischi rappresentati dalle nuove vulnerabilità aperte da tali servizi, è necessario rendere l’utente “invisibile” durante la navigazione.
Per fare ciò, serve proteggere l’utente durante la sua navigazione, qualsiasi sia il dispositivo che venga usato:
- utilizzare un browser con funzionalità anti tracking avanzate dalla comprovata efficacia, come ad esempio Brave; la navigazione dei dispositivi mobili in questo caso deve passare in toto dal browser e non dalle app;
- utilizzare servizi di tracker blocker, che hanno sempre il limite nella protezione della navigazione mediante app;
- utilizzare soluzioni software come Ermes Intelligent Web Protection che rende l’utente “invisibile” durante la navigazione sia browser che via app indipendentemente dal dispositivo utilizzato, evitando così che fuoriesca qualsiasi informazione verso servizi web esterni all’azienda, se non solo quelle che l’azienda stessa decide di far fuoriuscire. Nella foto sottostante si può osservare cosa avviene durante la normale navigazione: i puntini bianchi sono le CDN (Content Delivery Network), mentre i web-tracker, che rappresentano la maggioranza delle connessioni, sono rappresentati dalle icone a forma di occhi rossi: Ermes Intelligent Web Protection blocca tutte le richieste di connessione lasciando passare solo le CDN.
