L’importanza e l’incidenza degli attacchi alla supply chain e il furto di proprietà intellettuale sono oggi ancora più sotto i riflettori (soprattutto dopo il caso SolarWinds): il fornitore della Apple, Quanta Inc., è stato attaccato dal gruppo russo che usa il ransomware REvil per lucrare riscatti esosi.
L’azienda ha rifiutato il compromesso economico e qualche giorno dopo i dati dei progetti di un nuovo dispositivo sono stati pubblicati sul Dark Web nel sito tipicamente usato dal gruppo di attacco per costringere le vittime a pagare il riscatto.
Dopo Quanta, anche Apple è stata contattata. Mentre Quanta ha dichiarato di non aver subito veri e propri danni, Apple non ha rilasciato commenti.
“L’incidente di sicurezza che sta coinvolgendo la Apple è un chiaro esempio di quanto sia delicato garantire la sicurezza sulla intera catena di approvvigionamento (supply chain)”, ha commentato Giancarlo Di Lieto, Cybersecurity Director di Innovery Group.
Secondo Di Lieto, “questo episodio è solo uno dei tanti che negli anni si sono verificati in tantissime aziende, più o meno note, che hanno evidenziato come l’anello più debole della supply chain può vanificare ingenti investimenti che le imprese fanno sulla sicurezza all’interno dei propri confini aziendali, trascurando i rischi che si corrono quando si condividono informazioni riservate con i propri fornitori”.
Indice degli argomenti
Cronologia e dettagli dell’attacco
La disclosure dell’attacco compiuto dal gruppo russo legato al ransomware REvil è iniziata martedì 20 aprile con la pubblicazione sul sito-blog accessibile sul Dark Web dei dettagli dell’avvenuta infiltrazione nella rete di computer di Quanta Computer Inc.
Nel post, il gruppo criminale indicava di aver rubato i progetti degli ultimi prodotti dell’azienda statunitense Apple Inc., proprio mentre Apple stava presentando la sua ultima linea di iPad e nuovi appariscenti iMac. Quanta ha sede a Taiwan ed è piuttosto importante per Apple, perché produce MacBook rappresentando, quindi, uno dei fornitori chiave. Di fatto, questa azienda di Taiwan produce beni anche per aziende come HP Inc., Facebook Inc. e Google di Alphabet Inc.
Sempre nel loro post, come confermato anche da Bloomberg, gli hacker affermavano di aver aspettato nel rivelare quanto richiesto a Quanta fino alla data della presentazione di Apple, sostenendo che il fornitore di componenti non avesse espresso alcun interesse a pagare per recuperare i dati rubati.
Sembra che REvil avesse tentato già dalla scorsa settimana di coinvolgere Quanta in trattative di riscatto, all’interno di una chat room sulla pagina Dark Web dell’attaccante. Il sito della disclosure, “Happy Blog” di REvil, è quello in cui il gruppo nomina pubblicamente le vittime nella speranza di convincerle a pagare il riscatto.
L’operatore REvil ha iniziato l’interazione affermando di aver rubato e crittografato “tutti i dati della rete locale” mentre chiedeva 50 milioni di dollari per la chiave di decrittazione per sbloccare i propri sistemi.
Un utente avrebbe risposto due giorni dopo, affermando di non essere “il responsabile dell’azienda”, ma di volere chiarezza sui termini dell’accordo. La confusione che ne è sorta ha richiesto altri due giorni prima che un operatore di REvil minacciasse di pubblicare i dati di Apple. A seguire sembra che la conversazione sia continuata via e-mail.
Mancando risposte dall’azienda Quanta, REvil ha quindi mantenuto la sua promessa e ha pubblicato dati ritenendoli modelli proprietari di Apple per i nuovi dispositivi. Secondo i documenti esaminati da Bloomberg al termine del lancio del prodotto Apple, REvil aveva già pubblicato gli schemi per un nuovo laptop e 15 immagini legate ad un MacBook progettato di recente, nel marzo 2021.
Le immagini includono numeri di serie, dimensioni e capacità dei componenti specifici corredati dalla descrizione dettagliata delle numerose parti funzionanti di un laptop Apple. Una delle immagini è firmata da un designer Apple, John Andreadis e datata 9 marzo 2021.
Non avendo ottenuto risposte da Quanta, REvil ha spostato l’attenzione su Apple, tentando di trarre profitto dai dati rubati e chiedendo il riscatto direttamente all’azienda di Cupertino entro il primo maggio, (Fonte: Bleepingcomputer). Fino ad allora, gli hacker hanno confermato sul loro blog l’intenzione di pubblicare nuovi file ogni giorno.
Finora, nessun portavoce di Apple sembra essere stato disponibile per un commento sull’accaduto.
Secondo Bloomberg, già da domenica si erano manifestati indizi sull’imminenza dell’attacco. Infatti, un utente del forum sulla criminalità informatica XSS che si chiama “Unknown” aveva annunciato che il gruppo di ransomware era sul punto di dichiarare il suo “attacco più grande di sempre”. Il post è stato pubblicato in russo su un canale in cui il gruppo REvil recluta nuovi affiliati; sembra che una persona che conosce la storia di Unknown sul forum XSS abbia pubblicato il post in forma anonima per paura di ritorsioni.
La reazione di Quanta
Quanta ha riconosciuto di aver subito un attacco, ma senza spiegare se o quanto dei suoi dati siano stati rubati.
L’azienda ha dichiarato come la sua squadra di sicurezza delle informazioni abbia lavorato con esperti IT esterni in risposta agli attacchi informatici su un numero limitato di server, aggiungendo di aver segnalato e mantenuto comunicazioni senza interruzioni con le forze dell’ordine e le autorità di protezione dei dati pertinenti in merito alle recenti attività anormali osservate, e dichiarando che non c’è alcun impatto materiale sulle operazioni commerciali dell’azienda.
L’azienda ha aggiunto che il suo sistema di difesa della sicurezza delle informazioni è stato attivato immediatamente e ha ripreso i servizi interni interessati dall’incidente e che sta aggiornando la propria infrastruttura di sicurezza informatica per proteggere i propri dati.
Il gruppo legato al ransomware REvil
Il ransomware è un tipo di codice dannoso che in genere crittografa i dati o la rete di computer di una vittima. Gli hacker chiedono quindi un riscatto per decifrare le informazioni o una promessa da parte degli hacker di non vendere i loro documenti segreti. Più recentemente, le bande di ransomware hanno anche rubato i dati e minacciato di renderli pubblici a meno che la vittima non paghi una tariffa. Questo secondo tipo di ransomware è noto come “a doppia esteorsione” (Double Extortion ransomware).
Secondo il MITRE ATT&Ck Framework, REvil è una famiglia di ransomware collegata al gruppo Gold Southfield e gestita come Ransomware-as-a-service (RaaS) almeno dall’aprile 2019.
REvil è altamente configurabile e condivide le somiglianze di codice con GandCrab RaaS. Gold Southfield è invece un gruppo di minacce interessato a lucrare e per questo motivo fornisce un’infrastruttura di backend per gli affiliati reclutati su forum clandestini per perpetrare implementazioni di alto valore. Una volta effettuato il pagamento del riscatto, gli sviluppatori principali di REvil e gli affiliati dividono il pagamento, con gli affiliati che generalmente ottengono la quota maggiore.
Nel Framework del MITRE sono elencate le Tecniche Tattiche e Procedure (TTPs) tipiche di questo software malevolo.
REvil è lo stesso gruppo che ha eseguito un attacco ransomware nel 2020 contro uno studio legale perché considerato in relazione ad alcune delle imprese televisive di Donald Trump. Nel 2019, ha anche attaccato alcuni impiegati elettorali della Louisiana una settimana prima dell’Election day. Nell’ultimo mese, invece REvil ha effettuato richieste di riscatto estremamente elevate per attacchi mirati ad Acer (50 milioni di dollari), Pierre Fabre (25 milioni di dollari) e Asteelflash (24 milioni di dollari).
Quale lezione dall’attacco ransomware alla supply chain Apple
Secondo Giancarlo Di Lieto di Innovery, “quanto accaduto ci insegna che è necessario valutare attentamente la sicurezza della supply chain avvalendosi di metodologie e strumenti che permettano di assegnare degli score di rischio analizzando sia il livello di maturità delle misure tecnologiche implementate che quelle adottate in ambito security governance, con lo scopo di supportare le aziende clienti nella scelta dei fornitori più affidabili, anche dal punto di vista della cyber security”.
Justin Fier, Director for Cyber Intelligence and Analysis di Darktrace, azienda di soluzioni di protezione basate su AI, ha sottolineato come questa notizia dell’attacco a Quanta conferisca la certezza che le supply chain digitali rappresentino un vero e proprio paradiso per i criminal hacker.
Oggi, i dati critici di un’azienda sono fluidi, spesso gestiti al di fuori dell’organizzazione stessa. Questa incredibile complessità offre a chi ha intenti criminali molti punti di vulnerabilità da poter sfruttare. In questo specifico caso, gli aggressori hanno avuto accesso ai progetti di Apple attraverso una terza parte fidata e non si conosce ancora l’entità dei dati sottratti.
I fornitori devono quindi garantire standard più elevati. Condividiamo pienamente i recenti appelli dell’amministrazione Biden e del Dipartimento della sicurezza interna degli Stati Uniti d’America per avere requisiti più rigorosi in termini di trasparenza e controllo nell’ambito della sicurezza informatica.
Nel contempo, anche le organizzazioni devono affidarsi a tecnologie in grado di rispondere prontamente agli attacchi sempre più veloci, come i ransomware.
Le organizzazioni che sono oggi in grado di bloccare le minacce informatiche più rapide e offensive sono quelle che proteggono i propri sistemi con soluzioni di intelligenza artificiale, in grado di rilevare anche le attività più impercettibili e insolite che precedono un attacco, e soprattutto, rispondere prontamente ancora prima che i dati vengano chiesti in riscatto.
L’esperienza maturata con i nostri clienti ci dimostra come l’intelligenza artificiale stia bloccando un numero sempre maggiore di attacchi che prendono di mira la proprietà intellettuale o le informazioni commercialmente sensibili a scopo di estorsione o spionaggio aziendale.
