All’avvicinarsi delle elezioni presidenziali che vedono fronteggiarsi Donald Trump e Joe Biden, gli hacker si intrufolano ancora una volta nelle reti governative statunitensi. Dopo che lo scandalo del Russiagate ha mostrato chiaramente quanto le infrastrutture informatiche di partiti ed enti governativi fossero tutt’altro che impenetrabili, a quattro anni di distanza emerge un nuovo caso di hackeraggi, denunciato in una nota congiunta dall’Fbi e dalla Cybersecurity and Infrastructure Security Agency (Cisa): una serie di attacchi sono andati a segno colpendo reti federali, statali e locali, nonché altre reti non di proprietà dello Stato.
La nota spiega che esistono le tracce di “accessi non autorizzati al sistema di supporto alle elezioni, ma la Cisa non alcuna prova del fatto che l’integrità dei dati elettorali sia stata compromessa”. La rassicurazione è tuttavia ambigua. Non si può dire che gli hacker fossero a caccia di dati sui cittadini e sulle elezioni, perché i bersagli colpiti potrebbero essere stati scelti per ragioni differenti, e tuttavia “potrebbe esserci qualche rischio per le informazioni elettorali ospitate all’interno delle reti governative”.
Com’è potuto succedere? Colpa di due vulnerabilità, relativa l’una a una Vpn di Fortinet e l’altra a un sistema di autenticazione di Windows. La prima delle due, identificata come CVE-2018-13379, risiede nel FortiOS Secure Socket Layer (SSL) VPN, un server Vpn di Fortinet, utilizzato come gateway per l’accesso da remoto a reti aziendali. Il bug permette a chi attacca di caricare file malevoli sui server vulnerabili e di prendere il controllo dei server Vpn. Ma la responsabilità di quanto accaduto non spetta a Fortinet: la vulnerabilità era già stata scoperta e risolta con un aggiornamento software lo scorso anno. Peccato che, come spesso accade, molti prodotti vengano lasciati senza aggiornamenti e dunque risultino facilmente attaccabili.
Il secondo bug, identificato come CVE-2020-1472 e noto anche come Zerologon, riguarda la crittografia di Netlogon ovvero del protocollo usato dalla workstation Windows per autenticarsi su server Windows. La falla permette a chi attacca di prendere controllo dei server che vengono usati per gestire le reti private o aziendali, e che solitamente contengono le password di tutte le workstation collegate alla rete. Anche in questo caso il bug era noto e la patch disponibile, ma evidentemente non installata dai sistemi colpiti..
Secondo l’Fbi e la Cisa, gli autori di questa serie di attacchi starebbero sfruttando queste due vulnerabilità in combinazione, così da poter accedere dapprima ai server di Fortinet per poi prendere controllo delle reti attraversi Zerologon. Si è visto, inoltre, che gli attaccanti avrebbero usato strumenti di accesso remoto legittimi, come le Vpn e il Remote Desktop Protocol, per accedere a risorse informatiche attraverso credenziali rubate.
Sull’identità dei “cattivi” poco è stato detto dalle due agenzie governative, se non che si tratta di un gruppo Apt (Advanced persistent threat), autore cioè di attacchi mirati, prolungati nel tempo e spesso finalizzati al furto di dati. Qualche giorno fa Microsoft aveva fatto sapere che la vulnerabilità Zerologon è stata recentemente sfruttata da un gruppo Apt iraniano noto come Mercury o MuddyWatter, già autore in passato di attacchi a reti governative statunitensi.