Le prime vittime illustri degli hacker che hanno sfruttato il bug dei prodotti SolarWinds per spiare aziende e governi si fanno avanti: Microsoft è il primo nome che balza agli occhi ed è finora l’unica società privata, dopo FireEye, ad ammettere il problema. Ma la lista dei bersagli, tra confessioni e indiscrezioni, include anche alcuni ministeri e agenzie federali statunitensi che maneggiano attività e dati massimamente delicati, come il Dipartimento dell’Energia statunitense, il Dipartimento della Sicurezza interna, il Dipartimento del Tesoro, il Dipartimento del Commercio, e ancora la National Nuclear Security Administration e la Cybersecurity and Infrastructure Agency (Cisa). Ci sarebbero poi anche tre Stati Usa, non meglio specificati.
Una conferma di quanto massiccia fosse la campagna di cyberspionaggio, recentemente scoperta e analizzata da FireEye. I sospetti dei vendor puntano verso il gruppo hacker russo noto come Cozy Bear (o Apt29), che opera per conto delle agenzie di intelligence del Cremlino. Grazie a un bug inserito all’interno di un aggiornamento software, i prodotti Orion di SolarWinds hanno ospitato per mesi una backdoor con la quale gli autori dell’attacco potevano spiare dati e attività dei loro bersagli.
In una nota diffusa ieri Microsoft ha ammesso di aver trovato tracce di software dannoso all’interno delle soluzioni Orion utilizzate, ma ha rassicurato in merito all’eventualità di furto dati: “Come altri clienti SolarWinds, abbiamo attivamente cercato indicatori di questa presenza e possiamo confermare di aver trovato all’interno del nostro ambiente dei file binari malevoli , che abbiamo poi isolato ed eliminato. Non abbiamo trovato tracce di un accesso ai servizi in produzione o ai dati dei clienti. Le nostre indagini, ancora in corso, non hanno trovato assolutamente nessun indicatore del fatto che i nostri sistemi siano stati usati per attaccare altri soggetti”.
L’attacco è stato definito dalla Cisa come frutto di “un avversario paziente, dotato di buone risorse e focalizzato, che ha portato avanti un’attività di lunga durata sulle reti delle vittime”. Quanto accaduto ha rappresentato, a detta dell’agenzia, un “grave rischio” per i governi locali, nazionali e federali, ma anche per le infrastrutture critiche e per il settore privato. Secondo le fonti confidenziali di Bloomberg, tra i bersagli colpiti dagli hacker figurano anche il Dipartimento dell’Energia e una sua agenzia interna, la National Nuclear Security Administration, che gestisce la sicurezza nazionale in relazione all’energia e alle armi nucleari. Una portavoce del Dipartimento dell’Energia ha specificato che gli hacker non hanno compromesso alcuna “funzione di sicurezza nazionale essenziale”.