Hacker russi spiano l’America: che cos’è successo con SolarWinds
La vulnerabilità della piattaforma Orion ha permesso a un gruppo di hacker (forse sponsorizzati dal Cremlino) di spiare per mesi aziende di tutto il mondo, ma soprattutto Pentagono, Casa Bianca e altre istituzioni governative.
Pubblicato il 16 dicembre 2020 da Valentina Bernocco
I nomi Orion e SolarWinds, sconosciuti ai più fino a ieri, sono al centro di quello che è stato definito da alcuni commentatori come il più grande attacco di cyberspionaggio ai danni del governo statunitense degli ultimi anni. Attraverso i prodotti tecnologici della piattaforma Orion, commercializzati dalla società texana SolarWinds e utilizzati da diversi enti governativi Usa, un gruppo di hacker ha compiuto per mesi attività di spionaggio della posta elettronica, in quella che sembra una riedizione tecnologica delle dinamiche della Guerra Fredda. Peraltro la campagna potrebbe essere cominciata molto prima e aver coinvolto anche aziende private e organizzazioni pubbliche di tutto il mondo. Inclusa, per sua ammissione, la società di cybersicurezza FireEye. A pochi giorni dalla rivelazione pubblica dell’attacco, ora emergono nuovi dettagli e sospetti .
Chi è SolarWinds
SolarWinds è una società informatica texana che vanta oltre 300mila clienti, fra cui aziende del calibro di Microsoft, Gartner, Mastercard, Mc Donald’s, Ing Direct e Volvo, vendor di sicurezza come Symantec e FireEye, operatori di telecomunicazione come Telecom Italia, Us Telecom e Korea Telecom. Ma nell’elenco dei clienti figurano anche il Servizio Postale statunitense, la Nasa, l’Nsa, il Dipartimento di Giustizia, il Dipartimento della Difesa, il Dipartimento di Stato e anche l’Ufficio del Presidente degli Stati Uniti d’America. Cuore dell’offerta di SolarWinds è la piattaforma Orion, comprensiva di strumenti di gestione, configurazione e analisi delle reti, dei server e delle applicazioni.
L’origine dell’attacco
L’attacco, stando alle analisi di FireEye, è stato reso possibile da una vulnerabilità del software di gestione dei prodotti Orion. Non una vulnerabilità “spontanea”, per così dire, ma un deliberato elemento di debolezza, che i pirati informatici sono riusciti a inserire all’interno di un aggiornamento software distribuito da SolarWinds nei mesi scorsi. Siamo quindi all’interno della categoria dei cosiddetti “attacchi di supply chain”.
Grazie a questo bug gli hacker hanno potuto distribuire un programma malevolo, battezzato Sunburst da FireEye, dotato di funzionalità backdoor: ovvero, in grado di raccogliere dati una volta installato sui dispositivi bersaglio. La backdoor è stata abilmente nascosta propria all’interno di un aggiornamento software e ha poi potuto agire indisturbata per mesi grazie a diverse tecniche di occultamento. A detta di FireEye, il malware può restare dormiente sul dispositivo colonizzato per un tempo massimo di due settimane, per poi attivarsi allo scopo di trasferire o eseguire file, riavviare il sistema o disattivarlo, disabilitare funzionalità di sicurezza, modificare configurazioni e altro ancora.
Quanto è diffuso il problema?
Il bug riguarda gli aggiornamenti del software di Orion rilasciati tra marzo e giugno di quest’anno, e dunque su questa base SolarWinds ha dichiarato che le aziende potenzialmente a rischio di aver subito un attacco sono circa 18.000. Un numero alto, ma molto inferiore al totale della base clienti del vendor. Un particolare vettore d’attacco permette di compromettere gli account Office 365, ma Microsoft sta già collaborando con SolarWinds per eliminare questo rischio. La società texana, inoltre, a brevissimo distribuirà un aggiornamento software che risolve la vulnerabilità dei prodotti Orion.
SolarWinds non può dire molto di più, essendo stata coinvolta nell’indagine avviata dall’Fbi e dalla Cisa (Cybersecurity and Infrastructure Security Agency), indagine a cui collabora anche FireEye. A detta di quest’ultima, tra le vittime figurano governi, società di consulenza, società tecnologiche e di comunicazione, aziende dell’industria estrattiva, collocate in Nord America, Europa, Asia e Medio Oriente. L’attenzione è però puntata, naturalmente, soprattutto sulle agenzie governative Usa clienti di SolarWinds.
Chi sono gli aggressori
Le istituzioni statunitensi non hanno lanciato accuse formali, ma a detta del Washigton Post i responsabili dell’attacco sarebbero i membri del gruppo hacker russo conosciuto come Cozy Bear o come Apt29, e legato alle agenzie di intelligence del Cremlino. Una combriccola ben nota alle cronache: a lei si devono i tentativi di hackeraggio dei sistemi della Casa Bianca e del Partito Democratico statunitense tra il 2014 e il 2015, e quest’anno numerose operazioni tese a sottrarre dati a ricercatori impegnati nello sviluppo del vaccino anti covid-19.
USA
- La mascherina non ferma il riconoscimento facciale, test negli Usa
- Donald Trump messo alla porta da Twitter, Facebook e Instagram
- Amazon insiste: il Pentagono non doveva scegliere Microsoft
- Google e Facebook cospiratori nell'advertising: l’accusa di 10 Stati
- Hacker russi spiano l’America: che cos’è successo con SolarWinds
FOCUS
