SolarWinds, non c’erano un solo malware né un solo gruppo hacker

La vicenda SolarWinds, già definita come l’attacco di cyberspionaggio ai danni dell’America (ma non solo) più grave degli ultimi anni, continua a complicarsi. Mentre ogni giorno emergono nuovi dettagli e indiscrezioni su una campagna di spionaggio informatico che l’intelligence statunitense considera opera di hacker legati al Cremlino, si scopre che la vulnerabilità del software Orion non era soltanto una.

Il malware utilizzato nell’attacco originario (battezzato Sunburst) è stato inserito nella supply chain dei prodotti SolarWinds, ovvero inserito in un aggiornamento del software Orion. Una volta intrufolato sulla rete bersaglio, il malware ha potuto scaricare un backdoor trojan (Teardrop) che permetteva all’attaccante di controllare da remoto le attività della vittima. La notizia nuova è che un secondo gruppo hacker, diverso da Cozy Bear (il collettivo di hacker russi sospettato del primo attacco), avrebbe ugualmente preso di mira i prodotti di SolarWinds nel corso del 2020. 

Così riporta Reuters, citando come fonte i ricercatori di Microsoft, azienda che ha ammesso di aver scoperto di possedere versioni vulnerabili dei prodotti Orion.  “L’investigazione sull’incidente di SolarWinds”, scrive Microsoft, “ha fatto scoprire un ulteriore malware che similmente colpisce i prodotti SolarWinds Orion ma che, si è capito, probabilmente non è collegata a questa compromissione ed è stata usata da un diverso soggetto malevolo”. 

Questo secondo malware, battezzato Supernova, a differenza di Sunburst non sembra essere stato inserito nella piattaforma Orion con un attacco di supply chain. Dall’analisi del file si può dedurre che questo malware sia stato creato alla fine di marzo, mentre non è chiaro se i suoi autori puntassero a colpire bersagli specifici, come per esempio aziende o agenzie governative clienti di SolarWinds.