Ricevere un malware con un aggiornamento: Sunburst ci terrà occupati ancora a lungo.

Immaginatevi che, durante il prossimo aggiornamento automatico del vostro PC, senza che ve ne rendiate conto, vi venga trasmesso un virus che permette agli hacker di accedere al vostro dispositivo. È proprio quello che è successo agli utenti della piattaforma SolarWinds Orion. Gli aggiornamenti per il suo software di gestione IT erano infettati e, di conseguenza, hanno compromesso l’infrastruttura IT di più di 18.000 clienti proprietari di aziende e di uffici. Ora c’è un rapporto dettagliato sull’indagine riguardante i fatti accaduti e uno strumento per scoprire se è stata infettata la propria infrastruttura.

  #Cyber Defense Center   #Concetto sui casi di emergenza sulla sicurezza   #Security Awareness   #Security as a Service   #Security Risk Assessment   #SIEM   #Vulnerability Management  

A inizio dicembre 2020, SolarWinds era quotata in borsa a quasi 7,4 miliardi di dollari. Dunque, si parla di una grande azienda che produce software per altre grandi imprese, per lo più per aziende del gruppo Fortune 500 e organizzazioni governative. Una clientela di tale pregio e rilevanza ha reso SolarWinds un bersaglio perfetto per gli hacker, la cui irruzione nei sistemi dell’azienda all’inizio dello scorso anno è rimasta nascosta per ben nove mesi, fino a metà dicembre.

 

Tutto è iniziato a marzo 2020

Secondo quanto riportato dai media, già a marzo SolarWinds avrebbe fatto pervenire ai suoi clienti degli aggiornamenti infettati per i software. Solo il 13 dicembre si è parlato per la prima volta di questo attacco cibernetico. E già nel primo reportage si è individuato nella Russia il responsabile di tale attacco, accusa subito respinta dal Ministero degli Esteri russo. Gli altri rapporti si sono susseguiti uno dopo l’altro e, rapidamente, si è capito che tra i coinvolti si trovavano sempre più personaggi di alto calibro: il Wall Street Journal ha citato il Pentagono, il Ministero della Sicurezza Interna, il Ministero degli Esteri, il Ministero dell’Energia, la National Nuclear Security Administration e il Ministero delle Finanze. Inoltre sarebbero coinvolti anche Microsoft, Cisco, Intel e Deloitte.

 

Gli hacker erano interessati solo a determinati obiettivi

Il malware che si è infiltrato nell’infrastruttura IT dei clienti SolarWinds insieme agli aggiornamenti Orion si chiama Sunburst. A quanto pare, sembra che gli hacker non siano stati interessati alla maggior parte dei clienti di SolarWinds a cui è stato fatto pervenire Sunburst. Gli hacker hanno provveduto a fare infiltrare ulteriori malware solo nel caso di determinate organizzazioni, per assicurarsi l’accesso alla rete locale e alle risorse cloud dell’azienda. In tale circostanza, gli hacker si sono concentrati soprattutto sull’infrastruttura Microsoft 365. Sebbene gli hacker siano stati selettivi, l’attacco ha avuto enormi conseguenze per la sicurezza dati di migliaia di clienti SolarWinds, tra i quali, secondo le indicazioni dell’azienda, si trovano la maggior parte delle imprese americane della classifica Fortune 500, i primi 10 provider delle telecomunicazioni statunitensi e lo stesso governo americano. Anche la capitalizzazione in borsa di SolarWinds ha subito delle conseguenze molto gravi in seguito a questo attacco senza precedenti: le azioni sono crollate e, al momento, l’azienda vale a malapena cinque miliardi di dollari, mentre ben due miliardi si sono praticamente volatilizzati.

 

Uno strumento contro gli hacker

Anche FireEye, l’azienda specializzata in cyber security che si occupa di proteggere clienti di alto calibro, è stata direttamente interessata dall’attacco sferrato dagli hacker[i]. Tra l’altro, sono stati anche gli esperti di FireEye ad accorgersi dell’intrusione e a dare l‘allarme[ii] – e non, ad esempio, il Comando Informatico del Ministero della Difesa Americano che viene finanziato con miliardi di dollari e che, secondo il New York Times, sarebbe stato colto dall’attacco totalmente di sorpresa[iii]. Questa settimana FireEye ha pubblicato un rapporto che descrive in modo dettagliato le tecniche usate dagli hacker di SolarWinds[iv]. FireEye ha condotto le indagini sull’attacco hacker sferrato alla SolarWinds insieme a Microsoft e all’azienda che si occupa di sicurezza CrowdStrike. Insieme al rapporto, i ricercatori di FireEye hanno pubblicato su GitHub anche un tool gratuito di nome “Azure AD Investigator” con cui le aziende possono accertare se gli hacker si sono introdotti anche nelle loro reti[v]. La SolarWinds Corporation assicura intanto che il malware Sunburst è stato rimosso dalla pagina di download. Si suppone che il punto debole Sunburst non si riscontri in nessun altro prodotto di SolarWinds.

 

Ottimizzare la sicurezza cibernetica

Non sono ancora prevedibili tutte le conseguenze risultanti dall’attacco hacker sferrato alla SolarWinds. Tom Bossert, un esperto della sicurezza del governo degli Stati Uniti, ha scritto sul New York Times che potrebbero passare degli anni prima che tutte le reti siano di nuovo protette. Nel frattempo è importante ottimizzare la sicurezza cibernetica. Gli esperti in materia di sicurezza della UMB vi possono fornire il loro supporto. Solo nel caso in cui la vostra rete sia sottoposta a continuo monitoraggio, potete reagire prontamente alle minacce. Con il Cyber Defense Center, UMB risponde in toto della sicurezza del vostro IT. Intelligence Security, la nostra squadra, ha già intrapreso i passi necessari per rendere sicure le infrastrutture IT dei nostri clienti contro le ultime minacce che tutti conosciamo. Rendiamo sicuro il vostro ambiente IT. Non esitate a contattarci.

 

[i] www.umb.ch/blog/news/detail/attacchi-hacker-dalle-profondità-di-internet-su-azienda-cyber-security

[ii] https://www.fireeye.com/blog/threat-research/2020/12/evasive-attacker-leverages-solarwinds-supply-chain-compromises-with-sunburst-backdoor.html

[iii] https://www.nytimes.com/2020/12/14/us/politics/russia-hack-nsa-homeland-security-pentagon.html

[iv] https://www.fireeye.com/blog/threat-research/2021/01/remediation-and-hardening-strategies-for-microsoft-365-to-defend-against-unc2452.html

[v] https://github.com/fireeye/Mandiant-Azure-AD-Investigator