Nell’ultima settimana negli USA è venuto a galla uno degli attacchi informatici più pericolosi della storia.
Sono state colpite numerose infrastrutture governative (tra cui il tesoro, il dipartimento del commercio e altre) ma anche corporations private, come Microsoft.
Ma cosa è successo esattamente? È stata sfruttata una vulnerabilità dei prodotti SolarWinds, in particolare della suite Orion, un sistema di gestione e monitoraggio delle reti IT per aziende pubbliche e private. Gli attaccanti hanno compromesso la catena di distribuzione degli aggiornamenti della suite (in inglese Supply Chain, motivo per cui l’attacco viene categorizzato come “supply chain attack”), manipolando una DLL (che sta per Dinamic-Link Library, cioè una “libreria” software utilizzata dal programma che richiama le funzioni che essa mette a disposizione) chiamata “SolarWinds.Orion.Core.BusinessLayer.dll”. “La compromissione della piattaforma Orion permette ad un attaccante di abilitare/disabilitare gli strumenti di sicurezza, modificare le configurazioni, caricare patch non autorizzate o impedirne l’applicazione.” Spiega il sito cybersecurity360, uno dei pochi siti in cui si riescono a trovare informazioni in merito in lingua italiana.
Questo attacco è particolarmente grave e senza precedenti proprio per il tipo di piattaforma che è stata violata, infatti la suite Orion ha il compito di monitorare le reti dei sistemi IT e verificare se ci siano stati attacchi informatici, per fare questo ha praticamente accesso completo alle reti delle aziende che la utilizzano, il che significa che anche gli attaccanti hanno avuto potenzialmente gli stessi livelli di accesso. Un altro effetto è che l’attacco sembra aver sfruttato questo accesso illimitato per espandersi e creare ulteriori attacchi attraverso i prodotti delle aziende colpite, riporta infatti Reuters:”Come con il software di gestione di rete di SolarWinds, i prodotti Microsoft sono stati poi utilizzati per promuovere attacchi ad altri”
La vulnerabilità è stata presente nei prodotti SolarWinds per alcuni mesi, ha attaccato circa 17’000 loro clienti, ma non è ancora chiaro quanti di questi abbiano poi propagato ulteriori diramazioni “figlie” di questi attacchi. Le investigazioni sono in corso e probabilmente andranno avanti per anni. Basti vedere come Microsoft ha scoperto dopo qualche giorno dalla rilevazione della prima backdoor un altro attacco sempre nei prodotti SolarWinds.
Come è stato possibile che gli attaccanti siano riusciti a modificare il codice sorgente di una DLL e immettersi così nella catena di distribuzione degli aggiornamenti? Le investigazioni sono ancora in corso, ma alcune fonti riportano di una vecchia falla che aveva coinvolto SolarWinds: era stato scoperto infatti che uno dei server GitHub (noto software di controllo di versione del codice) era accessibile all’esterno con una semplice password:”solarwinds123″, l’azienda era stata avvertita il 22 novembre 2019. Non è ancora chiaro se questa falla sia stata quella usata per caricare il codice malevolo di questo attacco, ma sicuramente un indicatore importante sulle possibili cause.
Avendo fatto un po’ di chiarezza su cosa è successo, ci chiediamo: chi può aver portato a termine un attacco così sofisticato? La risposta è che probabilmente non lo sapremo mai, a meno che l’attaccante non decida di rivendicare l’accaduto. I media internazionali (per ora gli unici che hanno approfondito l’argomento, la stampa italiana si è completamente disinteressata dell’argomento) danno per certo che dietro l’attacco ci sia uno stato nazionale avversario degli USA sullo scacchiere geopolitico, e molti puntano il dito sulla Russia e un team di hacker chiamato “Cosy Bear” legato all’SVR (servizio di intelligence estera Russo, uno dei figli del KGB insieme all’FSB), il Segretario di Stato USA Mike Pompeo ha esplicitamente indicato la Russia come colpevole dell’attacco, Putin ha però già smentito le accuse. Donald Trump, in un tweet ha invece puntato il dito contro la Cina, l’altro grande avversario degli USA. Gli altri stati messi sul banco dei possibili imputati sono, ovviamente, Iran e Korea del Nord.
Oltre alle reazioni dei media e dei politici USA, che segnalano comunque una tensione sempre crescente nei conflitti (per ora solo economici e tecnologici), è interessante segnalare questo comunicato ufficiale dell’attuale presidente Microsoft, Brad Smith, che indica alcune linee politiche degne di nota:
- Microsoft conferma, dopo investigazione interna, la versione del “nation-state cyberattack” (attacco informatico lanciato da uno “stato nazione”)
- Nello stesso tempo ammette che i cyber attacchi sono sempre più spesso portati avanti da compagnie private, chiamate PSOA (Private Sector Offensive Actors), che però lavorerebbero (secondo la versione di Microsoft) come contractors per gli stati.
- A questo punto Microsoft delinea la strategia (indicando la nuova amministrazione Biden-Harris come interlocutore) per contrastare questi attacchi, in 3 macropunti:
- Primo: un monito al governo degli USA, bacchettandolo sulla non condivisione delle informazioni tra dipartimenti e servizi federali. Ma andando oltre, data la criticità della sicurezza informatica le informazioni non dovrebbero essere condivise solo tra enti pubblici ma anche con compagnie private come Microsoft stessa.
- Secondo: inasprire il diritto internazionale sugli attacchi informatici.
- Terzo: essere molto più duri sulle responsabilità degli stati “mandanti”.
Insomma, una strategia globale contro gli attacchi informatici perpetrati dagli “stati autoritari” contro le “democrazie”. Una strategia che però dovrà coinvolgere gli attori privati (come ben indicato nel primo punto) che dovranno avere un ruolo del tutto simile a quello degli stati. Insomma, tentativo di rilancio della globalizzazione (tenendo però fuori gli stati indicati come cattivi, quindi già regionalizzata e con un livello di conflitto di partenza molto elevato) con guida in tandem USA-Big Tech.
Di: Matteo Masi
