Daniele Bottoni Comotti
Nel corso della notte italiana tra il 13 e il 14 dicembre, è stato sferrato un attacco alla rete USA
L’attacco è stato mirato e studiato meticolosamente, e gli hacker hanno fatto irruzione nelle reti dei dipartimenti del Tesoro e del Commercio americani, i cui sistemi di posta elettronica sono stati violati ottenendo libero accesso alle email.
Il più grande attacco degli ultimi anni
Da subito si è compreso che si è trattato della cyber offensiva più grave degli ultimi cinque anni. Attualmente è in corso una vasta operazione per stabilire quanto esteso sia stato l’attacco, descritto come uno dei più sofisticati di sempre.
Ormai è certo che ad essere violate sono state anche alcune agenzie legate alla sicurezza nazionale, ma non è ancora chiaro quanti e quali dati o informazioni coperti da segreto siano stati rubati.
Attacco mirato con obiettivi precisi
La società statunitense di sicurezza di reti informatiche FireEye, che fornisce protezione di tipo forense da minacce informatiche, malware e phishing, ha identificato una “campagna globale” di attacchi hacker basata sull’infiltrazione nei sistemi prodotti dalla società texana SolarWinds.
Solar Winds è una grande compagnia IT americana che serve clienti governativi in tutti i rami esecutivi, inclusi le forze armate e i servizi di intelligence.
Tra i suoi clienti figurano il Dipartimento della Difesa e la Federal Reserve, oltre a decine di importanti società private statunitensi.
Consiglio per la sicurezza nazionale
L’attacco è stato di gravità tale da aver portato a una riunione d’urgenza del National security council (il principale organo che consiglia e assiste il presidente degli Stati Uniti d’America in materia di sicurezza nazionale e politica estera) presso la Casa Bianca.
Le indagini attuali confermano che l’attacco è in atto da diversi mesi e che ha coinvolto, oltre alle agenzie federali Usa, anche i network informatici di società come Google e Microsoft.
Google ha prontamente negato, imputando lo stop dei servizi del 14 dicembre (che ha impedito a migliaia di ragazzi nel mondo di fare le lezioni On-line) ad un problema relativo all’occupazione di spazio sui server. Motivazione che risulta quantomeno difficile da credere.
L’attacco è più esteso di quanto si fosse pensato
Mano a mano che gli esperti di sicurezza e le agenzie governative americane proseguono con le indagini e valutano i danni, si scopre uno scenario sempre più esteso.
Potrebbero volerci mesi solo per capire quanto l’attacco sia andato in profondità, e potrebbero volerci anni per rimettere tutti i sistemi informatici in sicurezza, con grosse perdite economiche e danni politici.
Chi sono i responsabili dell’attacco?
Sulla base delle informazioni raccolte fino ad ora, gli esperti di sicurezza informatica sono concordi nell’attribuire la responsabilità dell’attacco all’SVR, il Servizio di intelligence internazionale russo (una delle agenzie nate dal KGB di epoca sovietica), più in particolare al gruppo hacker APT29 “Cozy Bear”
Il portavoce del Cremlino, Dmitri Peskov, ha ovviamente negato ogni coinvolgimento asserendo che «le accuse nei confronti della Russia sono del tutto prive di fondamento e sembrano essere la continuazione di una cieca russofobia».
Una virtuale dichiarazione di guerra
Nonostante le minimizzazioni di molti politici, Dick Durbin, un senatore del Partito Democratico, a metà dicembre ha dichiarato che l’enorme attacco hacker alla rete USA, utilizzando il software di SolarWinds
«è virtualmente una dichiarazione di guerra della Russia contro gli Stati Uniti».
Durbin è l’unico senatore ad aver fatto una dichiarazione di questo tipo
Negli Stati Uniti si sta anche cominciando a parlare delle responsabilità: non soltanto quelle dell’attacco, ma anche di chi avrebbe dovuto prevenirlo e non l’ha fatto.
Questione di spie
Secondo le prime ipotesi, presunte spie di Mosca sarebbero riuscite a manomettere i software per gli aggiornamenti rilasciati da SolarWinds
La tecnica usata è il cosiddetto “supply chain attack”, che consiste nel nascondere codice maligno nel corpo dei legittimi aggiornamenti software offerti alle organizzazioni-target da terze parti.
Gli hackers hanno infatti ottenuto l’accesso al sistema di aggiornamento di “Orion” (il software fornito appunto da Solar Winds per la gestione delle reti aziendali) e quando, nel marzo del 2020, è stato pubblicato un aggiornamento, l’hanno sfruttato per installare una “backdoor” nelle reti interne dei clienti della società.
le backdoor
Le backdoor, letteralmente “porta di servizio”, sono programmi che consentono di entrare in un sistema informatico senza che il suo proprietario se ne accorga, ed eventualmente di prenderne il controllo.
Orion è un software diffusissimo, e anche se SolarWinds ha eliminato la pagina in cui elencava tutti i suoi clienti, questa è ancora reperibile sul web.
L’azienda sostiene di avere oltre 300 mila clienti, compresi tutti e cinque i settori della Forze armate americane compresa la Space Force, (aggiunta da poco)
Anche il Pentagono, la NASA, l’NSA, vari ministeri e anche l’ufficio della presidenza degli Stati Uniti utilizzano Orion.
le Fortune 500
Tra i clienti privati di SolarWinds ci sono ben 425 delle aziende del “Fortune 500” (la lista delle 500 aziende più grandi degli Stati Uniti, compilata dalla rivista Fortune).
Anche le dieci più grandi compagnie telefoniche americane, centinaia di università e ospedali in tutto il mondo utilizzano lo stesso software.
Meno di 18 mila !
Ovviamente non tutti questi clienti hanno scaricato l’aggiornamento che conteneva la backdoor. Secondo SolarWinds, l’hanno fatto in «meno di 18 mila».
Questo significa comunque che più di 17 mila aziende ed enti governativi avevano dentro ai propri sistemi informatici la backdoor che poteva essere usata in qualsiasi momento.
Già a fine dicembre Microsoft aveva detto di aver individuato almeno quaranta tra aziende ed enti governativi effettivamente infiltrati (in seguito ha rivelato che gli hacker erano entrati anche nei suoi sistemi).
Non solo Solar Winds
Gli esperti, tuttavia, ritengono che SolarWinds sia soltanto uno dei fornitori usati dagli hacker, e dunque le vittime potrebbero essere di più.
Anche il dipartimento dell’Energia, che si occupa delle armi nucleari, ha detto di aver subito infiltrazioni.
Insomma, più si va a fondo più ci si rende conto che un attacco di queste proporzioni non si era mai verificato, ed ogni giorno escono notizie della scoperta di nuove infiltrazioni.
Cosa hanno fatto gli hackers
Secondo l’esperto di sicurezza informatica Bruce Schneier (crittografo e saggista statunitense che ha scritto diversi libri su sicurezza informatica e crittografia), l’enorme attacco hacker alla rete USA ha avuto un’esecuzione “da manuale”. Gli infiltrati hanno seguito quello che viene definito il «manuale standard».
Una volta all’interno dei sistemi si sono mossi per scovare altre vulnerabilità ed espandere la propria presenza nel network e di sicuro hanno creato un «accesso persistente», cioè hanno inserito ulteriori backdoor, cosi da potersi garantire l’accesso una volta che Orion avesse aggiornato il sistema e bloccato l’accesso.
Non è il solito spionaggio
Brad Smith, il presidente di Microsoft, ha scritto che il recente attacco non è da bollare come “il solito spionaggio”, come alcune figure politiche americane hanno dichiarato, perché non si è limitato a rubare materiale segreto ma ha creato grandi vulnerabilità tecnologiche in tutto il mondo.
Per avere la certezza che i propri sistemi siano effettivamente puliti infatti, sembra che l’unica soluzione possibile sia quella di ricostruire per intero la rete informatica, cosa che comporta ingenti spese.
Com’è potuto succedere?
“Per il solito motivo”, ha affermato Michele Colajanni, docente di sicurezza informatica all’Unimore.
“l’utilizzo di applicazioni vulnerabili, (spesso note) e per le quali non sono stati presi provvedimenti.
Di fronte a simili problemi di gestione informatica non c’è un centro cyber che ti possa proteggere. Nessuno può dirsi tranquillo e “scagliare la prima pietra”.
Coinvolte anche alcune società italiane
Tra le compagnie esposte all’enorme attacco hacker alla rete USA, risultano esserci anche alcune company italiane di alto livello. Quanto accaduto, quindi, potrebbe avere importanti impatti anche nel nostro Paese.
Poco prima di Natale, (il 23 dicembre) si è riunito il nostro Sistema di Sicurezza Nazionale.
In questa occasione è stato attivato il “Nucleo per la Sicurezza Cibernetica” che ha messo a disposizione le competenze del CSIRT (Computer Security Incident Response Team) delle aziende italiane coinvolte.
Insomma, è una vicenda dalli contorni complessi e le cui conseguenze sono assolutamente imprevedibili. Che uso verrà fatto dei dati sottratti?
