Microsoft ha scoperto nei propri sistemi codice malevolo associato all’esteso attacco di cyber criminali contro numerosi enti e agenzie USA. Ora sono un po’ più i chiari i contorni della vicenda che ha consentito l’attacco da parte di cybercriminali alla supply chain della piattaforma Orion di SolarWinds e a un gruppo hacker, probabilmente quello noto come APT29 sostenuto dal governo russo, di spiare per mesi enti governativi USA e aziende di vario livello in tutto il mondo.
Reuters riferisce che la National Security Agency (NSA, Agenzia per la Sicurezza Nazionale), l’organismo del Dipartimento della difesa degli Stati Uniti d’America che, insieme alla CIA e all’FBI, si occupa della sicurezza nazionale, ha diramato un adivsory indicando riferimenti a prodotti Microsoft quali Azure e Active Directory come strumenti medianti i quali gli attacker sono riusciti ad avere accesso ad altre risorse.
In una dichiarazione ufficiale Microsoft ha confermato di avere individuato “binari malevoli” sui sistemi oggetto di attacco in USA, ma non ha indivuato prove che dimostrano l’accessso ai servizi di produzione o dati dei clienti. Reuters riporta quanto dichiarato da una sua fonte secondo la quale l’offerta cloud di Microsoft è stata sfruttata dagli hacker per portare a termine gli attacchi ma l’azienda di Redmond non avrebbe trovato alcuna prova di tutto questo.
Gli attacchi sono stati ad ogni modo mirati principalmente contro il governo USA con una campagna malevola ben strutturata e messa in atto in maniera sistematica. La porta che ha consentito accesso a infrastrutture critiche statumitensi e non solo, è stata individuata in una falla di sicurezza nella piattaforma Orion di SolarWinds usata per la gestione e il monitoraggio delle reti.
Il Department of Homeland Security’s – Cybersecurity & Infrastructure Security Agency (DHS-CISA) ha ordinato a tutte le agenzie civili federali di «scollegare o spegnere immediatamente i prodotti SolarWinds Orion (versioni dalla 2019.4 alla 2020.2.1 HF1), dalla loro rete»; alle agenzie è stato inoltre vietato il “re-join” del sistema al dominio.
SolarWinds è una società che sviluppa soluzioni per il monitoraggio e la gestione dell’Information Technology (IT) e uno dei sui prodotti più noti è la piattaforma Orion, suite con strumenti per monitorare prestazioni di rete, risorse di storage, gestire sistemi di virtualizzazione e altro ancora. Tra i clienti di SolarWinds ci sono realtà quali: Harvard University, Microsoft, l’U.S. Air Force, l’US Postal Service, US Secret Service, il Pentagono, la NASA, il Dipartimento di Giustizia, l’Ufficio del Presidente degli Stati Uniti d’America.
Gli attackker hanno sfruttato l’accesso ottenuto alla rete di SolarWinds per integrare una backdoor in una libreria chiave del prodotto, libreria che è stata poi i diffusa ai clienti, tramite il tradizionale processo di aggiornamento della piattaforma Orion.
Secondo Kevin Thompson, Presidente e CEO di SolarWinds, la vulnerabilità e l’attacco sono «Il risultato di un attacco altamente sofisticato e mirato da parte di uno stato-nazione». Thompson ha riferito di stare agendo in coordinamento con FireEye (importante società vittima anch’essa di una recente violazione), l’FBI, servizi di intelligence e forze dell’ordine per indagare sull’accaduto. SolarWinds sta lavorando anche con Microsoft per rimuovere un vettore di attacco che consente la compromissione passando per Microsoft Office 365.
Per tutte le notizie sulla sicurezza informatica vi rimandiamo a questa sezione di macitynet.
