Le intrusioni di rete presso il dipartimento del commercio degli Stati Uniti, il Tesoro degli Stati Uniti e FireEye sembravano essere collegate ad aggiornamenti software manomessi per un prodotto di monitoraggio della rete chiamato Orion, realizzato da SolarWinds.
Domenica, il Dipartimento del Commercio degli Stati Uniti ha confermato di essere stato preso di mira dagli hacker e, secondo quanto riferito, anche il Tesoro degli Stati Uniti è stato colpito.
Reuters ha riportato per la prima volta gli incidenti, con il Washington Post che suggerisce che un gruppo russo noto come Cozy Bear, o APT29, sia la fonte.
Il Post ha riferito la scorsa settimana che lo stesso gruppo era dietro un attacco contro la società di sicurezza informatica FireEye (vedi Attacco a FireEye).
In un aggiornamento di domenica, FireEye ha avvertito che gli aggiornamenti software per il prodotto Orion di SolarWinds erano stati sovvertiti da backdoor soprannominati SUNBURST. Gli aggiornamenti del software dannoso, che sono stati firmati con firme digitali valide, potrebbero rubare file, profilare i sistemi e disabilitare i servizi di sistema.
FireEye ha avvertito che “gli hacker dietro questa campagna hanno avuto accesso a numerose organizzazioni pubbliche e private in tutto il mondo“. In una direttiva di emergenza, la Cybersecurity and Infrastructure Agency (CISA) degli Stati Uniti afferma che i prodotti Orion interessati sono versioni dalla 2019.4 alla 2020.2.1 HF1.
Il Dipartimento del Commercio dice “possiamo confermare che c’è stata una violazione in uno dei nostri uffici. Abbiamo chiesto al CISA e all’FBI di indagare e non possiamo commentare ulteriormente in questo momento“.
Il Post riporta che anche la National Telecommunications and Information Administration (NTIA), che fornisce consulenza al presidente su questioni di telecomunicazioni, è stata attaccata. Reuters riferisce che gli attacchi sono considerati così gravi che il Consiglio di sicurezza nazionale ha tenuto una riunione di emergenza sabato.
Connessione SolarWinds
Gli aspetti degli attacchi non sono chiari, come esattamente ciò che gli aggressori hanno rubato e gli impatti immediati sulla sicurezza nazionale degli Stati Uniti. Il New York Times riporta che gli aggressori avevano accesso ai sistemi di posta elettronica del dipartimento del Tesoro e del Commercio.
Domenica, SolarWinds ha rivelato che sta indagando su una “potenziale vulnerabilità” che potrebbe essere collegata agli aggiornamenti software per la sua piattaforma di monitoraggio della rete Orion. Gli aggiornamenti sono stati rilasciati tra marzo e giugno, secondo una dichiarazione. Ha anche menzionato FireEye.
“Riteniamo che questa vulnerabilità sia il risultato di un attacco alla catena di approvvigionamento altamente sofisticato, mirato e manuale da parte di uno stato nazionale“, afferma SolarWinds. “Stiamo agendo in stretto coordinamento con FireEye, il Federal Bureau of Investigation, la comunità dei servizi segreti e altre forze dell’ordine per indagare su queste questioni. In quanto tali, siamo limitati a ciò che possiamo condividere in questo momento“.
La descrizione dell’attacco da parte di FireEye significava che le organizzazioni che utilizzavano il software di SolarWinds avrebbero avuto poche difese contro l’infezione. Gli aggiornamenti software vengono “firmati” utilizzando la crittografia a chiave pubblica e gli aggiornamenti che contengono chiavi non valide non sarebbero accettati. Ma il software manomesso che ha una chiave valida passerebbe.
La chiave che genera quella firma è un segreto gelosamente custodito. Il post di FireEye indica che gli aggressori hanno in qualche modo ottenuto un accesso profondo all’infrastruttura di firma del software di SolarWinds.
Impatto dell’attacco
L’attacco di nuovo SolarWinds farà rabbrividire la comunità della sicurezza IT e potrebbe avere conseguenze di vasta portata a seconda di quante organizzazioni sono state infettate.
L’azienda è un noto provider di servizi gestiti che fornisce una gamma di strumenti e servizi alle organizzazioni per gestire la propria infrastruttura IT. Gli esperti di sicurezza delle informazioni spesso avvertono del pericolo e della potenza degli attacchi alla catena di approvvigionamento che sfruttano componenti o prodotti software ampiamente utilizzati.
Secondo il suo sito web, i clienti di SolarWinds includono i cinque rami delle forze armate statunitensi, il Pentagono, il Dipartimento di Stato, la NASA, la NSA, il servizio postale, il NOAA, il Dipartimento di giustizia e la Casa Bianca. Serve anche centinaia di altre grandi aziende, comprese 425 delle 500 società Fortune.
La sua piattaforma Orion è un modo per le aziende IT di estrarre dati da vari sistemi e visualizzarli su un’unica console. Sono anche usati per controllare quei sistemi.
I prodotti di SolarWinds hanno accesso amministrativo alle reti dell’organizzazione, twitta Dmitri Alperovitch, co-fondatore ed ex CTO della società di sicurezza informatica CrowdStrike.
“Lunedì potrebbe essere una brutta giornata per molte squadre di sicurezza”, scrive Alperovitch.
I sistemi di gestione della rete come Orion sono obiettivi primari per gli aggressori poiché possono avere accesso a tutti i sistemi su una rete, scrive Jake Williams, un ex operatore della National Security Agency e fondatore della società di sicurezza Rendition Infosec con sede ad Atlanta, in una discussione Twitter.
Indagine in corso
CISA afferma in una dichiarazione “abbiamo lavorato a stretto contatto con le nostre agenzie partner per quanto riguarda le attività scoperte di recente sulle reti governative“.
“CISA sta fornendo assistenza tecnica alle entità interessate mentre lavorano per identificare e mitigare eventuali potenziali compromessi“, afferma.
Le intrusioni arrivano in un momento fragile e instabile per gli Stati Uniti, che stanno affrontando una pericolosa ondata di casi di coronavirus e stanno affrontando una difficile transizione presidenziale.
Gli sforzi del presidente Donald Trump per ribaltare le elezioni su accuse di frode non verificate hanno incontrato ripetute sconfitte in tribunale. Una causa del Texas contro altri quattro stati che mirava a respingere i risultati delle elezioni è stata respinta all’unanimità dalla Corte Suprema proprio venerdì.
