Il Dipartimento di Stato degli Stati Uniti è stato colpito da un attacco informatico e le notifiche di una possibile violazione grave sono state effettuate dal Cyber Command del Dipartimento della Difesa.
UPDATE 22.08.2021
Si ritiene che l’attacco informatico al Dipartimento di Stato sia un evento isolato e nessun’altra agenzia federale è attualmente colpita. Molteplici fonti descrivono anche l’incidente come privo di impatto operativo o esposizione di sistemi classificati.
Il direttore della sicurezza informatica dell’NSA Rob Joyce ha twittato: “È in corso una nuova ondata di sfruttamento dei server Microsoft Exchange.”
Diverse fonti dunque puntano il dito su questo zero-day che, prima che venisse corretto con patch, ha lasciato esposte a vulnerabilità 140mila organizzazioni sensibili e target di spionaggio.
Per la prima volta a marzo, lo sfruttamento di questa vulnerabilità venne attribuito al gruppo criminale sponsorizzato dallo stato cinese HAFNIUM.
Non è chiaro quando sia stata scoperta la violazione, ma si ritiene che sia avvenuta un paio di settimane fa. Una fonte vicina alla Casa Bianca dice a Fox che la missione in corso del Dipartimento di Stato per evacuare gli americani e i rifugiati alleati in Afghanistan “non è stata colpita”.
L’entità della violazione, le indagini sull’entità sospettata dietro di essa, gli sforzi intrapresi per mitigarla e qualsiasi rischio in corso per le operazioni rimangono poco chiari. Lo dice una fonte vicina a Jacqui Heinrich, la corrispondente della Casa Bianca di Fox News.
“Il Dipartimento prende sul serio la sua responsabilità di salvaguardare le sue informazioni e si adopera continuamente per garantire che le informazioni siano protette. Per motivi di sicurezza, al momento non siamo in grado di discutere la natura o la portata di eventuali presunti incidenti di sicurezza informatica”.
In particolare, un rapporto della commissione per la sicurezza interna del Senato questo mese ha valutato la sicurezza informatica complessiva del Dipartimento di Stato con una “D”, la valutazione più bassa possibile nel modello, definendola inefficace in 4 su 5 aree funzionali.
La portata di questo incidente può essere dedotta anche dai tempi di allerta al Congresso. Secondo la legge federale, ogni agenzia determina se l’attacco informatico o l’incidente di sicurezza delle informazioni soddisfa i criteri di “incidente grave” – in caso affermativo, devono informare il Congresso entro 7 giorni
Aggiungo solo che, nonostante le indagini siano in corso e le notizie ancora frammentate, ho rilevato che nel blog/wiki sul darkweb del gruppo ransomware Marketo, sono stati pubblicati dei dati su materiale militare degli Stati Uniti, esattamente del Viginia Defense Force, proprio nelle ore a cavallo con questa notizia.
Inserisco gli screenshot dei due data leaks, appena pubblicati da Marketo.
Questo articolo è uno di quelli da seguire, che chiamo in sviluppo, proprio per la tempestività della notizia e perché nelle prossime ore, ci saranno sicuramente degli approfondimenti.
