L’hacker FXMSP vendeva accesso ai server SolarWinds dal 2017

Posted by

Negli ultimi anni SolarWinds si è affermata come una delle aziende più importanti nello sviluppo di soluzioni IT: “Non c’è nessuno nel mercato veramente vicino in termini di ampiezza di copertura che abbiamo; gestiamo il team di rete di qualsiasi altra azienda“, ha affermato Kevin Thompston, direttore esecutivo dell’azienda con sede in Texas.

I fatti supportano le parole di Thompston, sebbene altri eventi recenti enfatizzino anche i gravi problemi che l’industria in generale potrebbe incontrare visto che il software che mantiene a galla le sue operazioni è coinvolto in incidenti di hacking.

All’inizio della settimana, SolarWinds ha confermato che Orion Plarform, il suo software di gestione della rete, è stato oggetto di abusi da parte di un gruppo di autori di minacce per implementare un’operazione di cyber-spionaggio su scala internazionale.

Secondo quanto riferito, gli hacker malintenzionati sono riusciti a iniettare codice dannoso negli aggiornamenti di Orion distribuiti a oltre 17.000 clienti aziendali. Sebbene gli investigatori vicini all’incidente ritengano che l’incidente non abbia colpito tutti gli utenti potenzialmente esposti, è già stato dimostrato che gli hacker hanno avuto accesso a organizzazioni come il Dipartimento del Tesoro e il Dipartimento del Commercio degli Stati Uniti.

Inizialmente diversi membri della comunità di sicurezza informatica hanno affermato che l’attacco sarebbe stato effettuato da hacker sponsorizzati dal governo russo, sebbene altri specialisti ritengano che sia ancora troppo prematuro trarre conclusioni.

Poco dopo che la società ha rivelato l’incidente di sicurezza, più criminali hanno iniziato a vendere l’accesso a più computer SolarWinds su forum di hacking. Uno dei criminali dietro queste pubblicazioni, chiamato “fxmsp” , è ricercato da anni dal Federal Bureau of Investigation (FBI) a causa del suo presunto coinvolgimento in molteplici incidenti di alto profilo.

Gli incidenti di pirateria informatica non sono l’unico problema che l’azienda deve affrontare, poiché le cattive pratiche di sicurezza hanno dimostrato di essere un problema da cui SolarWinds non è esentata: “Mesi fa abbiamo inviato un avviso di sicurezza all’azienda per informarli che qualsiasi utente poteva accedere al proprio server di aggiornamento utilizzando la password solarwinds123“, ha detto Vinoth Kumar, ricercatore di sicurezza informatica.

Gli esperti non escludono che questa campagna sia parte di un piano di “fxmsp” per compromettere le reti aziendali e governative in tutto il mondo, anche se sarà necessario rivelare maggiori dettagli per confermare queste ipotesi.

Vuoi commentare? Accendi la discussione