Gli hacker, quasi con certezza sostenuti dal governo russo di Putin, hanno utilizzato il software Orion prodotto dall’azienda statunitense SolarWinds che viene utilizzato da oltre 30 mila clienti del settore pubblico, come punto d’ingresso per il sofisticato spionaggio informatico su larga scala portato avanti negli USA fin da marzo 2020.
Gli ultimi risultati di un’indagine in corso dell’FBI hanno rivelato che sono stati in grado di compromettere account interni di Microsoft per accedere al codice sorgente di Windows, come ammesso dallo stesso gigante dell’informatica che non dice però a quale codice sorgente è stato effettuato l’accesso. Nello stesso tempo Microsoft afferma che questo non sia un grosso problema: “Come riportato in precedenza, abbiamo rilevato applicazioni SolarWinds dannose nel nostro ambiente che abbiamo isolato e rimosso. La nostra indagine ha tuttavia rivelato attività tentate oltre la semplice presenza di codice SolarWinds dannoso. Questa attività non ha messo a rischio la sicurezza dei nostri servizi o dei dati dei clienti”, così scrive Microsoft in un recente post.
Le azioni di spionaggio sono state introdotte nelle reti di organizzazioni pubbliche e private attraverso la catena di fornitura del software ERP Orion, ampiamente utilizzato per integrare tutti i processi di business di un’azienda. Le analisi hanno messo in evidenza l’uso dell’aggiornamento software per inserire un codice dannoso legittimo per Orion che consente all’hacker di accedere in remoto con una impronta di malware “leggera e limitata” in modo da svolgere la missione evitando il rilevamento.
Una delle tecniche dell’aggressore consisteva nel falsificare i token per l’autenticazione (oggetto fisico necessario per le autenticazioni a due fattori, come per esempio l’apparecchio di lettura giallo di PostFinance per effettuare il login) in modo che il sistema di dominio pensasse di ottenere credenziali utente legittime quando, in realtà, le credenziali erano false.
Le cose sembrano essere molto peggio di quanto si pensasse. Nello stesso periodo in cui gli americani si sono resi conto della mortalità del coronavirus, il software Orion stava distruggendo la sicurezza informatica delle migliori agenzie governative e aziende tecnologiche. Senza lasciare morti, sono stati acquisiti dati utenti, informazioni e documenti in alcuni casi riservatissimi. Mentre il presidente Trump ha completamente ignorato le azioni dell’agenzia d’intelligence russa SVR, l’Agenzia federale degli Stati Uniti per la sicurezza informatica (CISA), che agisce sotto la supervisione del Dipartimento per la sicurezza interna, ha affermato che gli attacchi hanno rappresentato un grave rischio per il governo statunitense a tutti i livelli.
La CISA infatti ha ordinato durante le vacanze natalizie a tutte le agenzie governative degli Stati Uniti di aggiornare il software Orion alla versione 2020.2.1HF2 entro la fine dell’anno, diversamente avrebbero dovuto mettere offline i loro sistemi.
Un’altra vulnerabilità è stata presa di mira da un secondo gruppo di hacker che hanno installato il malware Supernova e CosmicGale come bypass di autentificazione.
I dettagli sui nuovi hacker sono ancora scarsi, ma non sembrano essere correlati ai sospetti hacker sostenuti dal governo russo che hanno violato SolarWinds, quindi sembra essere un attacco separato.
Con il passare del tempo, sempre più agenzie governative e aziende private hanno confermato di essere state violate, e tutte affermano che non è stato rivelato nulla di così importante.
Affermazioni che comunque non sembrano avere molto peso, perché nessuno può dire con certezza per ora cosa sia stato preso o consultato durante l’hackeraggio.