Attacco agli USA, nuovi dettagli del breach SolarWinds e come mitigare i rischi

L’attacco più grave alle infrastrutture americane, e non solo, è stato effettuato modificando un aggiornamento a uno dei tool più diffusi per il monitoraggio di reti e applicazioni: Orion di SolarWinds.

Si ritiene che il gruppo di attacco sia affiliato al governo russo e che abbia avuto accesso ai sistemi di diversi ministeri degli Stati Uniti, incluso il Tesoro e il Commercio, il Pentagono e diverse agenzie di sicurezza nel corso di una lunga campagna cominciata lo scorso marzo. Non è chiara la portata dei danni, in termini di informazioni riservate sottratte o altre conseguenze, generati da una permanenza malevola così lunga all’interno di infrastrutture così critiche.

L’incidente evidenzia l’impatto che può avere un attacco di tipo supply-chain, in cui viene compromesso il software di un fornitore per attaccare tutti i suoi clienti, e anche che purtroppo molte organizzazioni sono gravemente impreparate nel prevenire e rilevare questo tipo di minacce.

Secondo FireEye, questo è uno dei più sofisticati attacchi mai osservati, perché utilizza tecniche per evadere il rilevamento e sfrutta relazioni di trust sui processi software esistenti. L’azienda ritiene tuttavia che questi attacchi possono essere individuati attraverso un monitoraggio attento e persistente e ha descritto diverse tecniche utili a questo scopo.

“Le entità attaccate possono esaminare i log alla ricerca di sessioni SMB che mostrano accesso a directory non sospette, ma che seguono uno schema cancellazione → creazione → esecuzione → cancellazione → creazione sullo stesso file – scrivono i ricercatori di FireEye -. In aggiunta, si possono analizzare i task pianificati alla ricerca di aggiornamenti temporanei, eseguendo un’analisi della frequenza per individuare delle modifiche anomale ai task eseguiti o task legittimi che attivano eseguibili sconosciuti”.

Gli attacchi di tipo supply-chain non sono una novità, e gli esperti di cybersecurity da anni mettono in guardia aziende e governi sui loro rischi. Questi attacchi sono particolarmente efficaci perché sfruttano una relazione di fiducia esistente tra il bersaglio e i suoi fornitori software, e canali di comunicazione diretta tra macchine delle due organizzazioni, per esempio i meccanismi di aggiornamento del software.