Aggiornamenti recenti Ottobre 14th, 2024 2:00 PM
Gen 21, 2021 Marco Schiaffino Attacchi, In evidenza, Intrusione, Leaks, Malware, News, RSS, Scenario 0
Più di 250 reti informatiche compromesse, 18.000 organizzazioni tuttora considerate “a rischio” e una vicenda che, nel complesso, ha ancora molti lati oscuri.
A 40 giorni dal primo allarme, l’attacco che ha coinvolto SolarWinds e le aziende che utilizzano il suo software Orion è ancora oggetto di analisi da parte degli esperti di sicurezza.
La vicenda, di cui abbiamo riassunto i tratti salienti in questo articolo, si è infatti complicata a dismisura e nessuna delle ipotesi fin qui formulate sembra aver trovato un riscontro definitivo.
Le uniche certezze riguardano il fatto che i soggetti coinvolti, inizialmente stimati in un numero ridotto, sono molti più numerosi. Oltre ad alcuni dipartimenti dell’amministrazione statunitense, infatti, nella conta rientrerebbero anche aziende del settore tecnologico come Intel, Microsoft e Cisco.
Buio pesto, invece, per quanto riguarda la ricostruzione delle fasi dell’attacco. Oltre a Sunburst, il primo identificato dai ricercatori, sarebbero emersi altri tre malware utilizzati nell’attacco o comunque presenti sui server di SolarWinds.
Il primo, che i pirati avrebbero utilizzato nella fase iniziale dell’attacco ai sistemi dell’azienda, si chiama Sunspot e avrebbe avuto la funzione di consentire l’iniezione della backdoor Sunburst all’interno del codice di Orion.
Gli altri due malware (Teardrop e Raindrop) sarebbero invece stati utilizzati per compromettere le reti delle organizzazioni che hanno installato la versione malevola di Orion. I due trojan, identificati da Symantec, differiscono per alcune caratteristiche e sembrano essere lo “stadio finale” dell’attacco.
Il caso, però, è reso ancora più complesso dalla presenza di un quinto malware, battezzato con il nome di SuperNova. Come spiegano i ricercatori di Secureworks in un post sul blog della società di sicurezza, si tratta di una Web Shell che sarebbe stata iniettata nei sistemi di SolarWinds sfruttando una vulnerabilità zero-day della piattaforma.
Secondo gli esperti che stanno analizzando l’attacco, la presenza di SuperNova non è necessariamente collegata all’attacco principale e potrebbe essere addirittura opera di un altro gruppo di pirati informatici.
Poche certezze anche per quanto riguarda l’attribuzione dell’attacco. Se il governo statunitense non ha esitato a puntare il dito contro i servizi segreti russi ipotizzando il coinvolgimento del famigerato gruppo APT Cozy Bear, gli ultimi sviluppi della vicenda hanno portato gli esperti di sicurezza a sollevare qualche dubbio.
Lo scorso 12 gennaio, infatti, è comparso su Internet il sito Solarleaks.net, il cui contenuto (impossibile da verificare) porterebbe alla conclusione che gli autori dell’attacco abbiano finalità ulteriori rispetto a quelle dello spionaggio.
Nel sito, infatti, viene promossa la vendita di informazioni riservate provenienti dai sistemi compromessi in cambio di denaro. Qualcosa che stride decisamente con il modus operandi degli hacker di Cozy Bear.
Nel dettaglio, i (presunti) autori dell’attacco offrirebbero il codice sorgente di prodotti di FireEye, Intel, Microsoft e Cisco in cambio di una contropartita che per il “pacchetto completo”, sarebbe di 1 milione di dollari.
Il sito, che si affida per l’hosting a Njalla (noto per offrire un elevato livello di segretezza – ndr) e i cui dati di registrazione riportano semplicemente la dicitura “YOU CAN GET NO INFO”, riporta una firma digitale e un indirizzo che punta a un wallet Monero per il pagamento.
Impossibile, almeno in questa fase, capire se la rivendicazione sia credibile o meno. I dubbi, però, sono tanti. A moltiplicarli è stata anche un’ulteriore mossa fatta dai (presunti) pirati informatici.
Il giorno seguente alla pubblicazione, infatti, gli amministratori del sito hanno pubblicato una nuova porzione di testo in cui chiedono a chiunque voglia mettersi in contatto con loro di versare anticipatamente 100 Monero (XMR), l’equivalente al cambio attuale di 15.000 euro.
Insomma: il sospetto che si tratti semplicemente di qualcuno che stia cercando di approfittare della situazione è più che concreto, ma il (presunto) leak per il momento ha l’unico effetto di rendere ancora più confuso tutto il quadro.
Giu 29, 2024 0
Gen 28, 2022 0
Gen 27, 2022 0
Gen 26, 2022 0
Ott 14, 2024 0
Ott 14, 2024 0
Ott 11, 2024 0
Ott 10, 2024 0
Ott 10, 2024 0
Negli ultimi anni il numero di campagne di business email...Ott 09, 2024 0
Negli ultimi anni sempre più aziende stanno sottoscrivendo...Ott 09, 2024 0
Acronis ha rilasciato il suo report “Acronis...Ott 03, 2024 0
Dopo essere entrata in vigora il 17 gennaio 2023, la NIS2...Ott 02, 2024 0
Grazie al machine learning, il Global Research and Analysis...Ott 09, 2024 0
Negli ultimi anni sempre più aziende stanno sottoscrivendo...Ott 02, 2024 0
Grazie al machine learning, il Global Research and Analysis...Set 30, 2024 0
Il 2024 è l’anno delle nuove normative di sicurezza:...Mag 21, 2024 0
Una delle sfide principali delle aziende distribuite sul...Mag 08, 2024 0
L’ultimo non è stato un buon anno per Microsoft:...Ott 14, 2024 0
Lo scorso mercoledì la CISA (Cybersecurity &...Ott 14, 2024 0
Nell’ultima settimana, il CERT-AGID (Computer...Ott 11, 2024 0
Mercoledì Google ha annunciato Global Signal Exchange,...Ott 10, 2024 0
I ricercatori di Jscrambler hanno individuato peculiare...Ott 10, 2024 0
Negli ultimi anni il numero di campagne di business