Aggiornamenti recenti Luglio 18th, 2025 3:17 PM
partner
News Recenti
- Transparency Center Initiative di Kaspersky Lab: cosa significa per l’Italia
- LameHug, un nuovo malware che sfrutta un LLM per eseguire comandi
- Salt Typhoon: nove mesi nascosti nei sistemi della Guardia Nazionale USA
- Attacchi DDoS ipervolumetrici, ancora numeri da record nonostante il calo
- FlashStart rinnova il DNS Filtering per migliorare performance e scalabilità grazie all’IA
- GPUHammer: le GPU NVIDIA sono vulnerabili a un exploit di Rowhammer
Nuovi sviluppi e un (possibile) leak nel caso SolarWinds
I contorni dell’attacco che ha preso di mira la società texana continuano ad ampliarsi. Ecco il punto della situazione a più di un mese dalla scoperta.
Più di 250 reti informatiche compromesse, 18.000 organizzazioni tuttora considerate “a rischio” e una vicenda che, nel complesso, ha ancora molti lati oscuri.
A 40 giorni dal primo allarme, l’attacco che ha coinvolto SolarWinds e le aziende che utilizzano il suo software Orion è ancora oggetto di analisi da parte degli esperti di sicurezza.
La vicenda, di cui abbiamo riassunto i tratti salienti in questo articolo, si è infatti complicata a dismisura e nessuna delle ipotesi fin qui formulate sembra aver trovato un riscontro definitivo.
Le uniche certezze riguardano il fatto che i soggetti coinvolti, inizialmente stimati in un numero ridotto, sono molti più numerosi. Oltre ad alcuni dipartimenti dell’amministrazione statunitense, infatti, nella conta rientrerebbero anche aziende del settore tecnologico come Intel, Microsoft e Cisco.
Buio pesto, invece, per quanto riguarda la ricostruzione delle fasi dell’attacco. Oltre a Sunburst, il primo identificato dai ricercatori, sarebbero emersi altri tre malware utilizzati nell’attacco o comunque presenti sui server di SolarWinds.
Il primo, che i pirati avrebbero utilizzato nella fase iniziale dell’attacco ai sistemi dell’azienda, si chiama Sunspot e avrebbe avuto la funzione di consentire l’iniezione della backdoor Sunburst all’interno del codice di Orion.
Gli altri due malware (Teardrop e Raindrop) sarebbero invece stati utilizzati per compromettere le reti delle organizzazioni che hanno installato la versione malevola di Orion. I due trojan, identificati da Symantec, differiscono per alcune caratteristiche e sembrano essere lo “stadio finale” dell’attacco.
Il caso, però, è reso ancora più complesso dalla presenza di un quinto malware, battezzato con il nome di SuperNova. Come spiegano i ricercatori di Secureworks in un post sul blog della società di sicurezza, si tratta di una Web Shell che sarebbe stata iniettata nei sistemi di SolarWinds sfruttando una vulnerabilità zero-day della piattaforma.
Secondo gli esperti che stanno analizzando l’attacco, la presenza di SuperNova non è necessariamente collegata all’attacco principale e potrebbe essere addirittura opera di un altro gruppo di pirati informatici.
Poche certezze anche per quanto riguarda l’attribuzione dell’attacco. Se il governo statunitense non ha esitato a puntare il dito contro i servizi segreti russi ipotizzando il coinvolgimento del famigerato gruppo APT Cozy Bear, gli ultimi sviluppi della vicenda hanno portato gli esperti di sicurezza a sollevare qualche dubbio.
Lo scorso 12 gennaio, infatti, è comparso su Internet il sito Solarleaks.net, il cui contenuto (impossibile da verificare) porterebbe alla conclusione che gli autori dell’attacco abbiano finalità ulteriori rispetto a quelle dello spionaggio.
Nel sito, infatti, viene promossa la vendita di informazioni riservate provenienti dai sistemi compromessi in cambio di denaro. Qualcosa che stride decisamente con il modus operandi degli hacker di Cozy Bear.
Nel dettaglio, i (presunti) autori dell’attacco offrirebbero il codice sorgente di prodotti di FireEye, Intel, Microsoft e Cisco in cambio di una contropartita che per il “pacchetto completo”, sarebbe di 1 milione di dollari.
Il sito, che si affida per l’hosting a Njalla (noto per offrire un elevato livello di segretezza – ndr) e i cui dati di registrazione riportano semplicemente la dicitura “YOU CAN GET NO INFO”, riporta una firma digitale e un indirizzo che punta a un wallet Monero per il pagamento.
Impossibile, almeno in questa fase, capire se la rivendicazione sia credibile o meno. I dubbi, però, sono tanti. A moltiplicarli è stata anche un’ulteriore mossa fatta dai (presunti) pirati informatici.
Il giorno seguente alla pubblicazione, infatti, gli amministratori del sito hanno pubblicato una nuova porzione di testo in cui chiedono a chiunque voglia mettersi in contatto con loro di versare anticipatamente 100 Monero (XMR), l’equivalente al cambio attuale di 15.000 euro.
Insomma: il sospetto che si tratti semplicemente di qualcuno che stia cercando di approfittare della situazione è più che concreto, ma il (presunto) leak per il momento ha l’unico effetto di rendere ancora più confuso tutto il quadro.
Condividi l'articolo
Rubano le credenziali a migliaia di utenti ma i dati finiscono su… Google!
Trend Micro: ecco cosa ci aspetta nel 2021 nel mondo della cyber security
Articoli correlati
Altro in questa categoria
Approfondimenti
-
Attacchi DDoS ipervolumetrici, ancora numeri da record... Gli attacchi DDoS, compresi quelli ipervolumetrici,... -
Liste di dati sul dark web: una fonte inaffidabile per le... In una recente analisi, Group-IB ha approfondito il ruolo... -
IconAds: quando le app fantasma diventano portali... Recentemente il team Satori Threat Intelligence di HUMAN ha... -
Le aziende italiane prevedono un aumento degli investimenti... La cybersecurity sta acquisendo sempre più importanza tra... -
Sophos Annual Threat Report: i malware e gli strumenti più... Nel 2024, le piccole e medie imprese, spesso considerate il...
Minacce recenti
Off topic
-
L’IA generativa unifica le interfacce di gestione e... Con l’avvento dell’IA generativa... -
Cyberinsurance: misurare il rischio umano può... Negli ultimi anni sempre più aziende stanno sottoscrivendo... -
Il machine learning di Kaspersky aumenta la capacità di... Grazie al machine learning, il Global Research and Analysis... -
I vertici aziendali non sono del tutto pronti alle nuove... Il 2024 è l’anno delle nuove normative di sicurezza:... -
Più della meta delle aziende geo-distribuite ha problemi... Una delle sfide principali delle aziende distribuite sul...
Post recenti
-
LameHug, un nuovo malware che sfrutta un LLM per eseguire... Il CERT-UA, agenzia governativa ucraina di cybersicurezza,... -
Salt Typhoon: nove mesi nascosti nei sistemi della Guardia... Un gruppo APT legato al governo cinese ha mantenuto... -
Attacchi DDoS ipervolumetrici, ancora numeri da record... Gli attacchi DDoS, compresi quelli ipervolumetrici,...
-
FlashStart rinnova il DNS Filtering per migliorare... FlashStart, realtà italiana specializzata in soluzioni per... -
GPUHammer: le GPU NVIDIA sono vulnerabili a un exploit di... Nuova minaccia per le GPU: secondo un recente comunicato...
Ransomware: la serie
No posts found.