Aggiornamenti recenti Marzo 3rd, 2021 5:06 PM
partner
News Recenti
- Transparency Center Initiative di Kaspersky Lab: cosa significa per l’Italia
- Google corregge un’altro zero-day in Chrome
- Malware su smartphone: nel 2020 boom di adware
- Gootloader: i nuovi attacchi online sfruttano l’ottimizzazione SEO
- Italia seconda in Europa per la presenza di Stalkerware
- Tutti i problemi di sicurezza di Alexa
Nuovi sviluppi e un (possibile) leak nel caso SolarWinds
I contorni dell’attacco che ha preso di mira la società texana continuano ad ampliarsi. Ecco il punto della situazione a più di un mese dalla scoperta.
Più di 250 reti informatiche compromesse, 18.000 organizzazioni tuttora considerate “a rischio” e una vicenda che, nel complesso, ha ancora molti lati oscuri.
A 40 giorni dal primo allarme, l’attacco che ha coinvolto SolarWinds e le aziende che utilizzano il suo software Orion è ancora oggetto di analisi da parte degli esperti di sicurezza.
La vicenda, di cui abbiamo riassunto i tratti salienti in questo articolo, si è infatti complicata a dismisura e nessuna delle ipotesi fin qui formulate sembra aver trovato un riscontro definitivo.
Le uniche certezze riguardano il fatto che i soggetti coinvolti, inizialmente stimati in un numero ridotto, sono molti più numerosi. Oltre ad alcuni dipartimenti dell’amministrazione statunitense, infatti, nella conta rientrerebbero anche aziende del settore tecnologico come Intel, Microsoft e Cisco.
Buio pesto, invece, per quanto riguarda la ricostruzione delle fasi dell’attacco. Oltre a Sunburst, il primo identificato dai ricercatori, sarebbero emersi altri tre malware utilizzati nell’attacco o comunque presenti sui server di SolarWinds.
Il primo, che i pirati avrebbero utilizzato nella fase iniziale dell’attacco ai sistemi dell’azienda, si chiama Sunspot e avrebbe avuto la funzione di consentire l’iniezione della backdoor Sunburst all’interno del codice di Orion.
Gli altri due malware (Teardrop e Raindrop) sarebbero invece stati utilizzati per compromettere le reti delle organizzazioni che hanno installato la versione malevola di Orion. I due trojan, identificati da Symantec, differiscono per alcune caratteristiche e sembrano essere lo “stadio finale” dell’attacco.
Il caso, però, è reso ancora più complesso dalla presenza di un quinto malware, battezzato con il nome di SuperNova. Come spiegano i ricercatori di Secureworks in un post sul blog della società di sicurezza, si tratta di una Web Shell che sarebbe stata iniettata nei sistemi di SolarWinds sfruttando una vulnerabilità zero-day della piattaforma.
Secondo gli esperti che stanno analizzando l’attacco, la presenza di SuperNova non è necessariamente collegata all’attacco principale e potrebbe essere addirittura opera di un altro gruppo di pirati informatici.
Poche certezze anche per quanto riguarda l’attribuzione dell’attacco. Se il governo statunitense non ha esitato a puntare il dito contro i servizi segreti russi ipotizzando il coinvolgimento del famigerato gruppo APT Cozy Bear, gli ultimi sviluppi della vicenda hanno portato gli esperti di sicurezza a sollevare qualche dubbio.
Lo scorso 12 gennaio, infatti, è comparso su Internet il sito Solarleaks.net, il cui contenuto (impossibile da verificare) porterebbe alla conclusione che gli autori dell’attacco abbiano finalità ulteriori rispetto a quelle dello spionaggio.
Nel sito, infatti, viene promossa la vendita di informazioni riservate provenienti dai sistemi compromessi in cambio di denaro. Qualcosa che stride decisamente con il modus operandi degli hacker di Cozy Bear.
Nel dettaglio, i (presunti) autori dell’attacco offrirebbero il codice sorgente di prodotti di FireEye, Intel, Microsoft e Cisco in cambio di una contropartita che per il “pacchetto completo”, sarebbe di 1 milione di dollari.
Il sito, che si affida per l’hosting a Njalla (noto per offrire un elevato livello di segretezza – ndr) e i cui dati di registrazione riportano semplicemente la dicitura “YOU CAN GET NO INFO”, riporta una firma digitale e un indirizzo che punta a un wallet Monero per il pagamento.
Impossibile, almeno in questa fase, capire se la rivendicazione sia credibile o meno. I dubbi, però, sono tanti. A moltiplicarli è stata anche un’ulteriore mossa fatta dai (presunti) pirati informatici.
Il giorno seguente alla pubblicazione, infatti, gli amministratori del sito hanno pubblicato una nuova porzione di testo in cui chiedono a chiunque voglia mettersi in contatto con loro di versare anticipatamente 100 Monero (XMR), l’equivalente al cambio attuale di 15.000 euro.
Insomma: il sospetto che si tratti semplicemente di qualcuno che stia cercando di approfittare della situazione è più che concreto, ma il (presunto) leak per il momento ha l’unico effetto di rendere ancora più confuso tutto il quadro.
Condividi l'articolo
Rubano le credenziali a migliaia di utenti ma i dati finiscono su… Google!
Trend Micro: ecco cosa ci aspetta nel 2021 nel mondo della cyber security
Articoli correlati
Altro in questa categoria
Approfondimenti
-
I chip spia cinesi nei server di Supermicro? Forse ci... Una nuova inchiesta di Bloomberg riprende la vicenda. Il... -
Deepfake: come possono difendersi le aziende? L’utilizzo di app basate su algoritmi di AI per la... -
Check Point: dopo il Covid il rischio è una pandemia cyber Il nuovo scenario del panorama IT delinea priorità e... -
Il Perimetro di sicurezza cibernetica: la lunga strada per... Cosa significa la sua istituzione, come è stato... -
La crittografia è diventata una priorità Lo dice il Thales Data Threat Report 2020. Le aziende...
Minacce recenti
Off topic
-
Maythefourth: La caduta dell’Impero Galattico è... E se vi dicessimo che la saga di Star Wars ... -
Gli hacker e il cinema: i dieci migliori film secondo... Abbiamo rubato al blog di Kaspersky un vecchio pezzo di... -
Campione di scacchi blinda il PC. “Paura degli hacker” Il numero uno degli scacchi mondiali Magnus Carlsen ha... -
L’autore di fsociety pensa di essere Mr. Robot, ma è un... Il pirata informatico che ha creato il ransomware cerca... -
Yahoo sospende l’inoltro delle email. Paura di un esodo... Dopo la raffica di figuracce, l’azienda sospende per...
Post recenti
-
Google corregge un’altro zero-day in Chrome La vulnerabilità in Chrome, secondo i ricercatori di... -
Malware su smartphone: nel 2020 boom di adware Lo studio di Kaspersky mette a fuoco le tendenze del... -
Gootloader: i nuovi attacchi online sfruttano... La tecnica prevede l’uso di siti Internet compromessi per... -
Italia seconda in Europa per la presenza di Stalkerware La ricerca di Kaspersky conferma l’abuso di software spia... -
Tutti i problemi di sicurezza di Alexa Il sistema di interazione dell’assistente vocale di...
Gootloader: i nuovi attacchi online sfruttano l’ottimizzazione SEO
La tecnica prevede l’uso di siti Internet compromessi per diffondere... Continua →
Vocabolario della sicurezza
