SolarWinds

L'analisi dell'hack di SolarWinds fa emergere nuove minacce: dietro al malware Supernova potrebbero esserci gruppi operanti in Cina

di pubblicata il , alle 14:41 nel canale Security L'analisi dell'hack di SolarWinds fa emergere nuove minacce: dietro al malware Supernova potrebbero esserci gruppi operanti in Cina

Supernova è un secondo malware installato sfruttando delle vulnerabilità della piattaforma Orion di SolarWinds. Il gruppo che lo sta sfruttando, Spiral, sembra non essere correlato a chi ha bucato i server Orion

 

Le ultime settimane del 2020 e i primi mesi del 2021 sono stati terribili sotto il profilo della cybersecurity: l'attacco alla supply chain di SolarWinds ha colpito tutti di sorpresa e fatto nascere molti interrogativi sulla sicurezza delle infrastrutture, e più recentemente sono state scoperte delle gravi falle sui server Exchange di Microsoft usate per compromettere decine di migliaia di imprese di ogni dimensione. 

Sicuramente le vulnerabilità scoperte in SolarWinds hanno dato un incentivo agli hacker, che le stanno sfruttando per diffondere malware sui sistemi informatici di aziende di importanza critica, fra cui anche enti governativi. Ma non c'è stato un solo attacco a SolarWinds: oltre a quello che abbiamo segnalato, e che alcuni esperti tendono ad attribuire ad attori operanti in Russia, gli esperti forensi hanno individuato una seconda compromissione, anche in questo caso mirata a inserire un malware nei network di grandi aziende ed enti statali. Il malware in questione è stato nominato Supernova

Supernova

Cosa è il malware Supernova?

Analizzando attentamente i sistemi di SolarWinds violati, gli esperti di cybersecurity hanno scoperto un altro malware che veniva impiantato sulle reti dei sistemi che si appoggiavano alla soluzione Orion di Solarwinds: Supernova. Si tratta di una web shell .NET che viene impiantata nei server Orion vulnerabili e che, come spiega Palo Alto Networks, permette agli attaccanti di mantenere la presenza sui sistemi violati. La peculiarità di Superova è che è in grado di compilare metodi, argomenti e codice direttamente in memoria, così da non lasciare praticamente tracce che possano essere analizzate dagli esperti. Supernova viene utilizzato sia per effettuare la scansione dei sistemi violati, mappando l'infrastruttura della rete, sia per sottrarre informazioni quali documenti o credenziali di accesso. 

Questo tipo di attacchi è da ricondurre a un gruppo denominato Spiral e che si considera legato ad attori che operano in Cina. Inizialmente si pensava che questi attaccanti fossero legati al gruppo che ha violato la supply chain di SolarWinds (che si suppone operi in Russia), ma ulteriori analisi suggeriscono che si tratti di due gruppi distinti e non legati fra loro. 

6 Commenti
Gli autori dei commenti, e non la redazione, sono responsabili dei contenuti da loro inseriti - info
niky8909 Marzo 2021, 16:33 #1
Non Russi? Strano
Sandro kensan09 Marzo 2021, 18:28 #2
Originariamente inviato da: niky89
Non Russi? Strano


Ho letto solo il titolo e l'occhiello e sono venuto qui proprio per dire la stessa cosa: hanno ricevuto un nuovo ordine? Basta russi brutti e cattivi adesso è il periodo dei cinesi?

Poi come dicono in tanti basta un carattere cirillico o cinese nel file sorgente del malware e già è una prova di colpevolezza. Al massimo (se non danno molti soldi oppure se il sistema non è ben oliato) mettono il punto di domanda.

Non so in che modo si guadagni nel pubblicare notizie non verificate e altamente inattendibili ma sicuramente c'è il modo.

In fin dei conti quando mi arrivano certe email posso non capire come fanno a guadagnarci ma sono sicuro che c'è del denaro in ballo.
daitarn_309 Marzo 2021, 22:21 #3
sempre Cina o Russia. Gli USA ed Israele sono dei santi altruisti !!! he he
Marko_00109 Marzo 2021, 23:27 #4
"Ho letto solo il titolo e l'occhiello"
capita
ma l'articolo dice un'altra cosa.
Sandro kensan10 Marzo 2021, 00:59 #5
Originariamente inviato da: Marko_001
"Ho letto solo il titolo e l'occhiello"
capita
ma l'articolo dice un'altra cosa.


Gli articoli che avevo letto dicevano sempre la stessa cosa, non ho motivo di perdere tempo a leggere un articolo inutile che è fatto per motivi geopolitici. Invece i commenti sono informazione vera per cui perdo il mio tempo nel forum in tutti questo genere di articoli.

Poi non è che altre testate facciano meglio, quindi meglio incontrarsi per dire la verità tra commentartori che cercare il giornalista che abbia voglia di dire le cose come stanno: si fanno questi articoli perché c'è qualcuno nella piramide che ha detto cosa dire e cosa non dire.
Alberto Falchi10 Marzo 2021, 10:20 #6
@Sandrokensan Se fossi andato oltre titolo e occhiello forse però avresti notato che si dice ben altro ;-)

Devi effettuare il login per poter commentare
Se non sei ancora registrato, puoi farlo attraverso questo form.
Se sei già registrato e loggato nel sito, puoi inserire il tuo commento.
Si tenga presente quanto letto nel regolamento, nel rispetto del "quieto vivere".

La discussione è consultabile anche qui, sul forum.
^