L'hack alla supply chain di Solarwinds è più esteso di quanto sembrava: coinvolte 250 fra aziende e agenzie governative USA

Verso metà dicembre, i dipartimenti del Tesoro e del Commercio statunitensi (oltre ad altre agenzie governative) sono stati vittima di un sofisticato attacco informatico, apparentemente a opera del gruppo di hacker noto come Cozy Bear o APT29. Gli esperti di cybersecurity di vari paesi suppongono si tratti di un team associato ad agenzie di intelligence russe, un attore quindi che agisce per conto, o col supporto, del Governo russo. Non stiamo parlando di uno dei tanti attacchi informatici, ma di un caso molto particolare, come abbiamo già indicato qui e qui: gli attaccanti non si sono limitati a sfruttare una vulnerabilità di un sistema, ma hanno compromesso la supply chain di SolarWinds, installando una backdoor nel software di gestione Orion dell'azienda. Un software usato da qualcosa come 17.000 clienti, fra cui colossi come Microsoft che è stata coinvolta nelle violazioni, insieme ad altre imprese anche al di fuori degli USA. A quanto riporta, il New York Times, parliamo di 250 vittime.

La piattaforma Orion di SolarWinds è una componente cruciale di molti sistemi, sia privati sia governativi, che offre una dashboard unificata per la gestione dei servizi IT, sia in ambienti on-premise sia in ambienti cloud, anche ibrido. Può semplificare di molto la vita degli team IT, ma in questo caso è stato usato da dei criminali per violare dei sistemi, rendendo estremamente complessa l'identificazione dell'attacco.   

Perché l'attacco alla supply chain di SolarWinds è particolarmente grave

"Questo [attacco] sembra essere grave, molto più grave di quanto avevamo paventato inizialmente. La portata continua a crescere ed è evidente che il Governo degli Stati Uniti non è stato in grado di indivuduarli ", ha dichiarato al NT Times Mark Warner, senatore del Virgina e membro del Senate Intelligence Committee. Un aspetto che pesa molto nella vicenda è proprio il fatto che le agenzie governative non si sono minimamente accorte di essere state compromesse: i "sensori" messi in opera dal Cyber Command e dalla NSA non hanno funzionato e se siamo a conoscenza dell'attacco è solo grazie a un'azienda privata, FireEye.

Secondo il NY Times alla base di questa violazione ci potrebbero essere differenti cause, alcune delle quali imputabili a SolarWinds stessa, che secondo il quotidiano statunitense non avrebbe dato la necessaria priorità alla cybersecurity, principalmente per ridurre i costi. Non solo: la scelta di delocalizzare alcuni uffici della divisione engineering in paesi europei come la Repubblica Ceca, la Polonia e la Bielorussia potrebbe aver involontariamente "facilitato" il lavoro ai responsabili dell'attacco. 

Ma il governo USA non è esente da errori, dato che secondo i ricercatori di FireEye gli attaccanti hanno sferrato l'attacco anche utilizzando computer che si trovavano nelle stesse città delle agenzie e aziende vittime. Può sembrare un dettaglio di poco conto, ma per decisione del Congresso la NSA e la homeland security non hanno l'autorità di entrare o difendere le reti private statunitensi, fatto che potrebbe aver spianato la strada ai membri di Cozy Bear. Non solo: il Times riporta anche le opinioni di alcuni ufficiali dell'intelligence i quali non escludono che la tanta attenzione posta a mettere in sicurezza le elezioni abbia distolto l'attenzione da altri aspetti, che poi sono stati sfruttati dal gruppo legato all'intelligence russa per le loro operazioni criminali. 

Secondo gli esperti, ci vorranno mesi - forse anche anni - per comprendere a pieno la portata dell'attacco e quali danni abbia portato. Danni che, considerate le aziende coinvolte, non sono di poca entità.