L'hack di SolarWinds ha colpito più 100 aziende e 9 agenzie federali. E potrebbero non essere le uniche

L'attacco alla supply chain di SolarWinds continua a preoccupare le autorità statunitensi. Non si è trattato di un'intrusione informatica qualsiasi, ma di una grave compromissione di uno dei software per la gestione della rete più utilizzati sia nel settore privato sia nel settore governativo. Risulta anche molto difficile stabilire la portata dell'attacco, visto il susseguirsi di informazioni. Il 17 febbraio Anne Neuberger, Deputy National Security Advisor for Cyber and Emerging Technology del governo statunitense, ha tenuto un briefing nel quale ha portato una serie di dati aggiornati. Secondo la rappresentante, sono 100 le aziende private colpite e 9 le agenzie governative.

SolarWinds: ridimensionati i numeri delle vittime, ma si continua a indagare

In una precedente notizia avevamo riportato che le aziende colpite dall'hack di SolarWinds erano più di 250. Il dato in quel caso era stato riportato da fonti giornalistiche, il New York Times per la precisione. Secondo Anne Neuberger però i numeri sono più bassi: durante un briefing ha dichiarato che a oggi sono state compromesse 100 aziende private e 9 entità governative. Numeri che, in ogni caso, non sono definitivi, dal momento che le indagini proseguono. 

Secondo la Neuberger il malware è stato scaricato da qualcosa come 18.000 entità e, di conseguenza, il numero delle aziende colpite potrebbe essere ancora sottostimato, anche in virtù del fatto che fra queste ci sono molte aziende tecnologiche, i cui software potrebbero venire usati per sferrare ulteriori attacchi. 

Sono due le preoccupazioni principali: da un lato, l'attacco è particolarmente sofisticato ed opera di attori molto evoluti, dall'altro si tratta di un attacco che prende di mira le identità della rete, rendendo quindi difficile sradicare la minaccia. Le tecniche utilizzate fanno presumere che potenzialmente ogni file ed e-mail presente sui sistemi violati sia potenzialmente compromesso.

Secondo le indagini statunitensi l'attacco è opera di attori malevoli russi che però hanno agito dall'interno degli Stati Uniti, fatto che paradossalmente rende più difficoltoso individuare i responsabili: "All'interno delle reti federali, la cultura [della privacy] e le autorità  limitano la visibilità, un problema che dobbiamo affrontare", spiega la Neuberger. Se infatti le leggi statunitensi permettono alle agenzie federali una certa libertà nell'intercettare traffico al di fuori degli USA, lo stesso non si può dire per le reti presenti sul territorio statunitense. 

Cosa sta reagendo il Governo USA all'attacco?

La Neuberger ha spiegato che le istituzioni si stanno impegnando su tre fronti:

• scovare ed espellere l'avversario;
• ricostruire e modernizzare l'infrastruttura di difesa federale per ridurre il rischio che simili eventi possano verificarsi altre volte;
• valutare un piano per rispondere all'attacco. 

Per quanto riguarda il primo punto, le agenzie federali stanno collaborando con il settore privato per capire cosa sia successo e ottenere la visibilità necessaria sull'estensione della minaccia. Come abbiamo spiegato prima, però, l'attacco è stato portato avanti dall'interno degli USA, e ci sono barriere legali che rendono difficoltoso lo scambio di informazioni fra il settore privato e gli enti governativi. 

Gli sforzi per mettere in sicurezza l'infrastruttura, invece, si concentreranno sul garantire alle agenzie federali una maggiore visibilità sull'infrastruttura di rete, una strada che però richiede ingenti investimenti e un approccio differente se si vuole riuscire a scoprire e bloccare questo tipo di minacce. 

Per quanto riguarda la risposta all'attacco, Neuberger sottolinea che ci sono discussioni sul tema, ma non ha rivelato quali opzioni si stanno prendendo in considerazione, limitandosi a spiegare che non è l'unico caso di attacchi cyber attribuiti ad attori russi che ha colpito gli USA o i suoi alleati e che si terrà conto di questo per decidere come reagire.