in

Solorigate: Cosa si nasconde dietro la “catastrofica” SolarWinds Hack

Sandro Semper Fidelis

SolarWinds, con sede negli Stati Uniti, ha subito uno dei più disastrosi attacchi cibernetici dell’anno che ha potenzialmente compromesso fino a 200 organizzazioni e agenzie, compresi nomi di spicco come Intel, Microsoft, NVIDIA e Cisco. Ora viene chiamato Solorigate, coniato per la prima volta da Microsoft.

Questo attacco arriva sulla scia di un’importante breccia in FireEye, una delle aziende di sicurezza informatica più ricercate al mondo. L’hackeraggio di FireEye è stato definito il più grande cyberattack conosciuto dall’incidente del 2016, in cui l’Agenzia per la Sicurezza Nazionale degli Stati Uniti è stata compromessa da un gruppo poco conosciuto chiamato ShadowBrokers.

Solorigate

Sia nel caso di SolarWinds che di FireEye, si ipotizza che gli hacker abbiano operato per conto di un governo straniero. FireEye, che sta anche indagando sulla causa alla base dell’hackeraggio di SolarWind, ha affermato che un aggiornamento del software Orion di quest’ultimo per il software Orion ha infettato le reti di diverse aziende statunitensi e le reti governative

Secondo quanto riferito, 18.000 clienti di SolarWinds hanno ricevuto un aggiornamento dannoso che includeva una backdoor. Tuttavia, il numero di casi in cui gli aggressori potrebbero infiltrarsi utilizzando la backdoor è molto inferiore – attualmente si aggirano intorno ai 200.

Gli esperti ritengono che questo sia il caso di un attacco alla catena di approvvigionamento, in cui elementi noti cercano di danneggiare un’organizzazione prendendo di mira gli elementi più deboli e meno sicuri della catena di approvvigionamento. Uno degli esempi più evidenti di attacchi alla catena di approvvigionamento è la Target security breach del 2013.

La Target breach è considerata uno dei più grandi attacchi ai dati nella storia del settore del commercio al dettaglio. L’attacco è avvenuto tra il 27 novembre e il 15 dicembre 2013, che ha introdotto malware nel sistema dei POS (Point of Sale) di 1.800 punti vendita, rendendo 40 milioni di carte di credito e di debito suscettibili di frode. Questa violazione ha portato alla fine al crollo degli utili dell’azienda nel quarto trimestre del 2013 di circa il 46%, a parte la spesa aggiuntiva di 90 cause legali intentate contro l’azienda.

Cosa è andato storto con SolarWinds

Gli aggressori hanno compromesso la piattaforma DLL (Dynamic Link Library) di SolarWinds Orion con l’aggiunta di 4.000 linee di codici maligni discreti. Questo inserimento di linee di codici in SolarWinds.Orion.Core.BusinessLayer.dll ha permesso all’aggressore di operare senza ostacoli nelle reti compromesse.

Ciò che lo rendeva ancora più infallibile è il fatto che il file compromesso era addirittura firmato digitalmente, il che suggerisce che gli aggressori avevano accesso allo sviluppo del software di SolarWind o alla pipeline di distribuzione.

Secondo un rapporto di revisione di Microsoft che esamina l’hackeraggio di SolarWind, ci sono state prove che suggeriscono che gli aggressori hanno iniziato a testare la loro capacità di inserire codice aggiungendo classi vuote già nell’ottobre 2019. A causa di ciò l’inserimento di codice dannoso è avvenuto in una fase molto precoce, possibilmente prima della costruzione del software che avrebbe incluso la firma digitale del codice compilato.

Il malware rimarrebbe inattivo nel sistema interessato per un periodo fino a due settimane. Dopo di che recupera ed esegue i comandi chiamati Jobs. Questi Jobs includono il trasferimento e l’esecuzione di file, la profilazione del sistema, il riavvio della macchina ed eventualmente la disabilitazione dei servizi di sistema. La backdoor ha anche utilizzato più liste di blocco offuscate per identificare eventuali strumenti antivirus che possono essere in esecuzione sul sistema, inclusi processi, servizi e driver.

È interessante notare che FireEye ha scoperto la backdoor di SolarWinds mentre indagava sulla sua stessa violazione che è stata identificata l’8 dicembre.

Avvolgimento
Gli attacchi alla catena di approvvigionamento sono una preoccupazione crescente. L’incidente di Solorigate ricorda che questi attacchi raggiungono risultati dannosi a causa della combinazione mortale di un impatto diffuso e di profonde conseguenze per le reti compromesse.

Come suggerito da, le aziende possono proteggersi da questi attacchi isolando e indagando sui dispositivi, identificando i conti utilizzati sui dispositivi interessati e determinando la linea temporale della compromissione dei dispositivi per un’indicazione di movimento laterale.

Sandro Semper Fidelis

What do you think?

95 points
Upvote Downvote

Comments

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *

Questo sito usa Akismet per ridurre lo spam. Scopri come i tuoi dati vengono elaborati.

Loading…

0

La Corte Suprema “incompetente e debole” sulla frode elettorale – Non vogliono vedere le prove

Completamente infiltrati: Spie cinesi alla VW, Airbus, Deutsche Bank e Siemens