Gli hacker russi lavorano sottotraccia

Migliaia di aziende e governi locali stanno cercando di capire se sono stati colpiti dagli hacker russi che, secondo quanto riferito, si sono infiltrati in diverse agenzie governative statunitensi.

di Patrick Howell O’Neill

La violazione iniziale, segnalata il 13 dicembre, includeva il Ministero del Tesoro, nonché i Dipartimenti del Commercio e della Sicurezza Nazionale. Ma le tecniche furtive utilizzate dagli hacker implicano che potrebbero volerci mesi per identificare tutte le loro vittime e rimuovere lo spyware installato. Gli hacker hanno dapprima fatto irruzione nei sistemi di SolarWinds, un’azienda di software americana. Successivamente, hanno inserito una backdoor in Orion, uno dei prodotti dell’azienda, che le organizzazioni utilizzano per vedere e gestire vaste reti interne di computer. 

Per diverse settimane a partire da marzo, chiunque si aggiornasse con l’ultima versione di Orion, firmata digitalmente da SolarWinds e quindi apparentemente legittima, ha scaricato inconsapevolmente il software compromesso, consentendo agli hacker di accedere ai propri sistemi. 

SolarWinds ha circa 300.000 clienti in tutto il mondo, tra cui la maggior parte delle aziende Fortune 500 e molti governi. In una relazione alla Securities and Exchange Commission, l’azienda ha affermato che “meno di” 18.000 organizzazioni hanno scaricato l’aggiornamento compromesso (SolarWinds ha affermato che non è ancora chiaro quanti di questi sistemi siano stati effettivamente violati). La prassi standard di sicurezza informatica è mantenere aggiornato il software, quindi la maggior parte dei clienti SolarWinds, ironia della sorte, erano protetti perché non avevano seguito quel consiglio.

Gli hacker sono “estremamente intelligenti e abili dal punto di vista strategico”, afferma Greg Touhill, un ex funzionario capo della sicurezza informatica federale. Anche dopo aver ottenuto l’accesso attraverso la backdoor di Orion, conosciuta come Sunburst, si sono mossi prudentemente. 

Invece di infiltrarsi in molti sistemi contemporaneamente, cosa che avrebbe potuto facilmente destare sospetti, si sono concentrati su una piccola serie di obiettivi selezionati, secondo un rapporto dell’azienda di sicurezza FireEye, che riporta anche che Sunburst è rimasto in silenzio fino a due settimane prima di iniziare a comunicare con gli hacker. 

Il malware maschera il proprio traffico di rete come “Orion Improvement Program” e memorizza i dati all’interno di file legittimi per integrarsi meglio. Va anche alla ricerca di strumenti di sicurezza e antivirus sulla macchina infetta per evitarli.

Per coprire ulteriormente le loro tracce, gli hacker sono stati attenti a utilizzare computer e reti per comunicare con la backdoor di un determinato obiettivo solo una volta, l’equivalente di un telefono masterizzato per una conversazione illecita. L’uso del malware è limitato perché relativamente facile da individuare. In realtà, una volta ottenuto l’accesso iniziale dalla porta sul retro, tendono a optare per il percorso che li espone di meno: utilizzare per ottenere l’accesso remoto alle macchine di una vittima le credenziali rubate reali. Il malware che diffondono non riutilizza il codice, il che ha reso queste azioni di spionaggio più difficili da individuare perché i programmi di sicurezza cercano il codice che è stato mostrato negli attacchi informatici precedenti.

L’azione di hacking arriva da lontano

I segni della campagna di intrusione risalgono a marzo, secondo i rapporti sulla sicurezza di Microsoft e FireEye che hanno rivelato una relativa violazione delle proprie reti solo la scorsa settimana. Ciò significa che qualsiasi organizzazione i ritenga un possibile obiettivo deve ora setacciare almeno 10 mesi di log di sistema alla ricerca di attività sospette, un’attività che va oltre le capacità di molti team di sicurezza. 

Per aiutare le organizzazioni a capire se i loro sistemi sono stati violati, FireEye e Microsoft hanno pubblicato un lungo elenco di “indicatori di compromissione”, vale a dire dati forensi che potrebbero mostrare prove di attività dannose. Gli indicatori includono la presenza di Sunburst stesso, così come alcuni degli indirizzi IP che identificano i computer e le reti che gli hacker hanno utilizzato per comunicare con esso. 

Se un team trova uno di questi indirizzi IP nei suoi log di rete, è una pessima notizia. Ma poiché gli hacker hanno utilizzato ogni indirizzo solo una volta, la loro assenza non è garanzia di sicurezza. Né sapere della loro presenza su una rete significa che sia facile “sfrattarli” con successo, poiché possono setacciare la rete alla ricerca di nuovi nascondigli.

I sospetti hacker provengono dalla SVR russa, la principale agenzia di intelligence straniera del paese. Conosciuti alternativamente come Cosy Bear e APT29, hanno effettuato un lungo elenco di violazioni, incluso l’ attacco informatico al Comitato Nazionale Democratico nel 2016.

La Russia, comunque, nega il coinvolgimento. “L’esperienza dimostra che hanno la capacità di aspettare pazientemente, controllare tutto il traffico in rete e analizzarlo con accuratezza”, conclude Touhill, presidente di Appgate Federal Group, un’azienda che lavora nella sicurezza delle infrastrutture. 

Immagine: Il Dipartimento del Tesoro a Washington, DC. Per gentile concessione del Dipartimento del Tesoro.

foto: Il Dipartimento del Tesoro a Washington, DC.Per gentile concessione del Dipartimento del Tesoro.

Related Posts
Total
0
Share