I server di posta elettronica di Microsoft sotto attacco 

Questa settimana gli hacker cinesi che prendono di mira i server di Microsoft Exchange si sono ritrovati a fare i conti con la “concorrenza”.

di Patrick Howell O’Neill

Una campagna di hacking collegata al governo cinese rivelata da Microsoft questa settimana si è diffusa rapidamente. Almeno altri quattro gruppi di hacker distinti stanno ora attaccando i difetti critici nel software di posta elettronica di Microsoft in una campagna informatica che il governo degli Stati Uniti descrive come una “offensiva concertata a livello nazionale e internazionale” con un potenziale impatto su centinaia di migliaia di utenti in tutto il mondo.

A partire dal gennaio 2021, gli hacker cinesi noti come Hafnium hanno iniziato a sfruttare le vulnerabilità nei server di Microsoft Exchange. Ma da quando l’azienda ha rivelato pubblicamente la campagna martedì, altri quattro gruppi si sono uniti e gli hacker cinesi originali hanno abbandonato la pretesa di furtività e incrementato gli attacchi che stanno effettuando. Il crescente elenco di vittime comprende decine di migliaia di aziende e uffici governativi statunitensi presi di mira dai nuovi gruppi. 

“Ci sono almeno cinque diversi gruppi di attività che sembrano sfruttare le vulnerabilità”, afferma Katie Nickels, che guida un team di intelligence presso l’azienda di sicurezza informatica Red Canary che sta indagando sugli attacchi. Durante il monitoraggio delle minacce informatiche, gli analisti dell’intelligence raggruppano i cluster di attività di hacking in base alle specifiche tecniche, tattiche, procedure, macchine, persone e altre caratteristiche che osservano. È un modo per tenere traccia delle minacce di hacking che devono affrontare. 

Secondo Microsoft, Hafnium è un sofisticato gruppo cinese di hacker che ha condotto campagne di cyber-spionaggio a lungo termine contro gli Stati Uniti. Sono all’apice della piramide di predatori, al cui seguito arrivano spazzini opportunisti e intelligenti.

L’attività è rapidamente aumentata da quando Microsoft ha fatto la sua denuncia. Non è comunque chiaro chi siano esattamente questi gruppi di hacker, cosa vogliono e come accedono a questi server. È possibile che il gruppo originale Hafnium abbia venduto o condiviso il proprio codice di exploit o che altri hacker abbiano eseguito il reverse engineering degli exploit in base alle correzioni rilasciate da Microsoft, spiega Nickels.

“Quello che abbiamo visto è che da quando Microsoft ha denunciato Hafnium”, continua, “le attività di hacking sembrano essersi estese ad altri gruppi”. Sfruttando le vulnerabilità nei server di Microsoft Exchange, che le aziende utilizzano per gestire i propri servizi di posta elettronica, gli hacker sono in grado di creare una shell web, uno strumento di hacking accessibile da remoto che consente facilmente l’accesso backdoor e il controllo della macchina infetta, per controllare il server compromesso su Internet e quindi rubare i dati da tutta la rete di destinazione. 

La shell web significa che anche se Microsoft ha emesso una correzioni per i difetti – che, secondo l’azienda, solo il 10 per cento dei clienti di Exchange aveva applicato venerdì – chi ha condotto l’attacco ha ancora accesso backdoor ai propri obiettivi.

L’applicazione delle correzioni software di Microsoft è un primo passo cruciale, ma la pulizia totale sarà molto più complicata per le potenziali vittime, specialmente quando gli hacker si spostano liberamente su altri sistemi sulla rete. “Stiamo lavorando a stretto contatto con CISA [l’Agenzia per la sicurezza informatica e delle infrastrutture], altre agenzie governative e società di sicurezza, per garantire la migliore assistenza possibile ai nostri clienti per applicare gli aggiornamenti il prima possibile a tutti i sistemi interessati”, afferma un portavoce di Microsoft.

Con più gruppi che ora attaccano le vulnerabilità, ci si aspetta un impatto sproporzionato dell’hackeraggio sulle organizzazioni che sono meno in grado di difendersi da sole, come le piccole imprese, le scuole e i governi locali, ha affermato Chris Krebs, un ex funzionario della sicurezza informatica degli Stati Uniti, che su Twitter si chiede anche il perché di questi attacchi nei primi giorni dell’amministrazione Biden.

Con potenzialmente centinaia di migliaia di vittime in tutto il mondo, questa campagna di hacking di Exchange ha avuto un impatto su più bersagli rispetto alla vicenda di SolarWinds che il governo degli Stati Uniti sta attualmente cercando di risolvere. Ma, come con l’hackeraggio di SolarWinds, i numeri non sono tutto: gli hacker russi dietro l’attacco erano altamente disciplinati e perseguivano obiettivi specifici di alto valore, anche se avevano un potenziale accesso a molte migliaia di utenze.

Lo stesso vale in questo caso: anche se i numeri complessivi sono allarmanti, il livello di compromissione non è catastrofico. “La situazione è variegata. Come dice Nickels: “Ci sono server Exchange vulnerabili la cui porta è aperta, ma non sappiamo se chi attacca l’ha attraversata. Ci sono server compromessi in misura leggera. Infine c’è l’altra estremità dello spettro in cui gli avversari hanno svolto attività di follow-on e si sono spostati su altri sistemi”.

È raro che la Casa Bianca faccia commenti sui problemi di sicurezza informatica, ma l’amministrazione Biden ha avuto motivo di parlare molto di hacking nei suoi primi due mesi in carica a causa della vicenda di SolarWinds e ora di questo ultimo incidente.

“Siamo preoccupati che ci sia un gran numero di vittime e stiamo lavorando con i nostri partner per comprenderne la portata”, ha dettoJen Psaki, la portavoce della Casa Bianca, durante una conferenza stampa. “I proprietari della rete devono anche valutare se sono già stati compromessi e prendere immediatamente le misure appropriate”.

Foto: Matthew Manuel su Unsplash

Related Posts
Total
0
Share