Software dannoso, correlato a una massiccia campagna di hacking scoperta dai funzionari statunitensi questa settimana, è stato rinvenuto giovedì nei sistemi di Microsoft Corp. Lo ha rivelato la stessa società di Redmond, aggiungendo così un obiettivo tecnologico di primo piano al crescente elenco di agenzie governative attaccate.
Microsoft è un utente di Orion, il software di gestione della rete distribuito da SolarWinds Corp che è stato utilizzato nei sospetti attacchi russi a svariate agenzie statunitensi di valore vitale.
Secondo alcune fonti, i prodotti Microsoft sono stati sfruttati per attaccare le vittime. Alla luce di questo, la National security agency degli Stati Uniti ha emesso un raro “avviso di sicurezza informatica” che descrive in dettaglio come alcuni servizi cloud di Microsoft Azure potrebbero essere stati compromessi dagli hacker e ha chiesto agli utenti di bloccare i loro sistemi.
Sfruttate le soluzioni cloud
“Come altri clienti di SolarWinds, abbiamo cercato attivamente indicatori di questo attore e possiamo confermare di aver rilevato file binari dannosi di SolarWinds nel nostro ambiente, che abbiamo isolato e rimosso“, ha detto un portavoce di Microsoft, aggiungendo che la società non aveva trovato “alcuna indicazione che i nostri sistemi siano stati utilizzati per attaccare gli altri”. Secondo voci esperte di hackering, i cybercriminali avrebbero utilizzato le offerte cloud di Microsoft evitando l’infrastruttura aziendale. Microsoft non è tuttavia entrata nel merito di questi aspetti tecnici.
Per il Department of homeland security (Dhs), Microsoft non è stata una strada chiave per la diffusione nuove infezioni. In questo difficile quadro, sia Microsoft sia il Dhs, che giovedì scorso ha affermato che gli hacker hanno utilizzato più metodi di accesso, stanno continuando a indagare, mentre l’Fbi e altre agenzie hanno programmato un briefing riservato per i membri del Congresso venerdì.
Dipartimento dell’energia nel mirino
Il Dipartimento dell’energia degli Stati Uniti ha anche affermato di avere prove che gli hacker hanno avuto accesso alle sue reti come parte della campagna. Un politico aveva precedentemente riferito che la National Nuclear security administration (Nnsa), che gestisce le scorte di armi nucleari del Paese, era stata presa di mira.
Una portavoce del Dipartimento dell’energia ha tuttavia affermato che il malware “è stato isolato solo nelle reti aziendali” e non ha avuto alcun impatto sulla sicurezza nazionale degli Stati Uniti, inclusa la Nnsa.
Indagini sulle tecniche utilizzate
Il Dhs ha affermato in un bollettino giovedì che gli hacker hanno utilizzato anche altre tecniche, oltre a corrompere gli aggiornamenti del software di gestione della rete di SolarWinds utilizzato da centinaia di migliaia di aziende e agenzie governative. Su questi aspetti sono in corso indagini specifiche da parte della Cybersecurity and infrastructure security agency (Cisa), la quale ha spiegato che al momento gli hacker sono noti per aver monitorato almeno la posta elettronica o altri dati all’interno dei dipartimenti della Difesa, dello Stato, del Tesoro, della sicurezza interna e del commercio degli Stati Uniti.
Aggiornamenti con backdoor per 18mila clienti Orion
SolarWinds, dal canto suo, ha spiegato che fino a 18mila clienti Orion hanno scaricato gli aggiornamenti che contenevano una backdoor. Da quando è stata scoperta la campagna, tuttavia, le società di software hanno interrotto la comunicazione da quelle backdoor ai computer gestiti dagli hacker. Ma potrebbe non essere stato sufficiente: gli aggressori, infatti, potrebbero aver installato ulteriori modi per mantenere l’accesso, chiarisce la Cisa, in quello che alcuni hanno definito il più grande hack in un decennio.
Le preoccupazioni della politica
Il Dipartimento di Giustizia, Fbi e Dipartimento della Difesa, intanto, hanno spostato le comunicazioni di routine su reti classificate che si ritiene non siano state violate. Nel frattempo, i membri del Congresso chiedono maggiori informazioni su cosa potrebbe essere stato preso di mira e come, e soprattutto da chi. La Commissione per la sicurezza interna e la Commissione di supervisione della Camera hanno annunciato giovedì un’indagine, mentre i senatori premono per sapere se siano state risate informazioni fiscali individuali.
In una dichiarazione, il presidente eletto Joe Biden ha affermato che “eleverà la sicurezza informatica come un imperativo in tutto il governo” e “interromperà e scoraggerà i nostri avversari”.
