Il gruppo di hacker russi Nobelium è tornato all’attacco. I cybercriminali autori delle intrusioni informatiche contro i clienti di SolarWinds nel 2020 hanno cercato di replicare l’approccio utilizzato in passato prendendo di mira le organizzazioni parte integrante della catena di fornitura It globale: rivenditori e altri supplier di servizi tecnologici che personalizzano, distribuiscono e gestiscono servizi cloud e altre tecnologie per conto dei loro clienti. A dirlo sono Microsoft e la società specializzata in soluzioni di cybersecurity Mandiant, secondo cui Nobelium sta tentando di sfruttare qualsiasi accesso diretto che i rivenditori possono avere ai sistemi It dei propri clienti e impersonare più facilmente il partner tecnologico di fiducia di un’organizzazione per ottenere la possibilità di penetrare nei network aziendali.
Microsoft: “La Russia cerca di sorvegliare la catena di approvvigionamento tech”
“Abbiamo iniziato a osservare quest’ultima campagna nel maggio 2021 e abbiamo informato i partner e i clienti interessati, sviluppando anche nuova assistenza tecnica e guida per la comunità dei rivenditori”, scrive Tom Burt, Corporate Vice President, Customer Security & Trust, di Microsoft, sul blog di Redmond. “Da maggio, abbiamo informato più di 140 rivenditori e fornitori di servizi tecnologici che sono stati presi di mira da Nobelium. Continuiamo a indagare, ma ad oggi riteniamo che fino a 14 di questi rivenditori e fornitori di servizi siano stati compromessi. Fortunatamente, abbiamo scoperto questa campagna durante le sue prime fasi e stiamo condividendo questi sviluppi per aiutare i rivenditori di servizi cloud, i fornitori di tecnologia e i loro clienti ad adottare misure tempestive per garantire che Nobelium non abbia più successo”.
Secondo Burt, la recente attività è “un altro indicatore del fatto che la Russia sta cercando di ottenere un accesso sistematico e a lungo termine a una varietà di punti della catena di approvvigionamento tecnologico e stabilire un meccanismo per sorvegliare, ora o in futuro, gli obiettivi di interesse per il governo russo. Mentre condividiamo qui i dettagli sull’attività più recente di Nobelium, il Microsoft Digital Defense Report, pubblicato all’inizio di questo mese, evidenzia i continui attacchi di altri attori statali e criminali informatici. In linea con questi attacchi, informiamo i nostri clienti quando vengono presi di mira o compromessi da tali attori”.
A rischio gli ambienti on-premise e cloud
Al momento, precisa Microsoft, sono state rilevate vittime in Nord America e in Europa e l’attività di intrusione è tutt’ora in corso. “Mandiant, nel corso della sua attività, ha indagato su molteplici intrusioni nel corso del 2021, in cui sospetti attori russi della minaccia hanno sfruttato le relazioni presenti all’interno della supply chain tra aziende tecnologiche e clienti”, commenta Charles Carmakal, Svp e Cto di Mandiant. “Mentre l’attacco alla supply chain di SolarWinds ha visto l’utilizzo di un codice malevolo inserito in un software legittimo, la maggior parte di questa recente attività di intrusione rilevata ha sfruttato identità rubate e i network di soluzioni, servizi e aziende tecnologiche in Nord America e in Europa per accedere agli ambienti delle organizzazioni che sono l’obiettivo del governo russo. Questo percorso di attacco rende molto difficile per le vittime scoprire di essere state compromesse e indagare sulle azioni intraprese dall’attore della minaccia. Questo è particolarmente importante per l’attore della minaccia per una duplice motivazione: in primo luogo sposta l’intrusione iniziale dagli obiettivi finali, che in alcune situazioni sono organizzazioni che possiedono difese informatiche più efficienti. In secondo luogo indagare queste intrusioni richiede la collaborazione e la condivisione delle informazioni tra più organizzazioni vittime, il che è impegnativo a causa di preoccupazioni su privacy e sensibilità organizzative. Abbiamo osservato”, chiosa Carmakal, “che questo percorso di attacco è utilizzato per ottenere l’accesso agli ambienti delle vittime on-premise e cloud. Simili alla tipologia usata durante la campagna 2020, gli obiettivi di questa attività di intrusione sembrano essere in definitiva organizzazioni governative e altre organi che si occupano di questioni di interesse per la Russia. L’attività di intrusione è tutt’ora in corso e Mandiant sta lavorando attivamente con le organizzazioni colpite”.
