È uno dei più grandi cyber-attacchi di sempre quello che è stato sferrato contro i dipartimenti del Tesoro e del Commercio degli Stati Uniti negli scorsi mesi. Dietro l’assalto cibernetico potrebbe celarsi lo spionaggio della Russia e l’intrusione portata alla luce potrebbe essere solo la punta dell’iceberg.
Fonti confidenziali hanno rivelato a Reuters che hacker probabilmente al servizio di Mosca hanno messo sotto controllo tutto il traffico email dei due ministeri Usa. L’attacco è di gravità tale da aver portato a una riunione d’urgenza del National security council presso la Casa Bianca nel corso del weekend. Il dipartimento del Commercio ha confermato che si è verificata un’intrusione in una delle sue agenzie e che sono già state aperte le indagini da parte della Cybersecurity and infrastructure security agency e dell’Fbi.
La Russia ha negato ogni coinvolgimento nell’incidente di cybersecurity, ma fonti vicine alle indagini hanno indicato che al momento è contro il paese guidato da Vladimir Putin che si concentra l’attenzione degli investigatori. Le intrusioni sarebbero collegate a una vasta campagna hacker che ha incluso l’attacco recentemente svelato contro FireEye, una delle maggiori aziende americane della cybersecurity che lavora con clienti commerciali e del governo.
Attacco alla supply chain It
Secondo le prime ipotesi le presunte spie di Mosca sarebbero riuscite a manomettere i software per gli aggiornamenti rilasciati dall’azienda It SolarWinds, che serve clienti governativi in tutti i rami esecutivi, inclusi le forze armate e i servizi di intelligence. La tecnica usata è il cosiddetto “supply chain attack”, che consiste nel nascondere codice maligno nel corpo dei legittimi aggiornamenti software offerti alle organizzazioni-target da terze parti.
SolarWinds ha in effetti confermato che gli update al suo software di monitoraggio rilasciati tra marzo e giugno di quest’anno potrebbero essere stati modificati tramite quello che l’azienda texana ha definito un “attacco alla supply chain estremamente sofisticato, mirato e manuale da parte di un’altra nazione”.
La base ampia e diversificata di clienti di SolarWind ha scatenato l’allarme tra le forze di intelligence Usa: potrebbero essere state colpite altre agenzie governative, oltre ai dipartimenti del Tesoro e del Commercio, e anche diverse aziende private, come le telco. SolarWinds fornisce infatti la maggior parte delle aziende nell’americana Fortune 500, inclusi i dieci maggiori fornitori di servizi di telecomunicazione, tutte le quattro divisioni dell’esercito Usa, il dipartimento di Stato, la National security agency (Nsa) e l’Ufficio del presidente degli Stati Uniti.
“Qui non c’è una sola agenzia coinvolta, l’attacco è molto più vasto”, ha affermato una delle fonti di Reuters. “Questa è una gigantesca campagna di spionaggio che prende di mira il governo Usa”.
“Ingannati” i controlli di sicurezza
Per “spiare” le email gli hacker sarebbero entrati nel software di Microsoft Office 365 usato dalla Ntia (National telecommunications and information agency), parte del dipartimento del Commercio, “ingannando” i controlli per l’autenticazione sulla piattaforma. In questo modo le cyber-spie hanno controllato per mesi la posta elettronica del personale: l’attacco sarebbe iniziato in estate, pur se solo adesso è stato portato alla luce.
L’indagine sul grave incidente di sicurezza è alle battute iniziali e viene condotta da una serie di agenzie federali, tra cui l’Fbi. Per il presidente-eletto Joe Biden sarà una delle grandi sfide da affrontare appena arriverà alla Casa Bianca: l’indagine sarà infatti ancora in corso, e andrà avanti per mesi prima di essere completata. Gli investigatori dovranno chiarire la portata e lo scopo esatto dell’azione, confermare le ipotesi sui responsabili e accertare gli effettivi danni, ovvero quali informazioni sono state carpire e come sono state usate.
Presi di mira i fornitori di cybersecurity
Il citato attacco a FireEye portato alla luce solo una settimana fa segue quelli sferrati contro Bit9, Kaspersky Lab e Rsa. FireEye ha dichiarato di aver subito una violazione – probabilmente da un governo che utilizzava tecniche mai osservate prima – che avrebbe portato al furto di un arsenale di strumenti di hacking utilizzati per testare le difese dei suoi clienti. Si tratta di uno degli attacchi andati a buon fine più significativi degli ultimi tempi dietro il quale si nasconde un governo straniero, probabilmente la Russia.
