Spiegazione: un massiccio attacco informatico negli Stati Uniti, utilizzando un nuovo set di strumenti
Uno dei più grandi attacchi informatici ad aver preso di mira agenzie governative statunitensi e società private, il 'SolarWinds hack' è visto come un probabile sforzo globale. Come è stato eseguito e che tipo di dati è stato compromesso? Perché funzionari e politici del governo degli Stati Uniti hanno chiamato la Russia?
L'obiettivo dell'attacco informatico era Orion, un software fornito dalla società SolarWinds. (Foto Reuters) Il 'SolarWinds hack', un attacco informatico scoperto di recente negli Stati Uniti, è emerso come uno dei il più grande di sempre preso di mira contro il governo degli Stati Uniti, le sue agenzie e diverse altre società private. In effetti, è probabile che si tratti di un attacco informatico globale.
È stato scoperto per la prima volta dalla società statunitense di sicurezza informatica FireEye e da allora ogni giorno continuano a venire alla luce ulteriori sviluppi. La vastità dell'attacco informatico rimane sconosciuta, sebbene si ritenga che il Tesoro degli Stati Uniti, il Dipartimento della sicurezza interna, il Dipartimento del commercio e parti del Pentagono siano stati tutti colpiti.
quanto guadagna jael de pardo - networth
in an pezzo di opinione scritto per Il New York Times , Thomas P Bossert, che era consigliere per la sicurezza interna del presidente Donald Trump, ha chiamato la Russia per l'attacco. Ha scritto prove nell'attacco di SolarWinds all'agenzia di intelligence russa nota come SVR, il cui mestiere è tra i più avanzati al mondo. Il Cremlino ha negato il suo coinvolgimento.
Allora, cos'è questo 'hack di SolarWinds'?
La notizia dell'attacco informatico è stata tecnicamente diffusa per la prima volta l'8 dicembre, quando FireEye ha pubblicato un blog che rilevava un attacco ai suoi sistemi. L'azienda aiuta con la gestione della sicurezza di diverse grandi aziende private e agenzie governative federali.
Il CEO di FireEye Kevin Mandia ha scritto in un post sul blog affermando che la società è stata attaccata da un attore di minacce altamente sofisticato, definendolo un attacco sponsorizzato dallo stato, sebbene non abbia nominato la Russia. Ha affermato che l'attacco è stato effettuato da una nazione con capacità offensive di alto livello e che l'attaccante ha cercato principalmente informazioni relative a determinati clienti del governo. Ha anche detto che i metodi usati dagli aggressori erano nuovi.
Quindi, il 13 dicembre FireEye ha affermato che l'attacco informatico, che ha chiamato Campagna UNC2452, non era limitato alla società ma aveva preso di mira varie organizzazioni pubbliche e private in tutto il mondo. La campagna probabilmente è iniziata nel marzo 2020 ed è in corso da mesi, afferma il post. Peggio ancora, l'entità dei dati rubati o compromessi è ancora sconosciuta, dato che l'entità dell'attacco è ancora da scoprire. Dopo che i sistemi sono stati compromessi, si sono verificati movimenti laterali e furto di dati.
ISCRIVITI ADESSO :Il canale Telegram spiegato ExpressCome sono state attaccate così tante agenzie e aziende del governo degli Stati Uniti?
Questo viene chiamato attacco 'Supply Chain': invece di attaccare direttamente il governo federale o la rete di un'organizzazione privata, gli hacker prendono di mira un fornitore di terze parti, che fornisce loro software. In questo caso, l'obiettivo era un software di gestione IT chiamato Orion, fornito dall'azienda texana SolarWinds.
Orion è stato un software dominante di SolarWinds con clienti, che includono oltre 33.000 aziende. SolarWinds afferma che 18.000 dei suoi clienti sono stati colpiti. Per inciso, la società ha cancellato l'elenco dei clienti dai suoi siti Web ufficiali.
Secondo la pagina, che è stata cancellata anche dagli Archivi Web di Google, l'elenco include 425 società in Fortune 500, i primi 10 operatori di telecomunicazioni negli Stati Uniti. Un rapporto del New York Times ha affermato che parti del Pentagono, i Centri per il controllo e la prevenzione delle malattie, il Dipartimento di Stato, il Dipartimento di giustizia e altri sono stati tutti colpiti.
Microsoft ha confermato di aver trovato prove del malware sui propri sistemi, sebbene abbia aggiunto che non vi erano prove di accesso ai servizi di produzione o ai dati dei clienti o che i suoi sistemi sono stati utilizzati per attaccare altri. Il presidente di Microsoft Brad Smith ha affermato che la società ha iniziato a notificare a più di 40 clienti che gli aggressori hanno preso di mira in modo più preciso e compromesso.
Un rapporto di Reuters afferma che anche le e-mail inviate dai funzionari del Dipartimento della sicurezza interna sono state monitorate dagli hacker.
Come hanno avuto accesso?
Secondo FireEye, gli hacker hanno avuto accesso alle vittime tramite aggiornamenti trojanizzati al software di monitoraggio e gestione Orion di SolarWinds. Fondamentalmente, è stato sfruttato un aggiornamento software per installare il malware 'Sunburst' in Orion, che è stato poi installato da oltre 17.000 clienti.
FireEye afferma che gli aggressori hanno fatto affidamento su più tecniche per evitare di essere rilevati e oscurare la loro attività. Il malware era in grado di accedere ai file di sistema. Ciò che ha funzionato a favore del malware è stato che è stato in grado di mimetizzarsi con l'attività legittima di SolarWinds, secondo FireEye.
Una volta installato, il malware ha consentito agli hacker di accedere ai sistemi e alle reti dei clienti di SolarWinds. Ancora più importante, il malware è stato anche in grado di contrastare strumenti come l'antivirus in grado di rilevarlo.
Dove entra in gioco la Russia?
Nel suo articolo di opinione del NYT, Bossert ha nominato la Russia e la sua agenzia SVR, che ha le capacità per eseguire l'attacco di tale ingegnosità e portata.
Microsoft osserva nel suo blog che questo aspetto dell'attacco ha creato una vulnerabilità della catena di approvvigionamento di importanza quasi globale, raggiungendo molte delle principali capitali nazionali al di fuori della Russia. Continua aggiungendo che gli attacchi sofisticati dalla Russia sono diventati comuni.
FireEye, tuttavia, non ha ancora nominato la Russia responsabile e ha affermato che è in corso un'indagine con l'FBI, Microsoft e altri partner chiave che non sono stati nominati.
ha disegnato il patrimonio netto di taggart
|Come le donne sono protette dalle proteine che lasciano entrare il coronavirus
Cosa hanno detto SolarWinds e il governo degli Stati Uniti dell'hack?
In questo momento, SolarWinds consiglia a tutti i clienti di aggiornare immediatamente la piattaforma Orion esistente, che dispone di una patch per questo malware. Se viene scoperta l'attività di un aggressore in un ambiente, si consiglia di condurre un'indagine completa e di progettare ed eseguire una strategia di riparazione guidata dai risultati dell'indagine e dai dettagli dell'ambiente interessato, ha affermato.
A coloro che non sono in grado di aggiornare viene detto di isolare i server SolarWinds e dovrebbe includere il blocco di tutte le uscite Internet dai server SolarWinds. Il suggerimento minimo indispensabile è la modifica delle password per gli account che hanno accesso ai server/infrastruttura SolarWinds.
La Cybersecurity and Infrastructure Security Agency (CISA) degli Stati Uniti ha emesso una Direttiva di emergenza 21-01, chiedendo a tutte le agenzie civili federali di rivedere le proprie reti alla ricerca di indicatori di compromesso. Ha chiesto loro di scollegare o spegnere immediatamente i prodotti SolarWinds Orion.
L'FBI, la CISA e l'ufficio del direttore dell'intelligence nazionale hanno rilasciato una dichiarazione congiunta e hanno annunciato il cosiddetto 'Cyber Unified Coordination Group (UCG) per coordinare la risposta del governo alla crisi'. La dichiarazione definisce questa una campagna di sicurezza informatica significativa e in corso.
La Casa Bianca e il presidente Donald Trump sono rimasti in silenzio. Il senatore Mitt Romney lo ha riassunto meglio nei suoi commenti al giornalista Olivier Knox della radio SiriusXM, dove ha paragonato questo attacco all'equivalente di bombardieri russi che volano inosservati in tutto il paese, esponendo la debolezza della guerra informatica degli Stati Uniti. Ha detto che il silenzio e l'inerzia della Casa Bianca sono imperdonabili.
Il senatore Richard Blumenthal, un democratico, ha twittato: L'attacco informatico della Russia mi ha lasciato profondamente allarmato, anzi decisamente spaventato.
Il presidente eletto Joe Biden ha dichiarato in una dichiarazione: una buona difesa non è sufficiente; In primo luogo, dobbiamo interrompere e dissuadere i nostri avversari dall'intraprendere attacchi informatici significativi.
Condividi Con I Tuoi Amici:
