Mondo

Usa, dietro l’ultimo attacco informatico c’è lo spettro della Russia. Di nuovo

Un gravissimo attacco informatico ha colpito gli Usa nei giorni scorsi. Almeno quattro agenzie governative statunitensi sono state compromesse, incluso il braccio informatico del Dhs, che ha il compito di aiutare a proteggere la nazione da violazioni come questa. La Cnn ha poi confermato che anche i Dipartimenti dell’Agricoltura, del Commercio e del Tesoro sono stati compromessi.

Si tratta di una delle più gravi violazioni al governo degli Stati Uniti negli ultimi anni e c’è una crescente consapevolezza tra i funzionari che sia stata eseguita dagli stessi hacker collegati alla Russia, già dietro il recente incidente che aveva coinvolto la società di sicurezza informatica FireEye. Infatti la complessità e le tattiche utilizzate sono molto simili a ciò che è stato visto nell’attacco FireEye. Questo ennesimo schiaffo al potere è solo l’ultimo del gruppo, responsabile in passato degli attacchi al Comitato Nazionale Democratico, al governo norvegese, ai vaccini Covid-19 e in ultimo appunto alla società di sicurezza informatica FireEye.

I vertici dell’azienda SolarWinds hanno dichiarato che “è stata probabilmente condotta da uno stato nazionale esterno e intendeva essere un attacco ristretto, estremamente mirato ed eseguito manualmente, al contrario di un attacco ampio e esteso a tutto il sistema”. SolarWinds è un’azienda tecnologica i cui prodotti sono utilizzati da numerose agenzie civili federali per la gestione della rete. Il governo degli Stati Uniti spesso stipula contratti con società private come questa perché la loro esperienza e lo sviluppo del prodotto sono ben oltre ciò che il governo può sviluppare da solo.

L’attribuzione formale di un attacco come questo richiede tempo e il governo non sempre annuncia i suoi risultati anche quando l’autore è stato identificato. Ma ci sono solo una manciata di attori internazionali che hanno la capacità di eseguire un attacco con questo livello di sofisticazione e la Russia ha una storia ben documentata in questo senso.

Funzionari statunitensi ed esperti di sicurezza informatica hanno identificato indicatori specifici nel modo in cui sono state sfruttate le vulnerabilità del software che puntano il dito sul gruppo russo APT29. Il collettivo di hacker russo, noto anche come Cosy Bear, è ritenuto affiliato al servizio di intelligence estero del paese, l’Svr. Gli attaccanti sono stati in grado di distribuire un malware con funzionalità di backdoor ribattezzato “Sunburst” nascosto proprio in un aggiornamento della suite SolarWinds e che, grazie all’utilizzo di molteplici tecniche di anti-analisi per eludere il rilevamento, è riuscito per un lungo periodo a occultare le attività malevoli degli attaccanti mentre si infiltravano nei sistemi delle agenzie governative americane.

I membri di APT29 pare si dividano gli attacchi con i loro colleghi del gruppo sempre russo APT28 (noto anche come Fancy Bear), affiliato all’agenzia russa Gru – Glavnoe razvedyvatel’noe upravlenie. Il Gru rimane oggi una parte molto importante dei servizi di intelligence della Federazione Russa. In passato gli hacker del Gru hanno perpetrato attacchi catastrofici come NotPetya nel 2017 che ha paralizzato ospedali, banche, aeroporti, agenzie governative ucraine e molto altro ancora.

Il gruppo si è quindi poi rivolto a società globali tra cui Maersk, la più grande compagnia di spedizioni di container al mondo; il gigante farmaceutico statunitense Merck; il gigante degli snack Mondelez (si pensi ai biscotti Oreo) e altri, causando danni per circa 1 miliardo di dollari.

Secondo la Cybersecurity and Infrastructure Security Agency la vulnerabilità del software SolarWinds Orion rivelata in questo recente attacco non è l’unico modo in cui gli hacker hanno compromesso tante reti online, per questo si continua a indagare su altri metodi di intrusione utilizzati dall’inizio dell’attacco, iniziato mesi fa mentre tutti erano concentrati sulle elezioni americane. Un attacco estremamente complesso con ripercussioni su centinaia di migliaia di clienti, tra cui le agenzie di intelligence ed aziende di medie e grandi dimensioni.

Attacchi di questo tipo alla “supple chain” (catena di approvvigionamento) sono davvero difficili da prevenire.