Cyber criminali non meglio identificati sono entrati nella rete delle Nazioni Unite, dove hanno agito indisturbati per almeno quattro mesi, rubando informazioni utili per scatenare ulteriori attacchi. Tutto è partito dal software di gestione dei progetti usato dall'organizzazione, Umoja.

Il 5 di aprile 2020 gli attaccanti hanno avuto accesso alla rete usando le credenziali di Umoja di un dipendente che, a quanto riferiscono le fonti di stampa straniere, non aveva abilitato l'autenticazione a due fattori (2FA) per proteggere il suo accesso. Hanno avviato movimenti laterali e sono riusciti a rimanere in rete senza farsi scoprire per oltre quattro mesi, ossia fino al 7 di agosto.

L'attacco è stato confermato da Stéphane Dujarric, portavoce del Segretario generale delle Nazioni Unite. Stando a quanto riportato da Bloomberg, gli attaccanti sono riusciti a mettere mano su dati critici sfruttabili per colpire le agenzie all'interno delle Nazioni Unite. Rischio peraltro già concretizzato, dato che alcune agenzie hanno già dovuto fronteggiare "ulteriori attacchi" legati alla suddetta violazione.

Dujarric ha confermato inoltre che quanto accaduto non è fuori dall'ordinario, dato che le Nazioni Unite sono spesso prese di mira da attacchi informatici. Memorabile era stato quello condotto a gennaio 2020 dagli operatori di Emotet, sfruttando una falla diMicrosoft SharePoint e rubando 400 GB di dati sensibili.

La mancanza di autenticazione a due fattori

Come hanno confermato diversi esperti di cyber security, questo attacco è la dimostrazione lampante, se ce ne fosse ancora bisogno, del perché non si possa considerare sicuro il semplice uso di una combinazione nome utente/password per proteggere un sistema connesso a una rete.

Al momento non è chiaro come i cyber criminali siano entrati in possesso delle credenziali. Potrebbero averle ottenute tramite un precedente attacco non tracciato ai danni delle Nazioni Unite, magari di phishing. Oppure averlo acquistato sul dark web. Quello che fa rabbia è che l'autenticazione a più fattori è diventata talmente facile da implementare negli ultimi anni che dovrebbe essere l'impostazione predefinita in tutti i sistemi.

Mesi di movimenti laterali

Il fatto che l'accesso non fosse adeguatamente protetto è solo una parte del problema. Il resto, ossia i movimenti laterali per quattro mesi, sono la parte restante del disastro. Prima di tutto perché con un'adeguata segmentazione della rete e gestione dei permessi, si sarebbe potuto circoscrivere il perimetro d'azione degli attaccanti. È il principio del privilegio minimo, un caposaldo della cybersecurity odierna.

Secondo perché un monitoraggio proattivo e costante della rete (comprese le attività in uscita, che in caso di esfiltrazione di dati possono rivelare l'esistenza di traffico verso server C2 remoti) e la corretta analisi degli Indicatori di Compromissione, forse avrebbe potuto rivelare la presenza in rete degli intrusi prima di quattro mesi.