Nazioni Unite: attacco con data leak durato 4 mesi

Usando le credenziali rubate di un dipendente, cyber criminali sono riusciti a entrare nella rete delle Nazioni Unite, fare movimenti laterali per quattro mesi e sottrarre dati sensibili usabili per sferrare altri attacchi.

Business

Cyber criminali non meglio identificati sono entrati nella rete delle Nazioni Unite, dove hanno agito indisturbati per almeno quattro mesi, rubando informazioni utili per scatenare ulteriori attacchi. Tutto è partito dal software di gestione dei progetti usato dall'organizzazione, Umoja.

Il 5 di aprile 2020 gli attaccanti hanno avuto accesso alla rete usando le credenziali di Umoja di un dipendente che, a quanto riferiscono le fonti di stampa straniere, non aveva abilitato l'autenticazione a due fattori (2FA) per proteggere il suo accesso. Hanno avviato movimenti laterali e sono riusciti a rimanere in rete senza farsi scoprire per oltre quattro mesi, ossia fino al 7 di agosto.

L'attacco è stato confermato da Stéphane Dujarric, portavoce del Segretario generale delle Nazioni Unite. Stando a quanto riportato da Bloomberg, gli attaccanti sono riusciti a mettere mano su dati critici sfruttabili per colpire le agenzie all'interno delle Nazioni Unite. Rischio peraltro già concretizzato, dato che alcune agenzie hanno già dovuto fronteggiare "ulteriori attacchi" legati alla suddetta violazione.

Dujarric ha confermato inoltre che quanto accaduto non è fuori dall'ordinario, dato che le Nazioni Unite sono spesso prese di mira da attacchi informatici. Memorabile era stato quello condotto a gennaio 2020 dagli operatori di Emotet, sfruttando una falla diMicrosoft SharePoint e rubando 400 GB di dati sensibili.


La mancanza di autenticazione a due fattori

Come hanno confermato diversi esperti di cyber security, questo attacco è la dimostrazione lampante, se ce ne fosse ancora bisogno, del perché non si possa considerare sicuro il semplice uso di una combinazione nome utente/password per proteggere un sistema connesso a una rete.

Al momento non è chiaro come i cyber criminali siano entrati in possesso delle credenziali. Potrebbero averle ottenute tramite un precedente attacco non tracciato ai danni delle Nazioni Unite, magari di phishing. Oppure averlo acquistato sul dark web. Quello che fa rabbia è che l'autenticazione a più fattori è diventata talmente facile da implementare negli ultimi anni che dovrebbe essere l'impostazione predefinita in tutti i sistemi.

Mesi di movimenti laterali

Il fatto che l'accesso non fosse adeguatamente protetto è solo una parte del problema. Il resto, ossia i movimenti laterali per quattro mesi, sono la parte restante del disastro. Prima di tutto perché con un'adeguata segmentazione della rete e gestione dei permessi, si sarebbe potuto circoscrivere il perimetro d'azione degli attaccanti. È il principio del privilegio minimo, un caposaldo della cybersecurity odierna.

Secondo perché un monitoraggio proattivo e costante della rete (comprese le attività in uscita, che in caso di esfiltrazione di dati possono rivelare l'esistenza di traffico verso server C2 remoti) e la corretta analisi degli Indicatori di Compromissione, forse avrebbe potuto rivelare la presenza in rete degli intrusi prima di quattro mesi.

Se questo articolo ti è piaciuto e vuoi rimanere sempre informato con le notizie di SecurityOpenLab.it iscriviti alla nostra Newsletter gratuita.

Notizie correlate

Speciali Tutti gli speciali

Speciale sicurezza mobile

Speciale

Proteggere il nuovo smart working

Speciale

Sicurezza cloud native

Speciale

Backup e protezione dei dati

Speciale

Speciale video sorveglianza

Calendario Tutto

Set 30
Webinar Kaspersky - Guai con i ransomware? Volete essere flessibili ma al riparo da attacchi informatici?
Ott 05
VMworld 5-7 ottobre 2021
Ott 12
Webinar Zyxel - Uffici “ibridi” e modalità di lavoro “fluida"

Iscriviti alla nostra newsletter

Soluzioni B2B per il Mercato delle Imprese e per la Pubblica Amministrazione

Iscriviti alla newsletter

contatori