Dopo FireEye, un'altra azienda specializzata in cyber security, SolarWinds, è stata vittima di un attacco di hacking. L'obiettivo erano clienti istituzionali quali il Dipartimento del Tesoro degli Stati Uniti e la National Telecommunications and Information Administration (NTIA) del Dipartimento del Commercio USA. L'azione è stata ritenuta talmente grave da richiedere una riunione straordinaria del Consiglio di Sicurezza Nazionale alla Casa Bianca.

Sono in corso le indagini ad opera dell'FBI e della Cybersecurity and Infrastructure Security Agency. Per ora non sono state diffuse informazioni ufficiali sui responsabili. Tuttavia Oltreoceano più parti puntano il dito contro la Russia. In dettaglio, il Washington Post fa esplicito riferimento al gruppo APT29, nome in codice utilizzato dall'industria della sicurezza informatica per indicare i cyber criminali associati al Servizio di intelligence russo (SVR). Molti esponenti della community di cyber sicurezza concordano con questa tesi, seppur non ufficiale.

FireEye e SolarWinds

A quanto si apprende dalle fonti di stampa statunitensi, tutto avrebbe avuto origine da un attacco contro SolarWinds, azienda di cyber security che ha all'attivo contratti con enti governativi. Gli esperti di sicurezza reputano che il gruppo criminale abbia inserito un malware nell'aggiornamento della piattaforma Orion di SolarWinds con il preciso intento di colpire i suoi clienti. L'installazione degli update avrebbe contagiato diverse aziende e reti governative statunitensi fra marzo e giugno 2020, fra cui FireEye.
Attualmente non è dato sapere quante siano con precisione le vittime. Stando ai primi dati sarebbero coinvolte aziende pubbliche e private di tutto il mondo, fra cui enti governativi, di consulenza, tecnologici, di telecomunicazioni ed estrattivi in Nord America, Europa, Asia e Medio Oriente.

SolarWinds ha pubblicato un aggiornamento sul sito ufficiale in cui spiega che l'attacco, sofisticato, è stato portato avanti manualmente. Ad essere affette sono le versioni della piattaforma Orion fra la 2019.4 HF 5 e la 2020.2.1, rilasciate appunto tra marzo 2020 e giugno 2020. Domani, martedì 15 dicembre, dovrebbe essere pubblicato un hotfix che sostituisce il componente compromesso e fornisce diversi miglioramenti aggiuntivi alla sicurezza.

L'attacco alla supply chain di SolarWinds ha colpito FireEye, che la scorsa settimana è stata la prima a denunciare l'accaduto. Quest'ultima non ha attribuito esplicitamente l'attacco ad APT29, ha preferito assegnare un nome neutro al gruppo attaccante (UNC2452).

Orion è una piattaforma software per il monitoraggio e la gestione centralizzata, impiegata in grandi reti per tenere traccia di tutte le risorse IT, dai server alle workstation, passando per smartphone e dispositivi IoT. Il malware che ha preso il sopravvento al momento non ha un'identificazione univoca. FireEye l'ha soprannominato Sunburst. 

Resta da capire se e quali informazioni siano state trafugate con l'attacco e quale ne fosse il vero movente. È inoltre da appurare se, nel corso dell'attacco, siano stati interessati anche i network informatici di colossi dell'IT del calibro di Google e Microsoft: un'ipotesi che circola, ma al momento senza conferme. Ad oggi è noto solo che Microsoft ha battezzato il malware Solorigate e che lo ha aggiunto alle regole per il rilevamento da parte dell'antivirus Defender.

Aggiornamento: Hack di SolarWinds, coinvolta anche Microsoft