Questa settimana, diversi le principali agenzie governative degli Stati Uniti, compresi i Dipartimenti della sicurezza interna, del commercio, del tesoro e dello Stato, hanno scoperto che i loro sistemi digitali erano stati violati da hacker russi in un’operazione di spionaggio durata mesi. L’ampiezza e la profondità degli attacchi richiederanno mesi, se non di più, per comprendere appieno. Ma è già chiaro che rappresentano un momento di resa dei conti, sia per il governo federale che per il settore IT che lo fornisce.
Già a marzo, gli hacker russi apparentemente hanno compromesso gli aggiornamenti software altrimenti banali per uno strumento di monitoraggio della rete ampiamente utilizzato, SolarWinds Orion. Acquisendo la capacità di modificare e controllare questo codice affidabile, gli aggressori potrebbero distribuire il proprio malware a una vasta gamma di clienti senza essere rilevati. Tali attacchi alla “catena di approvvigionamento” sono stati utilizzati in passato nello spionaggio governativo e nell’hacking distruttivo, inclusa la Russia. Ma l’incidente di SolarWinds sottolinea la posta in gioco incredibilmente alta di questi incidenti e quanto poco è stato fatto per prevenirli.
“Lo paragono ad altri tipi di ripristino di emergenza e pianificazione di emergenza sia nel settore governativo che privato”, afferma Matt Ashburn, responsabile dell’impegno per la sicurezza nazionale presso la società di sicurezza web Authentic8, che è stato in precedenza responsabile della sicurezza delle informazioni presso il Consiglio di sicurezza nazionale . “Il tuo obiettivo è mantenere le operazioni in caso di eventi imprevisti. Eppure, quando la pandemia è iniziata quest’anno, nessuno sembrava preparato, tutti si agitavano. E gli attacchi alla catena di approvvigionamento sono simili: tutti lo sanno e sono consapevoli del rischio, sappiamo che i nostri avversari più avanzati si impegnano in questo tipo di attività. Ma non c’è stato quell’attenzione concertata “.
Le recriminazioni sono arrivate subito dopo che gli attacchi sono stati rivelati, con i senatori statunitensi Ron Wyden (D-Oregon) e Sherrod Brown (D-Ohio) che hanno diretto domande mirate al Segretario al Tesoro Steve Mnuchin al Congresso sulla preparazione e risposta di quel dipartimento. “Come abbiamo appreso dagli attacchi NotPetya, gli attacchi alla catena di fornitura del software di questa natura possono avere effetti devastanti e di vasta portata”, ha dichiarato lunedì il senatore Mark Warner (D-Virginia), vicepresidente del Comitato dei servizi di intelligence del Senato, in una dichiarazione separata “Dobbiamo chiarire che ci saranno conseguenze per qualsiasi impatto più ampio su reti private, infrastrutture critiche o altri settori sensibili”.
Gli Stati Uniti hanno investito molto nel rilevamento delle minacce; un sistema multimiliardario noto come Einstein pattuglia le reti del governo federale alla ricerca di malware e indicazioni di attacco. Ma come dettagliato di un rapporto del Government Accountability Office 2018, Einstein è efficace nell’identificare conosciuto minacce. È come un buttafuori che tiene fuori tutti quelli della loro lista, ma chiude un occhio sui nomi che non riconoscono.
Ciò ha reso Einstein inadeguato di fronte a un attacco sofisticato come quello russo. Gli hacker hanno utilizzato la loro backdoor SolarWinds Orion per ottenere l’accesso alle reti di destinazione. Sono quindi rimasti seduti in silenzio per un massimo di due settimane prima di spostarsi intenzionalmente e con molta attenzione all’interno delle reti delle vittime per ottenere un controllo più profondo ed esfiltrare i dati. Anche in quella fase potenzialmente più visibile degli attacchi, hanno lavorato diligentemente per nascondere le loro azioni.
“Questa è una resa dei conti di sicuro”, afferma Jake Williams, un ex hacker della NSA e fondatore della società di sicurezza Rendition Infosec. “È intrinsecamente così difficile da affrontare, perché gli attacchi alla catena di approvvigionamento sono incredibilmente difficili da rilevare. È come se l’attaccante si teletrasporti lì dal nulla”.
Martedì, il GAO ha pubblicato pubblicamente un altro rapporto, distribuito all’interno del governo in ottobre: ”Le agenzie federali devono intraprendere azioni urgenti per gestire i rischi della catena di approvvigionamento”. A quel punto, l’assalto russo era attivo da mesi. L’agenzia ha scoperto che nessuna delle 23 agenzie esaminate aveva implementato tutte e sette le migliori pratiche fondamentali per la difesa informatica che aveva identificato. La maggior parte delle agenzie non ne aveva affatto implementato.
Il problema della catena di approvvigionamento – e la follia di hacker della Russia – non è esclusivo del governo degli Stati Uniti. SolarWinds ha affermato che ben 18.000 clienti erano vulnerabili agli hacker, che sono riusciti a infiltrarsi anche nella società di sicurezza informatica di alto profilo FireEye.
.
