“Ora testimonia la potenza di fuoco di questa stazione da battaglia completamente armata e operativa.” – Imperatore Palpatine, Return of the Jedi
Questa settimana Microsoft ha intrapreso una serie di passi drammatici contro il recente attacco alla catena di approvvigionamento di SolarWinds. Nella dimensione, velocità e portata delle sue azioni, Microsoft ha ricordato al mondo che può ancora raccogliere la potenza di fuoco come nessun altro come una forza quasi travolgente per il bene.
Attraverso quattro passaggi in quattro giorni, Microsoft ha mostrato i muscoli del suo team legale e il suo controllo del sistema operativo Windows per cancellare quasi le azioni di alcuni degli hacker offensivi più sofisticati là fuori. In questo caso, si ritiene che l’avversario sia APT29, alias Cosy Bear, il gruppo che molti credono sia associato all’intelligence russa e meglio conosciuto per aver portato a termine l’attacco del 2016 contro il Democratic National Committee (DNC).
Mentre i dettagli continuano ad emergere, l’attacco alla catena di approvvigionamento di SolarWinds è già l’attacco più significativo nella memoria recente. Secondo SolarWinds, Microsoft, FireEye e la Cybersecurity and Infrastructure Security Agency (CISA), gli aggressori hanno compromesso un server utilizzato per creare aggiornamenti per SolarWinds Orion Platform, un prodotto utilizzato per la gestione dell’infrastruttura IT. Gli aggressori hanno utilizzato questo server di build compromesso per inserire malware backdoor nel prodotto (chiamato Solorigate di Microsoft o SUNBURST di FireEye).
Secondo SolarWinds, questo malware era presente come cavallo di Troia negli aggiornamenti da marzo a giugno 2020. Ciò significa che anche tutti i clienti che hanno scaricato gli aggiornamenti sottoposti a Trojan hanno ricevuto il malware. Sebbene non tutti i clienti che hanno ricevuto il malware lo abbiano visto utilizzato per gli attacchi, è stato sfruttato per attacchi più ampi contro le reti di alcune organizzazioni strategicamente critiche e sensibili.
Quelli attaccati includono FireEye, il Dipartimento del Tesoro degli Stati Uniti, la National Telecommunications and Information Administration (NTIA) del Dipartimento del Commercio degli Stati Uniti, il National Institutes of Health (NIH) del Department of Health, la Cybersecurity and Infrastructure Agency (CISA), il Department of Homeland Security (DHS) e il Dipartimento di Stato americano.
Tutti coloro che hanno lavorato direttamente a questo caso hanno parlato della natura sofisticata dell’attacco. L’ampiezza, l’importanza strategica e la competenza in materia di sicurezza delle vittime lo confermano. Mentre quasi ogni attacco è definito “sofisticato” dalle vittime che cercano di proteggersi dalle critiche, la comunità della sicurezza è quasi unanime nel suo verdetto che il termine è meritato in questo caso.
La velocità, la portata e la portata della risposta di Microsoft erano senza precedenti. Nello specifico, Microsoft ha fatto quattro cose nel corso di quattro giorni che hanno effettivamente annullato il lavoro degli aggressori.
1) Il 13 dicembre, il giorno in cui è diventato pubblico, Microsoft ha annunciato di aver rimosso i certificati digitali utilizzati dai file sottoposti a Trojan. Questi certificati digitali hanno permesso ai sistemi Microsoft Windows di credere che quei file compromessi fossero affidabili. In questo singolo atto, Microsoft ha letteralmente detto durante la notte a tutti i sistemi Windows di smettere di fidarsi di quei file compromessi che potrebbero impedirne l’utilizzo.
2) Lo stesso giorno, Microsoft ha annunciato che stava aggiornando Microsoft Windows Defender, la funzionalità antimalware incorporata in Windows, per rilevare e avvisare se ha trovato il file Trojan nel sistema.
3) Successivamente, martedì 15 dicembre, Microsoft e altri si sono spostati su “sinkhole” uno dei domini utilizzati dal malware per il comando e il controllo (C2): avsvmcloud[.]com. SInkholing è una tattica legale e tecnica per privare gli aggressori del controllo sul malware. In Sinkholing, un’organizzazione come Microsoft va in tribunale per strappare il controllo di un dominio utilizzato per scopi dannosi al suo attuale detentore, l’attaccante.
In caso di successo, l’organizzazione può quindi utilizzare la proprietà di quel dominio per interrompere il controllo dell’aggressore sul malware e sui sistemi controllati dal malware. I domini affondati possono anche essere utilizzati per identificare i sistemi compromessi: quando il malware raggiunge il dominio affondato per istruzioni, i nuovi proprietari possono identificare quei sistemi e tentare di individuare e avvisare i proprietari. Sinkholing è una tattica che è stata utilizzata per la prima volta nei grandi attacchi nella battaglia del 2008-2009 contro Conficker ed è stata una tattica standard nel toolkit di Microsoft per anni, incluso più recentemente contro TrickBot.
4) Infine, oggi, mercoledì 16 dicembre, Microsoft ha sostanzialmente cambiato i suoi phaser da “stordire” a “uccidere” modificando l’azione predefinita di Windows Defender per Solorigate da “Alert” a “Quarantine”, un’azione drastica che potrebbe causare il crash dei sistemi ma ucciderà efficacemente il malware quando lo trova. Anche questa azione è importante, perché ora concede ad altre società di sicurezza la licenza di seguire l’esempio di questo passo drastico: le dimensioni e la leadership di Microsoft della sua piattaforma offrono una copertura ad altre società di sicurezza che altrimenti non avrebbero.
Presi insieme, questi passaggi equivalgono a Microsoft prima neutralizzare e poi uccidere il malware mentre sottrae agli aggressori il controllo sull’infrastruttura del malware. Entro la fine di questa settimana, gli aggressori rimarranno con appena una parte dei sistemi sotto il loro controllo.
Potrebbero ancora avere accesso a reti compromesse con altri mezzi: questo è ciò su cui probabilmente stanno lavorando i soccorritori agli incidenti. E non si può annullare qualunque cosa abbiano fatto mentre l’infiltrazione è passata inosservata per mesi. Tuttavia, queste azioni insieme si avvicinano il più possibile all’annullamento di un attacco come abbiamo visto, il che è tanto più notevole a causa dei probabili aggressori.
Alla fine, tutto questo ci ricorda quanto potere ha a disposizione Microsoft. Tra il suo controllo del sistema operativo Windows, il suo solido team legale e la sua posizione nel settore, ha il potere di cambiare il mondo quasi dall’oggi al domani, se lo desidera. E quando sceglie di addestrare quel potere su un avversario, è davvero l’equivalente della Morte Nera: in grado di distruggere completamente un pianeta in un solo colpo.
Fortunatamente in questi giorni, Microsoft sta risparmiando nell’uso del suo potere. Ma come ho notato prima, non dovremmo mai scambiare la gentilezza di Microsoft per debolezza.
E comunque, che senso ha avere una Morte Nera se non la usi (per sempre) a volte?
