Il cyberattacco di SolarWinds alle agenzie governative e alle organizzazioni private degli Stati Uniti è stato ed è spaventoso nella sua scala e nel suo successo. Ha dimostrato l’inefficenza delle agenzie governative incaricate di difendersi da tali attacchi, e ha messo a fuoco il fatto che l’attuale modello del governo per rispondere alle minacce informatiche è carente. Il comitato dell’intelligence del Senato ha ospitato alcuni dei principali attori della saga SolarWinds martedì per un po’ di ricerca su come il governo e le aziende tecnologiche private dovrebbero lavorare insieme per fermare gli attacchi futuri. Alcuni dei temi principali discussi nell’udienza probabilmente finiranno in una nuova legislazione sulla cybersicurezza quest’anno, spiega una fonte del Congresso.
Attacco hacker a SolarWinds: di cosa si tratta?
SolarWinds è il nome della società con sede in Texas il cui software di gestione IT è utilizzato da molte agenzie governative e aziende Fortune 500. Nel marzo 2020, gli aggressori – che si pensa siano impiegati dai servizi segreti esteri della Russia – hanno piantato un malware nel sistema SolarWinds che invia gli aggiornamenti al software Orion di SolarWinds. Quando i clienti dell’azienda, 18.000, hanno installato l’aggiornamento, hanno anche installato il malware. L’attacco è stato finalmente segnalato nel dicembre 2020 dalla società di sicurezza privata FireEye, e solo perché la società ha scoperto che i propri sistemi erano stati infettati.
L’attacco SolarWinds è stato un qualcosa di nuovo, in quanto ha preso di mira sia il governo che le entità del settore privato, ed è stato usato come un cavallo di Troia per ottenere l’accesso ai sistemi delle agenzie governative.
I “cappelli bianchi” (i buoni della sicurezza) non erano pronti per questo modo indiretto di attaccare.
Durante l’udienza, il CEO di SolarWinds, Sudhakar Ramakrishna, ha detto che la comunità di sicurezza sa come difendersi dagli attacchi diretti alle reti e dagli attacchi di spear-phishing in cui gli hacker si fingono una parte fidata e cercano di ingannare i dipendenti della società bersaglio e fargli dare le loro credenziali di rete. Gli esperti di sicurezza hanno meno esperienza con gli attacchi che sfruttano un fornitore di software del settore privato al governo per entrare.
Si pensa che gli aggressori abbiano penetrato i sistemi di 100 aziende private e 11 agenzie governative, tra cui i Dipartimenti di Stato, Energia, Homeland Security e Tesoro, e la National Nuclear Security Administration. Anche aziende private come Microsoft, Cisco e Intel sono state colpite. E SolarWinds potrebbe non essere stato l’unico fornitore privato attraverso il quale gli attaccanti hanno trovato la loro strada nei sistemi del governo. Infatti, Robert McMillan e Dustin Volz del Wall Street Journal hanno riferito che il 30% delle organizzazioni vittime note non erano clienti di SolarWinds. Questo può significare che altri fornitori IT del governo sono stati usati come cavalli di Troia.
Collegare i punti
In un certo senso, l’attacco a SolarWinds sembrava progettato per sfruttare la mancanza di comunicazione e cooperazione tra gli esperti di sicurezza del governo e del settore privato. Le prove dell’attacco sono apparse nelle reti di numerose aziende private ed enti pubblici. Gli aggressori hanno gettato la loro rete e non si sono concentrati troppo su un unico punto di ingresso. Brad Smith, presidente di Microsoft, ha detto al comitato che la sua azienda ritiene che l’80% delle 60 entità colpite dall’attacco SolarWinds si trovano al di fuori degli Stati Uniti. Ha aggiunto che gli aggressori potrebbero aver preso di mira organizzazioni d’oltreoceano che impiegano persone che lavorano su progetti con il governo degli Stati Uniti e hanno accesso alla rete.
Questo ha reso l’attacco più difficile da rilevare. Diversi addetti alla sicurezza in tutto il mondo possono aver intravisto qualcosa di strano sulla loro rete, ma potrebbero non aver visto l’intero quadro. Questo fino a quando FireEye ha parlato. “Penso che ci fosse un sacco di attività che fuori dal contesto nessuno poteva [usare per] vedere il problema più grande”, ha detto Kevin Mandia, CEO di FireEye. “Nel momento in cui abbiamo trovato l’impianto [malware], e nel momento in cui abbiamo rivelato ciò che è successo, ha collegato un sacco di punti per un sacco di gente”.
Un risultato dell’udienza potrebbe essere la legislazione che istituisce una camera di compensazione federale centrale per le informazioni sulle minacce informatiche, dove sia le entità governative che le aziende private possono segnalare prove di minacce o attacchi. “Abbiamo bisogno di migliorare la condivisione delle informazioni sulle minacce informatiche”, ha detto Smith di Microsoft. E una condivisione efficace potrebbe aver bisogno di essere più che volontaria. “Penso che sia il momento non solo di parlare, ma di trovare un modo per… imporre in modo appropriato qualche tipo di obbligo di notifica alle entità del settore privato”, ha detto Smith.
Il problema è che le aziende che sono state attaccate hanno alcune buone ragioni per non segnalarlo. Possono temere la cattiva pubblicità o l’esposizione legale. Pertanto, una clearinghouse di segnalazione delle minacce informatiche deve essere confidenziale. Il presidente del comitato Mark Warner, senatore democratico della Virginia, ha detto che ci potrebbe essere interesse nell’offrire a tali aziende una qualche forma di protezione in cambio di essere schietti con il governo sui dettagli di un attacco.
Qualcosa non va
L’U.S. Cyber Command, sotto la National Security Agency, dovrebbe essere la prima linea di difesa contro gli attacchi alle reti governative. Ma è stato “accecato” dall’attacco SolarWinds, hanno riferito David Sanger, Nicole Perlroth ed Eric Schmitt del New York Times. La NSA è impossibilitata dalla legge a mettere sensori all’interno delle reti di aziende private come SolarWinds. Farlo equivarrebbe ad una sorveglianza di massa. Così l’agenzia può solo guardare per i segni di un attacco sulle reti delle agenzie governative, non sulle reti di entità che gli attaccanti potrebbero sfruttare come cavalli di Troia. Gli hacker di qualsiasi calibro lo sanno, quindi eseguono il comando e il controllo per i loro exploit su server situati negli Stati Uniti. In quest’ultimo attacco, gli attaccanti hanno usato i server di Amazon Web Services.
L’U.S. Cyber Command non era presente all’udienza del Senato per Intel, né lo era Amazon. Diversi senatori della commissione hanno espresso la loro frustrazione per la mancata presenza di Amazon. “Avevamo esteso un invito ad Amazon a partecipare. L’operazione che discuteremo oggi utilizza la loro infrastruttura [e], almeno in parte, ne ha avuto bisogno per avere successo”, ha detto il senatore repubblicano Marco Rubio della Florida. “Apparentemente erano troppo occupati per discuterne qui con noi oggi, spero che ci ripenseranno in futuro”.
La senatrice repubblicana Susan Collins del Maine e il presidente della commissione Warner si sono chiesti ad alta voce perché Amazon non fosse presente. Ora sono passati più di due mesi da quando l’attacco SolarWinds è stato scoperto, e il governo non sa ancora cosa lo ha causato, o se l’attacco si è concluso.
“Abbiamo avuto una serie di ipotesi negli ultimi due mesi lavorando con i nostri partner di indagine”, ha detto Ramakrishna di SolarWinds. “Siamo stati in grado di restringerle ora a circa tre, che speriamo di concludere in uno. Stiamo ancora setacciando terabyte di dati”, ha aggiunto.
Quando l’indagine sarà finita e il governo avrà una comprensione più chiara degli aggressori e delle loro probabili motivazioni, tutti gli occhi saranno puntati sull’amministrazione Biden per decidere come rispondere. La risposta ai passati cyberattacchi ha di solito comportato sanzioni su qualche attore statale come la Cina, la Corea del Nord o l’Iran. Ma l’attacco SolarWinds era così grande, e i dati governativi che ha preso di mira così sensibili, che le semplici sanzioni potrebbero non essere sufficienti.
