La vicenda, che ha causato imbarazzate prese di posizione dell’amministrazione Trump e una roboante difesa di Biden che minaccia ritorsioni, ha messo a nudo tutta la fragilità della cyberpotenza d’oltreoceano, minacciata fin dentro i suoi fortini meglio difesi, i Dipartimenti del Tesoro, del Commercio, dell’Energia, quello del Pentagono e degli arsenali nucleari, tanto da far dire al senatore repubblicano Marco Rubio: “L’America deve vendicarsi, e non solo con le sanzioni“. A fargli l’eco Mitt Romney, altro Repubblicano, che ha paragonato l’attacco ai bombardieri russi che sorvolano il paese senza essere scoperti. “Virtualmente una dichiarazione di guerra” aveva tuonato Dick Durbin, senatore democratico.
Cosa è successo
È il 13 dicembre – 10 giorni fa – quando scopriamo che a seguito dell’hackeraggio degli aggiornamenti automatici della piattaforma SolarWinds Orion avvenuti tra marzo e giugno, alcuni hacker statali, forse legati ai servizi segreti russi – si sospetta dei soliti Fancy Bear e Cozy Bear, legati all’intelligence militare i primi e ai servizi interni i secondi – si sono introdotti all’interno delle reti e dei sistemi informatici di enti governativi e privati in tutto il mondo spiando le loro mosse e in alcuni casi trafugando dati sensibili.
Avevamo immaginato che l’Italia non fosse immune a tutto questo visto che Solarwinds ha circa 300 mila clienti in tutti il mondo, ma dopo la scoperta la texana SolarWinds aveva cancellato la pagina dei suoi clienti. Oggi, dopo che alcune società di sicurezza informatica con un processo di reverse engineering hanno cominciato a ricostruire la catena dell’infezione e l’importanza delle aziende compromesse, il comunicato assume tutto un altro significato.
Tra le realtà compromesse ci sono aziende come Deloitte e la Kansas City Power and Light Company; banche come il Banco de Formosa, The Bank of Punjab, DenizBank; diversi ospedali, Mount Sinai Hospital, South Davis Community Hospital, e qualche scuola come la Saskatoon Public Schools, Regina Public Schools, Newton Public Schools, e un paio di città canadesi e statunitensi.
Un comunicato non convenzionale
“L’Italia ha attivato dalle prime fasi della scoperta il Nucleo per la Sicurezza Cibernetica, l’organismo collegiale a cui è affidato il compito di gestire gli incidenti informatici che potrebbero avere un potenziale impatto sulla sicurezza nazionale, che sta costantemente seguendo l’evolversi della situazione.”
Già da qui si capisce che non è un comunicato convenzionale: “Il Nucleo si è riunito per valutare ogni possibile impatto della campagna di attacchi informatici condotti attraverso la compromissione della piattaforma SolarWinds Orion anche sulle reti e sui sistemi nazionali.”
Ovviamente non si fanno nomi, ma è chiaro che, all’insegna del contagocce con cui il Dis dirama comunicati – in genere di carattere celebrativo – sta succedendo qualcosa. E il comunicato sollecita i pensieri più preoccupati.
Il sofisticato attacco che introduce una backdoor – rinominata Sunburst – all’interno della piattaforma SolarWinds con un aggiornamento che permette all’attore malevolo di eseguire comandi manuali all’interno dei sistemi della vittima pone le basi “anche per il rilascio di ulteriore codice malevolo volto potenzialmente a spiare o a manomettere ulteriormente i sistemi dell’ente attaccato o dei servizi da esso erogati.”
In Italia molte società usano la piattaforma hackerata, Orion, per il network management, dalle aziende di Telecomunicazioni ai fornitori della Pubblica Amministrazione. Facendo una ricerca in rete si vede che in Italia SolarWinds ce l’hanno in casa Engineering, Telecom Italia, Fastweb, Uniweb, parecchie s.r.l e perfino la Scuola Superiore Sant’Anna di Pisa.
Dall’analisi dei certificati dei domini relativi alcune di queste realtà hanno già preparato le difese. E il 13 dicembre Microsoft, considerato il coinvolgimento di molti suoi clienti e partner in tutto il mondo, aveva annunciato di aver rimosso i certificati digitali utilizzati dal Trojan per impedire che il sistema operativo Windows ritenesse validi i file compromessi bloccando di fatto la catena di diffusione del virus.
Il ruolo della Nato
Ma anche come partner Nato non potevamo non occuparcene: “Il software SolarWinds è utilizzato da un’ampia gamma di governi e organizzazioni, comprese alcune entità della NATO”, dove però “in questo momento non è stata compromessa la sicurezza di alcuna rete” aveva detto un suo funzionario.
Ma se non è chiaro il messaggio del Nucleo, basta andare più avanti per leggere: “Tenuto conto della potenziale gravità dell’evento cibernetico e dei suoi effetti, il Nucleo per la Sicurezza Cibernetica resta in continuo contatto con “CyCLONe” la rete di collaborazione europea delle autorità nazionali di cybersecurity che interviene “in caso di incidenti informatici destabilizzanti.”
Questo significa che l’impatto dell’hackeraggio è considerato destabilizzante e che interessa sia l’Italia che l’Europa, in osservanza del fatto che la rete Internet non riconosce né confini né trattati, ma che potenzialmente è proprio il principale partner degli Stati Uniti.
Per questo, dice il comunicato “Sono state avviate tutte le attività di supporto e contatto con i soggetti nazionali preposti a gestire le funzioni ed i servizi essenziali dello Stato (inclusi nel Perimetro di sicurezza nazionale cibernetica), gli operatori di servizi essenziali e gli enti della Pubblica Amministrazione”.
“Il Nucleo raccomanda in ogni caso a tutte le organizzazioni che utilizzano la citata piattaforma Orion di esaminare la problematica con la massima e puntuale attenzione, avvalendosi a tal fine anche dell’apposita sezione creata sul sito web del CSIRT italiano contenente consigli, aggiornamenti e possibili misure di mitigazione dell’incidente”.
La “morte nera” di Microsoft
Eppure Microsoft aveva messo in campo le sue ingenti risorse per tagliare alla base il ramo su cui siede l’attaccante. In una serie di dichiarazioni e comunicati aveva fatto sapere che già il 15 di dicembre, insieme ad altre compagnie erano riusciti ad aggiudicarsi in tribunale i domini usati dagli attaccanti per manovrare a distanza la backdoor. Un processo chiamato “sinkhole” o “sinkholing” che serve a rendere inefficace il dominio interrompendo il controllo de parte dell’aggressore sia sul malware che sui sistemi di controllo del malware. E di fare una cosa aggiuntiva: usare i “domini sinkhold” per identificare i sistemi compromessi, localizzarli e avvertire i proprietari. Microsoft aveva fatto così per distruggere le botnet del malware TrickBot.
Poi, considerata l’espansione di mercato il giorno dopo, 16 di dicembre aveva modificato lo stato di default di Windows Defender da “Alert” a “Quarantine”, un’azione drastica capace di distruggere il malware ma anche causare un crash di sistemi. Con la convinzione di lasciare agli attaccanti solo una piccolissima parte dei sistemi iniziali.
Ma forse non è bastato.
