Per fare fronte alla minaccia il Nucleo tecnico per la sicurezza cibernetica si è riunito ieri: il rischio, che per alcuni è certezza, del fatto che realtà istituzionali italiane abbiano in casa una backdoor informatica (un ingresso nascosto come nei castelli medievali) che permette di entrare nei loro sistemi, modificare e cancellare file, assumere il comando di server e pc, monitorare traffico e dati, è troppo alto.
Per questo “Il Nucleo raccomanda a tutte le organizzazioni che utilizzano la piattaforma Orion di esaminare la problematica con la massima e puntuale attenzione, avvalendosi a tal fine anche dell’apposita sezione creata sul sito web del CSIRT italiano contenente consigli, aggiornamenti e possibili misure di mitigazione dell’incidente”. Lo Csirt è il Centro italiano per la risposta agli incidenti di sicurezza informatica avviata nel maggio scorso.
Roba grossa, insomma, ma cos’è successo? È successo che il 13 dicembre scorso è stata data la notizia della scoperta dell’hackeraggio di una piattaforma di gestione software usata in tutto il mondo, SolarWinds Orion, che ha permesso agli attaccanti di creare un accesso privilegiato nei computer delle vittime bersaglio tramite una backdoor ribattezzata “Sunburst”. L’attacco è riuscito a evadere le difese dell’azienda texana e ad arrivare ai suoi clienti grazie alla compromissione degli aggiornamenti automatici che l’azienda effettua periodicamente per loro. Come quando noi aggiorniamo automaticamente il nostro sistema operativo o l’antivirus. Un attacco così sofisticato da indurre l’intelligence Usa ad attribuirne la responsabilità agli hacker russi. In gergo l’attacco è detto “attacco alla supply chain” (la fornitura dell’aggiornamento) e i possibili autori sarebbero le unità paramilitari cibernetiche legate ai servizi segreti della Federazione Russa, nome in codice APT 28 e APT 29, gli stessi dell’hackeraggio ai danni del Comitato elettorale democratico durante la corsa alla Casa Bianca del 2016.
Si tratta tuttavia di una deduzione a partire dai bersagli attaccati, perché l’attibuzione di un attacco informatico è come un lancio di dadi: se non sono truccati, può uscire di tutto. Ad essere compromessi sono stati i dipartimenti del Tesoro, del Commercio e dell’Energia americani, e la stessa Sicurezza nazionale, arrivando così anche al Pentagono e agli arsenali nucleari. L’attacco sarebbe andato avanti per un periodo di oltre tre mesi, da marzo a giugno, con conseguenze ancora difficili da stimare. “E come se uno stormo di bombardieri avesse sorvolato l’America senza essere individuato”, ha detto un senatore repubblicano, Mitt Romney.
Adesso che le stesse aziende interessate dall’operazione di hacking, e cioé FireEye, Microsoft, VMware, e altre, sono riuscite parzialmente a ricostruire la catena dell’infezione informatica emergono altri particolari e i nomi di Stati, comuni, banche, assicurazioni, scuole e ospedali attaccati.
Il nocciolo è che l’azienda SolarWinds ha circa 300mila clienti in tutto il mondo e il suo software è ri-distruibuto anche in Italia da realtà piccole e grandi tra Roma, Perugia, Milano e Torino. Molte Pubbliche Amministrazioni centrali e locali lo usano, come pure da aziende di ogni tipo. Alcune ce l’hanno esposto sul web, ma la maggior parte lo usa in forma “air gapped”, cioè su network disconnessi dall’Internet pubblica o da reti insicure
Sia la Cisa americana (l’equivalente del nostro Csirt) che la Homeland security, la Sicurezza nazionale, in tandem con Microsoft e altri partner sono intervenuti subito appena la notizia è diventata di dominio pubblico. Già il 15 dicembre l’azienda di Redmond aveva “sequestrato”, dietro richiesta a un tribunale, il server che permetteva agli attaccanti di comandare il malware a distanza come ha dichiarato a Repubblica Carlo Mauceli di Microsoft Italia: “La vicenda è clamorosa. Ma noi siamo intervenuti subito. “Microsoft è un’azienda che usa Orion come i suoi clienti: abbiamo trovato tracce di codice malevolo e l’abbiamo isolato. Collaborando con società come FireEye, nostro partner, abbiamo tagliato la testa al toro, sequestrando i server degli attaccanti e adesso lavoriamo anche sui tavoli governativi perché questo è un ‘attacco al sistema’, una pandemia vera e propria”. Se attacchi una organizzazione che distribuisce software a quasi 300mila clienti è evidente che non può riguardare solo un singolo paese. E infatti Mauceli, capo tecnologo di Microsoft in Italia aggiunge: “La sicurezza è proprio quell’area in cui se non fai sistema, hai perso”. Nel nostro paese c’è troppa resistenza a fare sistema e si fatica a ragionare in ottica comunitaria unendo le capacità investigative degli enti preposti alla sicurezza.”
Ma la faccenda è più rognosa di quello che sembra. Intanto ci sarebbero nel malware dei pezzi di codice usati nel passato da altri gruppi di attaccanti, “tecnologie” iraniane, e troppi allarmi inascoltati, secondo una fonte qualificata che non vuole apparire.
Anni prima della violazione della sicurezza di SolarWinds che probabilmente ha compromesso le reti di mezzo mondo, un noto hacker, nome ‘fxmsp’, già nel 2017 aveva tentato di vendere l’accesso ai computer della stessa SolarWind sui forum clandestini Darkweb, la parte del web accessibile solo con software speciali.
Vinoth Kumar, un ricercatore in cybersecurity, il 19 novembre 2019 aveva avvertito SolarWinds che il loro server degli aggiornamenti avrebbe potuto essere facilmente raggiunto da “qualsiasi aggressore” perché la password era impostata su “solarwinds123”.
“Potenzialmente l’Italia è una vittima. Le infrastrutture critiche (aziende di trasporto, sanitarie, e istituzioni) stanno facendo analisi serrate, ma il problema sono le PMI. Bisogna verificare tutto a partire dalla ‘kill chain’ (la struttura dell’attacco informatico, in gergo ndr), la strategia di ogni manager della sciurezza è questa. Ogni attacco poi dipende da una chiave d’accesso che è l’identità (come il pin e le chiavi, ndr) perciò il primo elemento cardine è proteggere l’identità”.
Se l’account Solarwinds aveva la password che è stata detta, le cose potrebbero stare peggio di quanto sappiamo.