La Repubblica

Perché l’attacco a SolarWinds è stato così devastante?

In questo libro, Smith e il capo del suo staff in azienda raccontano i giorni e le settimane successive al devastante attacco che ha colpito la filiera di approvvigionamento dell’azienda texana SolarWinds arrivando a infettare alcuni dipartimenti critici dello Stato e del governo americano. E lo fanno con un tempismo e con un livello di dettaglio degno di un libro giallo. In fondo, con i libri dalla copertina gialla il loro racconto condivide uno dei temi più cari: lo spionaggio.

Per gli autori infatti, non sembrano esserci dubbi che l’attacco sia da attribuire ai servizi segreti esteri russi o Svr, il Foreign Intelligence Service della Federazione Russa, diretta emanazione dello scomparso Kgb, incaricato di raccogliere informazioni, sia attraverso lo spionaggio sia con il controspionaggio.

Nel testo, Smith e Browne raccontano così l’Svt: “Con sede in un vasto complesso di uffici nel sud-ovest di Mosca, i suoi edifici dall’esterno sembrano un tipico residence per uffici in periferia. Equivalente della Cia degli Stati Uniti, l’Svr gestisce da questi edifici le sue operazioni di spionaggio globale e di controspionaggio esterno, inclusa la sorveglianza elettronica nei Paesi di tutto il mondo. In questi giorni, anche un’ampia varietà di attività informatiche. E non diversamente dalle aziende tecnologiche nei campus statunitensi, l’Svr impiega uno staff ampio ed esperto di talentuosi professionisti informatici.”

Nei romanzi di spionaggio è il cattivo a essere protagonista. E come in tutti i romanzi, i buoni danno un nome in codice al cattivo. In questo caso l’attore malevolo è chiamato Ittrio da Microsoft, che utilizza gli elementi della tavola periodica per classificare e denominare in codice i diversi state actors impegnati in attività cibernetiche. L’Ittrio è una terra rara metallica e un minerale tossico che si trova nella crosta terrestre, ma in questo contesto “è una delle minacce informatiche più raffinate per molti dei nostri clienti, così come per la stessa Microsoft. E invece di condurre i suoi sforzi clandestini nell’oscurità, questo successore del 21esimo Secolo del Kgb spesso fa il suo lavoro penetrando nelle reti di computer di proprietà di imprese private e cittadini di tutto il mondo”.

Quando tutto è incominciato
Nel racconto dei due autori, tutto inizia l’ultimo giorno di novembre 2020, quando da Tom Burt, vicepresidente responsabile anche della sicurezza informatica, arriva un messaggio urgente. Tipicamente calmo e discreto, la sua urgenza era già un campanello d’allarme. Cos’era successo? “Contattati da FireEye, tra le principali società di sicurezza informatica, veniamo a sapere di una grave violazione della sicurezza che aveva subìto. I primi indizi indicavano l’Ittrio, una scoperta successivamente confermata dalla Casa Bianca.”

Nelle settimane successive gli esperti scopriranno il tentativo di hacking di dozzine di reti di computer in tutto il mondo, inclusa la stessa Microsoft, da parte di questo attore. In effetti come aveva riportato a gennaio il New York Times, “il governo degli Stati Uniti era chiaramente l’obiettivo principale dell’attacco, con il Dipartimento del Tesoro, il Dipartimento di Stato, il Dipartimento del Commercio, il Dipartimento dell’Energia e parti del Pentagono tra le agenzie confermate e infiltrate”.

Non erano gli unici obiettivi. Scrivono Smith e Browne: “In Microsoft abbiamo identificato dozzine di organizzazioni interessate, tra cui altre società tecnologiche, appaltatori governativi, think tank e un’università. I Paesi colpiti, oltre gli Stati Uniti, includevano Canada, Regno Unito, Belgio, Spagna, Israele ed Emirati Arabi Uniti. In molti casi, l’intrusione era durata mesi.”

Gli esperti di sicurezza informatica avrebbero dato all’attacco una varietà di nomi, tra cui Solorigate e Sunburst, con riferimento alla società texana il cui software è stato manipolato per organizzare gli attacchi iniziali: SolarWinds.

Che sia stato un atto di guerra o il solito spionaggio non è troppo importante secondo gli autori: “Ha dimostrato i punti di forza e di debolezza intrinseci della tecnologia e ha illustrato il grado in cui essa era diventata sia uno strumento difensivo che un’arma offensiva”.

Mstic contrattacca
Il Microsoft Threat Intelligence Center, che dentro Microsoft chiamano Mstic (pronunciato “mistic”) è un’unità d’élite essa stessa, e si occupa dell’identificazione e della lotta alle minacce emergenti alla sicurezza informatica. Per il capo di Microsoft, “è una combinazione della migliore tecnologia e dei migliori ingegneri al mondo: analizza 6 trilioni di segnali elettronici che fluiscono ogni giorno nei data center di Microsoft”. Mistic si sarebbe fatto carico dell’attacco. È compito di Mstic dare la caccia a nuove intrusioni e attacchi informatici da parte di Ittrio e di altri.

L’Ittrio, conosciuto da tempo non solo per la raffinatezza tecnica, ma anche per la persistenza operativa, era difficile da rintracciare: “Volevamo che Mstic imparasse il più possibile sui nuovi metodi di Ittrio prima che coprisse le sue tracce. Una delle ironie di questo tipo di attacco informatico era che rappresentava sia un riuscito colpo di spionaggio per un aggressore sia, una volta identificato, una nuova opportunità per un difensore di individuare tattiche, tecniche e procedure che potevano aiutare a identificare e contrastare altri attacchi in corso o futuri”.

Così, il Security Response Center di Microsoft ha attivato rapidamente il piano di risposta agli incidenti. L’Msrc fa parte del Cyber ??Defense Operations Center di Microsoft, il suo team lavora 24 ore su 24, 7 giorni su 7 e può chiamare professionisti della sicurezza, data scientist, ingegneri di prodotto e l’assistenza clienti di tutta l’azienda per rispondere rapidamente alle minacce alla sicurezza: “Una volta che abbiamo iniziato a lavorare con FireEye, è stato chiaro che non si trattava del tipico caso di un aggressore evoluto che irrompeva in poche reti di computer”.

Come aveva agito Ittrio
“Gli aggressori avevano installato un piccolo malware nel codice di aggiornamento di un programma di gestione della rete chiamato Orion, un prodotto di SolarWinds. Il software Orion è stato utilizzato da circa 38mila clienti aziendali in tutto il mondo. Quando i clienti installavano l’aggiornamento sui loroserver locali, veniva installato anche il malware. Come riportato da FireEye, il malware si connetteva a quello che è noto come server di comando e controllo, un server C2 che potrebbe fornire al computer connesso lavori che includevano la possibilità di trasferire file, eseguire comandi, profilare un sistema, riavviare una macchina e disabilitarne i servizi. Ciò significava che gli aggressori avevano improvvisamente una backdoor nella rete di ogni cliente che aveva aggiornato il programma Orion.

Un tipo di attacco che “mette a rischio la catena di fornitura del software in tutta l’economia” e in tutto il mondo e che rendeva alcune domande obbligatorie: quante aziende avevano installato l’aggiornamento di Orion, e quindi il malware, sulle loro reti? E quanto velocemente poteva essere chiusa questa backdoor? Cloud computing

Il cloud di Microsoft non è sicuro: la denuncia di un ex dipendente

di Arturo Di Corinto 27 Agosto 2021

La risposta di Microsoft al cyberattacco
“In Microsoft abbiamo rapidamente mobilitato più di 500 dipendenti per lavorare a tempo pieno su ogni aspetto dell’attacco. Anche altre società tecnologiche sono entrate in azione. Data la potenziale ampiezza dell’incidente, l’Ad di Microsoft, Satya Nadella, ha convocato una riunione ogni sera dei nostri leader della sicurezza più esperti per esaminare il lavoro della giornata, ciò che avevamo appreso e ciò che dovevamo fare dopo”.

In effetti è noto che gli ingegneri di SolarWinds, FireEye e Microsoft hanno immediatamente iniziato a lavorare insieme con il governo. Gli ingegneri di SolarWinds hanno condiviso il codice sorgente per il loro aggiornamento con altri team di sicurezza e sono arrivati a conoscere il codice sorgente del malware stesso. Anche i team del governo degli Stati Uniti sono entrati in azione rapidamente, in particolare presso la National Security Agency e la Cybersecurity and Infrastructure Security Agency del Dipartimento di Sicurezza nazionale.

L’arma cibernetica
Gli aggressori avevano trasformato il codice in un’arma distribuita a livello globale su Internet tramite l’aggiornamento SolarWinds, “ma con il codice sorgente per il malware specifico identificato avevamo una firma, una specie di impronta digitale, che potevamo cercare su computer desktop e server. FireEye ha pubblicato questa firma affinché le organizzazioni di tutto il mondo potessero riconoscerla”.

Microsoft ha successivamente aggiunto questa firma a Windows Defender Antivirus, usato dai clienti per monitorare, identificare e rimuovere malware dalla rete e dai computer della propria organizzazione: “In 48 ore abbiamo creato una mappa mondiale che illuminava ogni luogo in cui il programma Orion di SolarWinds era stato aggiornato con il malware. La mappa ha rivelato l’ampia vulnerabilità in tutto il mondo, e soprattutto negli Stati Uniti”.

E qui torniamo ai libri gialli. I team di FireEye e Microsoft hanno lavorato un po’ come le controparti di Sherlock Holmes del 21esimo Secolo: “Ogni giorno aggiungevano indizi digitali che potevano essere usati per scoprire le tracce di Ittrio. E dopo ogni passo, hanno raccolto sempre più informazioni per scoprire le intenzioni malevole di Ittrio e capire come potevamo contrastarle.”

La porta (nascosta) del castello
Mentre i team di sicurezza studiavano l’infezione, hanno scoperto che il malware nel software Orion inizialmente aveva creato una backdoor nella rete di un’azienda, ma per il resto era rimasto inattivo per due settimane, in modo da passare inosservato. Aveva immagazzinato le informazioni ottenute dall’infezione su un server di comando e controllo ospitato negli Stati Uniti dalla società tecnologica GoDaddy. Dopo sono entrati attraverso la backdoor e hanno installato un codice aggiuntivo sul server bersaglio, aprendo una finestra per connettersi a un secondo server di comando e controllo. Questo secondo server, unico per ogni vittima per evitare il rilevamento, era registrato e ospitato in un secondo data center, sul cloud di Amazon Web Services: “Come ha spiegato John Lambert, Ittrio si è pulito da solo, chiudendo la backdoor a GoDaddy e utilizzando invece la finestra aperta che si collega a un servizio come Aws”.

Da quel punto in poi “abbiamo identificato i clienti colpiti da questi attacchi di seconda fase e i team di ingegneri Microsoft, i nostri cacciatori di sicurezza informatica, hanno lavorato per aiutare i clienti a cercare e chiudere queste finestre”. Mentre i team di sicurezza di FireEye e Microsoft studiavano il codice sorgente condiviso da SolarWinds, hanno scoperto che il codice installato sul server di comando e sotto il controllo iniziale di GoDaddy aveva un kill switch che spegneva automaticamente il malware sul server delle vittime sotto certe condizioni.

Armati di questa conoscenza, i team di risposta agli incidenti hanno lavorato insieme per trasferire il controllo del server C2 da GoDaddy a Microsoft, attivare il kill switch per disattivare eventuali azioni in corso del malware e identificare eventuali attaccanti, impedendo agli aggressori di utilizzare il loro malware per accedere a reti aggiuntive.

Ma Ittrio era già entrato in più reti e aveva aperto nuove finestre, che bisognava chiudere. Come gli intrusi all’interno di una casa, hanno spento l’equivalente di qualsiasi telecamera di sicurezza e in alcuni casi il software antivirus per trovare gli account degli amministratori di rete con privilegi elevati e le password per questi account, che sfortunatamente alcuni clienti avevano memorizzato in modo non sicuro e facile da trovare per gli aggressori e accedere a mail, documenti e altre risorse digitali come il codice sorgente o gli strumenti utilizzati dagli esperti di sicurezza per identificare e combattere potenziali intrusioni di rete. Per alcune organizzazioni, questo includeva e-mail e documenti nel servizio cloud Office 365 di Microsoft: “Una volta che Mstic ha identificato le tattiche, le tecniche e le procedure utilizzate dagli aggressori durante l’accesso a Office 365, i nostri cacciatori di minacce hanno potuto scansionare i servizi cloud per identificare i modelli rivelatori che un cliente era stato compromesso. Utilizzando questo metodo, abbiamo identificato 60 clienti vittime degli attacchi”.

Informati ciascuno di questi 60 clienti, increduli e rabbiosi per l’accaduto, è stato notificato che Microsoft era stata un obiettivo. Il lavoro svolto dai team di sicurezza di Microsoft ha rivelato una presenza limitata di codice SolarWinds dannoso sulla rete interna, “ma non abbiamo trovato prove di accesso ai servizi di produzione o ai dati dei clienti. Inoltre, l’indagine non ha trovato indicazioni che i nostri sistemi siano stati utilizzati per attaccare altri. In definitiva, l’implementazione delle migliori pratiche di sicurezza informatica aveva limitato l’impatto, ma l’intrusione faceva comunque riflettere.”

Che cosa abbiamo imparato
“Per molti aspetti, l’attacco di Ittrio ha rappresentato una delle intrusioni informatiche più raffinate che avessimo mai visto”: gli aggressori in molti casi hanno scritto codice personalizzato per una rete specifica e hanno fatto di tutto per coprire le loro tracce. Come hanno notato gli esperti, il lavoro rifletteva un alto livello di competenza tecnica ed esecuzione: “Ittrio aveva schierato nutrite squadre di ingegneri che agivano con pazienza e perseveranza”.

In aggiunta gli aggressori hanno usato astutamente i data center americani per nascondere gli attacchi. Poiché la Nsa ha l’autorità di scansionare solo le attività straniere, ma non i computer negli stessi Stati Uniti, “abbiamo ipotizzato che Ittrio utilizzasse server con sede negli Stati Uniti presso GoDaddy, Aws e altri fornitori statunitensi più piccoli per ospitare le operazioni di comando e controllo ed eludere il rilevamento”.

Nel complesso, tutto ciò illustra il grado in cui le minacce informatiche si sono intensificate in tutto il mondo. In definitiva, il nuovo attacco ha illustrato pubblicamente cosa si può ottenere se un governo costruisce una grande organizzazione che attrae talenti tecnici di alto livello e utilizza tale capacità per lanciare un attacco informatico prolungato. E ha mostrato quanto la tecnologia abbia cambiato non solo le relazioni tra le nazioni, ma anche la natura delle tensioni (e persino delle ostilità) che questo può creare.

Un futuro digitale incerto
Alcune domande rimangono: che cosa ci ha rivelato l’attacco sullo stato globale della protezione cibernetica? In che modo il settore tecnologico e il governo potrebbero proteggere meglio il Paese e il mondo? Nel febbraio 2021, i comitati del Congresso hanno convocato testimoni a Washington per rispondere a queste e altre domande simili: “Una prima conclusione è che il mondo ha bisogno di modernizzare l’infrastruttura tecnologica e ampliare l’uso delle migliori pratiche di sicurezza informatica”. Ciò include il lavoro delle aziende che creano software per rafforzare meglio il processo di costruzione del software e ogni parte della catena di fornitura, per aiutare a prevenire l’inserimento di malware in un aggiornamento software.

Guardando al futuro, è evidente che il prossimo decennio sarà definito in parte da questioni come le norme internazionali per i governi e misure pratiche per rafforzare le nostre difese di sicurezza informatica. Il software che può essere utilizzato per lo spionaggio può essere utilizzato anche come ransomware o come arma per disabilitare la rete elettrica o l’approvvigionamento idrico di una nazione. In definitiva, è più facile inviare codice in battaglia rispetto a truppe e missili: “Viviamo in un mondo rivoluzionato dalla tecnologia e dobbiamo essere pronti ad affrontare le conseguenze per il nuovo mondo che abbiamo creato.”

L’articolo è un adattamento dall’edizione paperback americana di Tools & Weapons: The Promise and Peril of the Digital Age, disponibile dal 7 settembre 2021 per i New York Times bestseller