Questo attacco ha sottolineato l'importanza, sia per le aziende che per la Pubblica Amministrazione, di avere sistemi di monitoraggio IT adeguati per affrontare i rischi a cui possono essere esposti senza le dovute misure di monitoraggio, controllo e risoluzione. È notevole notare che la vicenda di SolarWinds ha messo in luce delle precedenti ingenuità che sono difficili da credere, se quanto riportato dalla Repubblica è vero. Pare che nel 2019 la password del server dedicato agli aggiornamenti della società texana fosse "solarwinds123". Indipendentemente dalla veridicità di questa informazione, resta il fatto che gli aggiornamenti sono stati utilizzati come veicolo per la campagna malevola presumibilmente orchestrata dal gruppo hacker russo APT29, noto anche come "Cozy Bear".
La dinamica dietro il peggiore attacco informatico del 2020
Nonostante molti titoli abbiano affermato che "Cozy Bear ha compromesso la piattaforma Orion di SolarWinds", non ci sono mai state certezze assolute sull'identità degli attaccanti. Tuttavia, la modalità dell'attacco, sfruttando una backdoor chiamata "Sunburst" o "Solorigate", è stata confermata. Inoltre, è stata individuata la vulnerabilità CVE-2020-10148 nella piattaforma SolarWinds Orion, che ha permesso all'aggiornamento periodico di diventare il vettore per infettare un vasto numero dei oltre 300.000 clienti che utilizzano i prodotti dell'azienda software statunitense. Orion è il principale prodotto dell'azienda e conta tra i suoi utenti aziende di primo piano a livello internazionale, come Microsoft e NASA, per citarne solo due. Anche in Italia, aziende come Telecom Italia ne fanno uso, insieme ad altre. Pertanto, simile all'azione intrapresa oltreoceano dalla CISA (Cybersecurity & Infrastructure Security Agency), che ha emesso una direttiva di emergenza per mitigare gli effetti del codice dannoso su reti e infrastrutture, anche nel nostro paese è stato convocato il Nucleo per la Sicurezza Cibernetica (NSC) allo stesso scopo, per contrastare le nefaste conseguenze del SolarWinds Attack.
Le caratteristiche dell'attacco alla piattaforma SolarWinds Orion
L'aspetto distintivo dell'attacco informatico alla piattaforma SolarWinds Orion risiede nel fatto che è stato un attacco alla catena di distribuzione. Questa definizione include oggi diversi tipi di attacco che sfruttano le vulnerabilità di una delle componenti della catena del valore. È un riflesso dei tempi attuali, poiché l'integrazione tra fornitori diversi è diventata la norma in molte soluzioni IT. La seconda caratteristica che rende il SolarWinds Attack un caso particolare è che l'attacco ha colpito proprio uno strumento che dovrebbe contribuire a migliorare la sicurezza aziendale, ovvero gli strumenti di monitoraggio IT e di gestione della rete. Infine, il terzo elemento su cui bisogna concentrarsi è che la strategia di penetrazione ha sfruttato il normale ciclo di aggiornamento, che di solito è utilizzato dalle organizzazioni per mantenere la sicurezza. È importante notare che il codice dannoso è stato distribuito attraverso il dominio ufficiale di SolarWinds.
L'impatto dell’Attacco
In sintesi, il SolarWinds Attack è stato uno degli eventi più significativi nel campo della sicurezza informatica, evidenziando la necessità di rafforzare le misure di difesa della catena di distribuzione e di promuovere la cooperazione internazionale contro le minacce informatiche. L'impatto del SolarWinds Attack è stato devastante e ha avuto diverse conseguenze, tra cui:
- Gravità dell'attacco: gli hacker hanno ottenuto accesso ai sistemi informativi di organizzazioni strategiche, compresi enti governativi e operatori di settori critici.- Furto di dati sensibili: data l'ampia gamma di aziende coinvolte, gli aggressori hanno potuto rubare grandi quantità di informazioni riservate.- Estensione della minaccia: a causa della diffusa adozione dei prodotti SolarWinds a livello globale, l'attacco ha coinvolto un'ampia gamma di organizzazioni in tutto il mondo.- Preoccupazioni per la sicurezza nazionale: poiché le istituzioni governative erano tra le vittime, sono sorte preoccupazioni sulla sicurezza nazionale e sulla capacità difensiva del paese.
Gli accorgimenti che le aziende dovrebbero adottare per evitare attacchi informatici
Alla luce delle gravi conseguenze del SolarWinds Attack, emergono alcune precauzioni che le aziende dovrebbero adottare per evitare o almeno ridurre al minimo i rischi derivanti da attacchi informatici simili a quelli che hanno colpito SolarWinds Orion. Innanzitutto, le aziende devono identificare partner con competenze ed esperienza nelle soluzioni di monitoraggio IT più affidabili. Insieme a questi partner, che spesso sono integratori di sistemi con esperienza comprovata in questo settore, è importante individuare sistemi e piattaforme di monitoraggio che siano particolarmente resilienti. Tuttavia, poiché questo non è sufficiente, come dimostra il caso di SolarWinds Orion, è essenziale anche considerare la metodologia adottata da questi partner nella gestione dei processi di aggiornamento e nella gestione dell'obsolescenza di tutte le componenti aziendali. È importante tenere presente che è stato proprio un normale aggiornamento che ha innescato l'attacco SolarWinds.
La dinamica dietro il peggiore attacco informatico del 2020
Nonostante molti titoli abbiano affermato che "Cozy Bear ha compromesso la piattaforma Orion di SolarWinds", non ci sono mai state certezze assolute sull'identità degli attaccanti. Tuttavia, la modalità dell'attacco, sfruttando una backdoor chiamata "Sunburst" o "Solorigate", è stata confermata. Inoltre, è stata individuata la vulnerabilità CVE-2020-10148 nella piattaforma SolarWinds Orion, che ha permesso all'aggiornamento periodico di diventare il vettore per infettare un vasto numero dei oltre 300.000 clienti che utilizzano i prodotti dell'azienda software statunitense. Orion è il principale prodotto dell'azienda e conta tra i suoi utenti aziende di primo piano a livello internazionale, come Microsoft e NASA, per citarne solo due. Anche in Italia, aziende come Telecom Italia ne fanno uso, insieme ad altre. Pertanto, simile all'azione intrapresa oltreoceano dalla CISA (Cybersecurity & Infrastructure Security Agency), che ha emesso una direttiva di emergenza per mitigare gli effetti del codice dannoso su reti e infrastrutture, anche nel nostro paese è stato convocato il Nucleo per la Sicurezza Cibernetica (NSC) allo stesso scopo, per contrastare le nefaste conseguenze del SolarWinds Attack.
Le caratteristiche dell'attacco alla piattaforma SolarWinds Orion
L'aspetto distintivo dell'attacco informatico alla piattaforma SolarWinds Orion risiede nel fatto che è stato un attacco alla catena di distribuzione. Questa definizione include oggi diversi tipi di attacco che sfruttano le vulnerabilità di una delle componenti della catena del valore. È un riflesso dei tempi attuali, poiché l'integrazione tra fornitori diversi è diventata la norma in molte soluzioni IT. La seconda caratteristica che rende il SolarWinds Attack un caso particolare è che l'attacco ha colpito proprio uno strumento che dovrebbe contribuire a migliorare la sicurezza aziendale, ovvero gli strumenti di monitoraggio IT e di gestione della rete. Infine, il terzo elemento su cui bisogna concentrarsi è che la strategia di penetrazione ha sfruttato il normale ciclo di aggiornamento, che di solito è utilizzato dalle organizzazioni per mantenere la sicurezza. È importante notare che il codice dannoso è stato distribuito attraverso il dominio ufficiale di SolarWinds.
L'impatto dell’Attacco
In sintesi, il SolarWinds Attack è stato uno degli eventi più significativi nel campo della sicurezza informatica, evidenziando la necessità di rafforzare le misure di difesa della catena di distribuzione e di promuovere la cooperazione internazionale contro le minacce informatiche. L'impatto del SolarWinds Attack è stato devastante e ha avuto diverse conseguenze, tra cui:
- Gravità dell'attacco: gli hacker hanno ottenuto accesso ai sistemi informativi di organizzazioni strategiche, compresi enti governativi e operatori di settori critici.- Furto di dati sensibili: data l'ampia gamma di aziende coinvolte, gli aggressori hanno potuto rubare grandi quantità di informazioni riservate.- Estensione della minaccia: a causa della diffusa adozione dei prodotti SolarWinds a livello globale, l'attacco ha coinvolto un'ampia gamma di organizzazioni in tutto il mondo.- Preoccupazioni per la sicurezza nazionale: poiché le istituzioni governative erano tra le vittime, sono sorte preoccupazioni sulla sicurezza nazionale e sulla capacità difensiva del paese.
Gli accorgimenti che le aziende dovrebbero adottare per evitare attacchi informatici
Alla luce delle gravi conseguenze del SolarWinds Attack, emergono alcune precauzioni che le aziende dovrebbero adottare per evitare o almeno ridurre al minimo i rischi derivanti da attacchi informatici simili a quelli che hanno colpito SolarWinds Orion. Innanzitutto, le aziende devono identificare partner con competenze ed esperienza nelle soluzioni di monitoraggio IT più affidabili. Insieme a questi partner, che spesso sono integratori di sistemi con esperienza comprovata in questo settore, è importante individuare sistemi e piattaforme di monitoraggio che siano particolarmente resilienti. Tuttavia, poiché questo non è sufficiente, come dimostra il caso di SolarWinds Orion, è essenziale anche considerare la metodologia adottata da questi partner nella gestione dei processi di aggiornamento e nella gestione dell'obsolescenza di tutte le componenti aziendali. È importante tenere presente che è stato proprio un normale aggiornamento che ha innescato l'attacco SolarWinds.