Di Ginevra Lestingi
Microsoft Corp ha dichiarato di aver trovato un software dannoso nei suoi sistemi correlato a una massiccia campagna di hacking rivelata dai funzionari statunitensi questa settimana, aggiungendo un obiettivo tecnologico di primo piano a un elenco crescente di agenzie governative attaccate.
La società di Redmond, Washington, è un utente di Orion, il software di gestione della rete ampiamente distribuito da SolarWinds Corp che è stato utilizzato nei sospetti attacchi russi a vitali agenzie statunitensi e altre.
Microsoft ha anche utilizzato i propri prodotti per attaccare le vittime, hanno detto persone che hanno familiarità con la questione. Giovedì la National Security Agency degli Stati Uniti ha emesso un raro “avviso di sicurezza informatica” che descrive in dettaglio come alcuni servizi cloud di Microsoft Azure potrebbero essere stati compromessi dagli hacker e ha chiesto agli utenti di bloccare i loro sistemi.
“Come altri clienti SolarWinds, abbiamo cercato attivamente indicatori di questo attore e possiamo confermare di aver rilevato file binari dannosi di Solar Winds nel nostro ambiente, che abbiamo isolato e rimosso”, ha detto un portavoce di Microsoft, aggiungendo che la società non aveva trovato “indicazioni che i nostri sistemi sono stati utilizzati per attaccare altri”.
Una delle persone che hanno familiarità con la follia degli hacker ha detto che gli hacker hanno utilizzato le offerte cloud di Microsoft evitando l’infrastruttura aziendale di Microsoft. Microsoft non ha risposto immediatamente alle domande sulla tecnica.
Tuttavia, un’altra persona che ha familiarità con la questione ha detto che il Department of Homeland Security (DHS) non crede che Microsoft sia stata una strada chiave per nuovi attacchi.
Sia Microsoft che il DHS, che giovedì scorso ha affermato che gli hacker hanno utilizzato più metodi di accesso, stanno continuando a indagare. L’FBI e altre agenzie hanno programmato un briefing riservato per i membri del Congresso venerdì.
Il Dipartimento dell’Energia degli Stati Uniti ha anche affermato di avere prove che gli hacker hanno avuto accesso alle sue reti come parte della campagna. Politico aveva precedentemente riferito che la National Nuclear Security Administration (NNSA), che gestisce le scorte di armi nucleari del paese, era stata presa di mira.
Il DHS ha affermato in un bollettino giovedì che gli hacker hanno utilizzato altre tecniche oltre a corrompere gli aggiornamenti del software di gestione della rete di SolarWinds, utilizzato da centinaia di migliaia di aziende e agenzie governative.
CISA ha esortato gli investigatori a non dare per scontato che le loro organizzazioni fossero al sicuro se non usassero le versioni recenti del software SolarWinds, sottolineando anche che gli hacker non hanno sfruttato tutte le reti a cui hanno avuto accesso.
Il CISA ha detto che stava continuando ad analizzare le altre strade utilizzate dagli aggressori. Finora, gli hacker sono noti per aver monitorato almeno la posta elettronica o altri dati all’interno dei dipartimenti della difesa, dello stato, del tesoro, della sicurezza interna e del commercio degli Stati Uniti.
Fino a 18.000 clienti Orion hanno scaricato gli aggiornamenti che contenevano una backdoor, ha affermato SolarWinds. Da quando la campagna è stata scoperta, le società di software hanno interrotto la comunicazione da quelle backdoor ai computer gestiti dagli hacker.
Ma gli aggressori potrebbero aver installato ulteriori modi per mantenere l’accesso, ha affermato CISA, in quello che alcuni hanno definito il più grande hack in un decennio.
Il Dipartimento di Giustizia, FBI e Dipartimento della Difesa, tra gli altri, hanno spostato le comunicazioni di routine su reti classificate che si ritiene non siano state violate, secondo due persone informate sulle misure. Stanno assumendo che sia stato effettuato l’accesso alle reti non classificate, hanno detto le persone.
CISA e società private tra cui FireEye Inc, che è stata la prima a scoprire e rivelare di essere stata violata, hanno rilasciato una serie di indizi che le organizzazioni devono cercare per vedere se sono state colpite.
Ma gli aggressori sono molto attenti e hanno cancellato registri, impronte elettroniche o file a cui hanno avuto accesso, hanno detto gli esperti di sicurezza. Ciò rende difficile sapere cosa è stato preso.
Alcune grandi aziende hanno affermato di non avere “alcuna prova” di essere state penetrate, ma in alcuni casi ciò potrebbe essere dovuto solo al fatto che le prove sono state rimosse.
Nella maggior parte delle reti, gli aggressori sarebbero anche stati in grado di creare dati falsi, ma finora sembra che fossero interessati solo a ottenere dati reali, hanno detto le persone che monitoravano le sonde.
Nel frattempo, i membri del Congresso chiedono maggiori informazioni su cosa potrebbe essere stato preso e come, insieme a chi c’era dietro. La Commissione per la sicurezza interna e la commissione di sorveglianza della Camera hanno annunciato giovedì un’indagine, mentre i senatori premevano per sapere se le informazioni fiscali individuali erano state ottenute.
In una dichiarazione, il presidente eletto Joe Biden ha affermato che “eleverà la sicurezza informatica a un imperativo in tutto il governo” e “interromperà e scoraggerà i nostri avversari” dall’intraprendere tali attacchi importanti.