L’exploit di “Sunburst” di SolarWinds e l’importanza di conoscerlo. L’analisi di David Gubiani, Check Point Technologies.
L’espressione “senza precedenti” è stata usata molto nell’ultimo anno, e a ragione, visto l’enorme impatto del Covid-19. Oltre alla pandemia globale, c’è stata la turbolenta situazione nel dopo elezioni degli Stati Uniti e l’uscita della Gran Bretagna dall’UE. E per aggiungere ulteriore scompiglio, il 2020 ha visto anche la scoperta di un attacco informatico che è stato davvero senza precedenti per la sua sofisticazione e portata.
L’8 dicembre 2020, l’azienda di sicurezza informatica FireEye ha rivelato alla stampa di essere stata violata da un gruppo APT. E di aver subito il furto di alcuni dei propri strumenti di valutazione della sicurezza informatica “white hat”. Nei giorni successivi, Microsoft, SolarWinds e persino il governo degli Stati Uniti hanno rivelato di aver subito violazioni che sono state ricondotte a un hack al software di gestione IT di SolarWinds.
Check Point Sunburst SolarWinds
Il gruppo APT aveva infatti aggiunto una backdoor nota come ‘Sunburst‘ al sistema SolarWinds Orion che è stato poi distribuito ai clienti SolarWinds a livello globale, nascosto in quello che sembrava essere un aggiornamento di routine del software. Questa backdoor ha dato al gruppo APT l’accesso a migliaia di reti di clienti SolarWinds, permettendo loro di esplorare quelle reti senza essere visti dai radar di sicurezza delle aziende.
Cooperando pienamente, SolarWinds ha condiviso documenti che rivelano che più di 18.000 aziende clienti avevano scaricato l’aggiornamento compromesso del software Orion. Tra cui centinaia di aziende Fortune 500. L’hack in sé ha avuto un impatto su migliaia di aziende negli Stati Uniti, Europa, Asia e Medio Oriente. I responsabili dell’attacco sembravano più interessati a prendere di mira le principali aziende tecnologiche, agenzie governative e società di consulenza. Tra le vittime c’erano diversi dipartimenti di stato degli Stati Uniti, dalla Sicurezza Interna al Tesoro, e più di 100 aziende private tra cui Intel, Cisco, Microsoft e Belkin.
Sunburst – Il problema hacker
Recentemente è emerso anche che il gruppo ATP responsabile ha coinvolto hacker russi che hanno sferrato l’attacco dall’interno dei confini degli Stati Uniti. Cos’ da coprire le tracce e complicare gli sforzi per indagare sulle loro attività.
In una conferenza stampa, più di 2 mesi dopo l’incidente, il vice consigliere per la sicurezza nazionale degli Stati Uniti ha detto che gli investigatori erano ancora nelle “fasi iniziali” della comprensione della portata e della scala dell’attacco. Anche il presidente di Microsoft, Brad Smith, ha definito l’hack “il più grande e sofisticato attacco informatico di sempre”.
Comprendere l’attacco
Quindi, come è stato costruito ed eseguito l’attacco dagli hacker? Quello che sappiamo finora mostra che ha implicato capacità informatiche di alto livello. E che deve aver richiesto mesi, se non anni, per essere realizzato. Come le reti di SolarWinds siano state violate per la prima volta è ancora oggetto di indagine. Ma la teoria prevalente è che la fase iniziale abbia coinvolto l’hack degli account Office 365 dell’azienda. Questo ha permesso agli aggressori di ottenere l’accesso alla rete interna di SolarWinds. Per poi spostarsi lateralmente nel cloud per rubare file sensibili e credenziali.
Attacco alla supply chian
Potrebbero quindi aver falsificato un token per un account con privilegi di alto livello nell’Azure Active Directory e aver ottenuto i privilegi di amministratore utilizzando le credenziali rubate. Ciò che rende l’hackeraggio di SolarWinds particolarmente pericoloso è il fatto che abbia sfruttato il cloud per orchestrare un attacco alla supply chain. L’accesso a questi servizi è stato ottenuto tramite sistemi di autenticazione basati su reti già compromesse. Così, gli aggressori sono stati in grado di violare le difese delle aziende senza sollevare alcun allarme.
Sunburst – L’attuale tendenza di migrazione al cloud e la trasformazione digitale vede innumerevoli aziende adottare un approccio ibrido che combina reti basate sul cloud e on-premise. La violazione di SolarWinds è progettata per sfruttare perfettamente questo vettore ibrido. Questo significa che un numero enorme di aziende a livello globale è potenzialmente vulnerabile. Check Point ha previsto per la prima volta questo tipo di attacchi Gen V multi-vettore, in rapida evoluzione e su larga scala, due anni fa. E questi stanno ora colpendo le aziende a livello globale con una frequenza mai vista prima.
Costruire reti di sicurezza più forti
Gli attacchi alla supply chain come l’exploit di SolarWinds mostrano quanto insidiose e dannose possano essere queste minacce ‘unknown unknown’.
Per prevenire attacchi futuri, le aziende devono assicurarsi di impiegare le pratiche di sicurezza di base per la protezione degli endpoint e della posta. Per ridurre il rischio che i malintenzionati si infiltrino nelle reti e si spostino lateralmente all’interno dell’azienda per accedere agli asset critici.
Le aziende hanno anche bisogno di implementare una difesa in profondità. Assicurandosi che più protezioni operino in armonia per identificare e prevenire diversi vettori di attacco in tempo reale. Così come gli exploit degli elementi vulnerabili.
È fondamentale che le aziende abbiano una visibilità olistica e protezioni automatizzate in atto in tutto il proprio ambiente, comprese le reti on-premise, le SDN e le implementazioni nel cloud pubblico. Perché il vecchio detto è ancora assolutamente valido: la forza di una catena dipende dal suo anello più debole. Se le aziende non possono identificare quando un anello debole viene preso di mira, allora rischiano di cadere vittime di un attacco.