L’ANNUS HORRIBILIS TERMINA CON LA SCOPERTA DI UNA DELLE OPERAZIONI DI CYBER SPIONAGGIO PIÙ SPREGIUDICATE DELLA STORIA
Tra qualche anno, quando l’attuale terribile pandemia sarà finalmente sotto controllo, il 2020 non sarà ricordato soltanto per l’esplosione dell’infezione da COVID-19 e per le sue tremende conseguenze, bensì probabilmente rappresenterà anche una pietra miliare per gli studiosi e per i professionisti (nonché per i curiosi come me) della dimensione cyber, a seguito di una vicenda che sta assumendo i contorni di una delle più spregiudicate spy-story di successo di tutti i tempi. Il riferimento è all’attacco cyber subito dalla società informatica statunitense SolarWinds, i cui prodotti, diffusi a livello globale, sono stati impiegati quali “cavalli di troia” per penetrare nelle reti e nei sistemi di aziende ed enti governativi di mezzo mondo, i veri obiettivi dell’attività di spionaggio. In gergo, questa tipologia di attacco viene denominata “supply chain cyber attack” e, in realtà, dietro questi termini altisonanti e apparentemente complessi, si celano declinazioni moderne di tecniche di spionaggio che esistono da molto tempo: la sicurezza dell’obiettivo viene compromessa indirettamente, attaccando la relativa “catena logistica”, ossia un bene o un servizio fornito legittimamente da una terza parte (tipicamente un’azienda). Nell’ambito cyber, si tratta di beni o servizi informatici di cui ormai nessuna azienda o ente governativo può fare a meno per svolgere i propri compiti. Un esempio eclatante di questo tipo di cyber attacco è l’operazione che la National Security Agency, secondo l’ex collaboratore Edward Snowden, avrebbe posto in atto per anni facendo in modo che venissero distribuiti in commercio apparati di rete prodotti da un’azienda leader a livello mondiale, appositamente modificati dall’Agenzia, al fine di poter intercettare e ritrasmettere tutte le comunicazioni trattate da tali sistemi. Oppure, l’incredibile vicenda di Crypto-AG (v. articolo), azienda con sede in Svizzera che ha prodotto e distribuito macchine cifranti a Paesi sia appartenenti alla NATO che al di fuori dell’Alleanza (per un totale di 130 governi!), anch’esse modificate allo scopo di consentire all’intelligence USA e tedesca di intercettare le comunicazioni classificate di Paesi “amici” e di avversari per oltre 50 anni! Infine, un altro esempio di supply chain cyber attack è costituito da NotPetya, un malware devastante, “inoculato” nel 2017 nell’aggiornamento di un software di gestione aziendale molto diffuso in Ucraina (v. articolo). Al riguardo, se è vero che, verosimilmente, non sarà mai possibile quantificare il reale impatto di queste operazioni, è certo che, considerati l’alto numero di obiettivi coinvolti e la durata dell’attività offensiva compiuta, in tutti i casi si tratta di una mole di informazioni intercettate o distrutta immensa, con danni gravissimi per la sicurezza delle vittime. Lo stesso scenario sta emergendo anche per l’attacco a SolarWind mano a mano che stanno filtrando i dettagli (ovviamente quelli che si vogliono far sapere) delle indagini in corso. Potrebbe trattarsi dell’equivalente cyber dell’attacco alla base navale di Pearl Harbor del 1941, ossia di un atto ostile così vasto e dalle conseguenze così gravi, da implicare una risposta senza precedenti, magari che non si sviluppi soltanto nella dimensione cyber? Cosa succederà adesso?
Procediamo con ordine. Pochi giorni fa la società FireEye, azienda leader nel campo della cyber security, ha reso noto di essere stata vittima di un grave attacco cyber che, tra l’altro, avrebbe permesso l’esfiltrazione di alcuni software sviluppati per effettuare i test di sicurezza per conto dei propri clienti (v. articolo). In particolare, si è appreso che tale attacco è stato perpetrato sfruttando un aggiornamento del sistema Onion di SolarWinds compromesso ad arte, ossia apparentemente “genuino” ma, in realtà, modificato per consentire di penetrare nei sistemi e nelle reti di FireEye. Questo particolare dell’attacco, una volta noto, ha conseguentemente allargato l’orizzonte delle indagini anche a tutte le altre aziende ed enti statali che si avvalgono degli stessi servizi di SolarWinds, obiettivi che potrebbero essere stati colpiti fin dallo scorso marzo, periodo a cui risale la distribuzione dell’aggiornamento fraudolento in questione. La lista delle vittime si arricchisce di ora in ora sulla base delle analisi in corso sulle prove raccolte e comprende ormai migliaia di soggetti pubblici e privati distribuiti a livello globale (si parla di oltre 17.000 vittime), nella maggior parte dei casi comunque concentrati negli USA. Pertanto cercare di fornire un elenco aggiornato lascia il tempo che trova. Tuttavia, senza paura di essere smentiti, è possibile affermare che in molti casi si tratta di enti governativi afferenti a settori anche cruciali (come, ad esempio, il Dipartimento per l’Energia USA) e di aziende di primo piano su scala mondiale che, a loro volta, forniscono prodotti e servizi. In particolare, una volta aggiornati i propri sistemi Onion con il software modificato, l’attaccante si è potuto introdurre nelle reti degli obiettivi e in molti casi ne ha preso il controllo, lanciando ulteriori attacchi sfruttando la “breccia” aperta nei sistemi difensivi altrui. Allo stato attuale non si ha ancora contezza né dei dati trafugati in tal modo né delle ulteriori conseguenze degli attacchi, in quanto sono state impiegate tecniche particolarmente sofisticate per sviare le indagini (in gergo, per “offuscare” gli indizi). Questo particolare, unitamente alle tecniche di programmazione impiegate per far apparire come originale l’aggiornamento di SolarWinds compromesso, intanto battezzato SUNBURST, sono ritenute essere indici di capacità di altissimo livello possedute da parte dell’attaccante. Già, chi c’è dietro tale ardita operazione? Come di consueto, le indagini non consentono di attribuire con certezza la paternità dell’azione di spionaggio, tuttavia si tratta certamente di un’organizzazione in possesso di ingentissime risorse (personale tecnico esperto, finanziamenti, personale addetto alla pianificazione, infrastrutture, ecc.) appartenente a un governo o sponsorizzata necessariamente da una nazione. Oppure si potrebbe trattare di un gruppo criminale che offre servizi al miglior offerente, divenuto il leader del mercato nero delle informazioni nel dark web, il “lato oscuro” di Internet. Chi può dirlo? Nessuno con assoluta certezza. Qualche analista ed esponenti dell’attuale Amministrazione USA ritengono che sia implicato il gruppo di hacker noto con i nomi in codice APT29, Cozy Bear, CozyCar, CozyDuke o Office Monkeys, che sarebbe legato al Služba Vnešnej Razvedki (SVR), il servizio estero di intelligence russo (che il 19 dicembre ha festeggiato i suoi primi 100 anni di storia) e che vanterebbe un curriculum di sofisticate operazioni cyber particolarmente corposo. Tuttavia, il governo della Federazione Russa ha prontamente negato qualsiasi coinvolgimento. Le indagini sono appena cominciate e, come accade quasi sempre in questi casi, difficilmente saranno raccolte prove sufficienti a individuare con ragionevole certezza i colpevoli e a punirli penalmente. Sarà anche molto difficile quantificare i danni subiti dalle vittime e sapere che fine hanno fatto le informazioni sottratte, o meglio “copiate”, senza che nessuno se ne accorgesse. In definitiva, non è possibile ricostruire completamente tutte le operazioni che ha compiuto l’attaccante nell’arco dei circa otto mesi di “permanenza” nei sistemi e nelle reti delle vittime. Questo scenario ha portato alcuni osservatori a trarre un’inquietante conclusione: dovremo fare i conti con le conseguenze di questo attacco per molti mesi o anni, in quanto l’attaccante potrebbe aver disseminato le reti e i sistemi target di altri malware. Infatti, se è vero che si tratta di un gruppo particolarmente esperto ed efficiente, gli analisti fanno notare che sicuramente è stata pianificata in anticipo l’eventualità che l’operazione venisse scoperta e, pertanto, ritengono che siano state predisposte tutte le misure volte a continuare la campagna di spionaggio, anticipando le contromisure delle vittime. Ultimo aspetto della vicenda, forse solo apparentemente secondario, è quello finanziario: SolarWinds è una società quotata in borsa e un attacco del genere potrebbe risultare fatale per la sua reputazione e, quindi, per il suo futuro. Inoltre, pare che ci sia chi è riuscito a lucrare sopra tutta la questione, compiendo movimenti di mercato più che sospetti.
In conclusione, puntualmente, ogni anno in questo periodo ci ritroviamo su queste pagine a fare consuntivi sulla cyber security, da cui scaturiscono scenari dalle tinte sempre più fosche. Ogni anno “l’asticella” viene spostata sempre più in alto, avvicinandosi pericolosamente alla soglia dello scontro vero e proprio tra Stati e i limiti tecnologici vengono immancabilmente abbattuti, superando spesso la stessa immaginazione. In tale contesto, se da un lato la società diventa sempre più dipendente dalla dimensione cyber, dall’altro questa è ormai diventata un terreno di caccia totalmente privo di regole sia di governi che di gruppi criminali senza scrupoli. La preda di questa caccia senza quartiere è l’informazione che, in un mondo sempre più interconnesso, costituisce la chiave di volta per dominarlo dal punto di vista militare, finanziario, economico, scientifico, tecnologico o politico. Chi non l’ha ancora capito o chi non vuole accettare questa realtà, è destinato a soccombere.
Buon 2021!
Ciro Metaggiata
Foto NASA https://solarsystem.nasa.gov/solar-system/
Principali fonti:
https://www.ncsc.gov.uk/collection/supply-chain-security/supply-chain-attack-examples
https://www.infoworld.com/article/2608141/snowden--the-nsa-planted-backdoors-in-cisco-products.html
https://www.govinfosecurity.com/solarwinds-supply-chain-hit-victims-include-cisco-intel-a-15619
https://krebsonsecurity.com/2020/12/solarwinds-hack-could-affect-18k-customers/
https://www.wired.com/story/cozy-bear-dukes-russian-hackers-new-tricks/
https://blogs.microsoft.com/on-the-issues/2020/12/17/cyberattacks-cybersecurity-solarwinds-fireeye/
https://www.ilpost.it/2020/12/18/attacco-hacker-stati-uniti/amp/