Atlantic.Net fornisce questo avviso di sicurezza come notizia; vogliamo rassicurare i nostri clienti sul fatto che Atlantic.Net non utilizza alcun prodotto SolarWinds internamente o in nessuna delle nostre offerte di servizi.
Aziende, organizzazioni e istituzioni governative stanno vacillando per le ricadute dell'hacking di SolarWinds. La storia di questa violazione della sicurezza di vasta portata è scoppiata intorno al 14 dicembre 2020 e anche ora non conosciamo l'impatto completo dell'incidente. Ogni giorno apprendiamo di più sulla portata di questo attacco informatico alla catena di approvvigionamento senza precedenti.
Quello che sappiamo è che a marzo 2020, gli hacker hanno bloccato l'infrastruttura informatica di SolarWinds e hanno ottenuto il controllo dei server di gestione dei contenuti di SolarWinds. Nell'aprile 2020, i malintenzionati hanno incorporato malware sofisticati all'interno di aggiornamenti SolarWinds "autentici" con firma digitale.
Gli aggiornamenti interessati erano gli aggiornamenti automatici che i computer client cercavano durante il download di patch di sicurezza e hotfix per le applicazioni Orion di SolarWinds. Questa pratica di aggiornamento software ampiamente affidabile è utilizzata da innumerevoli aziende tecnologiche in tutto il mondo.
Per i clienti SolarWinds che hanno scaricato e installato l'aggiornamento avvelenato, gli hacker hanno utilizzato l'aggiornamento compromesso per iniettare un payload di malware chiamato SUNBURST nei server dei clienti compromessi. Apparentemente il malware è rimasto inattivo per circa 2 settimane, probabilmente per eludere il rilevamento, prima di essere attivato da un sito di comando e controllo (C2) utilizzando i sottodomini raccolti dal malware.
Gli esperti di sicurezza ritengono che il malware sia rimasto inattivo da aprile a luglio 2020, nascondendosi in bella vista, e molti ritengono che questo periodo sia stato utilizzato per la ricognizione degli obiettivi da parte degli attori delle minacce per identificare gli obiettivi di valore più alto. Sebbene non sappiamo quali dati siano stati compromessi, sappiamo che è probabile che i dati di Office 365 siano stati violati, potenzialmente da OneDrive, documenti Word, siti di SharePoint e così via.
L'elenco delle vittime di alto profilo cresce ogni giorno. È noto che alcuni dei più grandi nomi della tecnologia e del governo sono stati violati. Molti esperti di sicurezza ipotizzano che l'attacco sia stato orchestrato dalla Russia, un punto di vista supportato da una dichiarazione congiunta rilasciata da FBI, CISA, ODNI e NSA in cui si afferma che i cattivi attori erano probabilmente russi.
La CISA era così preoccupata per la violazione che il 14 dicembre ha ordinato la chiusura e la disconnessione dalla rete di tutti i sistemi governativi non militari su cui era in esecuzione il software SolarWinds Orion.
Che cos'è un attacco alla catena di approvvigionamento?
Un attacco a catena di rifornimento è un incidente di sicurezza che si verifica quando un attore malintenzionato si infiltra nel sistema di un bersaglio sfruttando un partner esterno o un fornitore di servizi per ottenere l'accesso non autorizzato ai sistemi e ai file di dati del bersaglio.
Le aziende globali sono più connesse ora che mai nella storia. Il cloud computing e Internet hanno fornito gli strumenti per consentire alle aziende di condividere rapidamente grandi quantità di dati aziendali riservati. Come prassi normale, le aziende acquistano software e hardware l'una dall'altra per migliorare le proprie offerte ai clienti. In questo attacco alla catena di approvvigionamento, aziende, organizzazioni globali e istituzioni governative statunitensi hanno acquistato il sistema di gestione della rete SolarWinds Orion per ottenere informazioni dettagliate sulle loro reti.
Le vere vittime dell'hacking non sono SolarWinds, ma i 18.000 clienti che non si sarebbero mai aspettati di essere vittime di un hack sofisticato su cui non avevano alcun controllo, un hack che potrebbe rivelarsi potenzialmente il più grande attacco informatico della storia e un attacco che può portare a cambiamenti radicali nella sicurezza informatica.
Un attacco alla catena di approvvigionamento spalanca i controlli di sicurezza informatica. Le vittime stavano seguendo le migliori pratiche di sicurezza informatica assicurando che le loro piattaforme fossero aggiornate all'ultima versione; non sapevano che il loro fornitore di tecnologia, SolarWinds, era stato infiltrato da sospette squadre di hacker russe che avevano avvelenato gli aggiornamenti per infettare l'intera catena di approvvigionamento.
Chi è stato preso di mira nell'attacco alla catena di approvvigionamento?
La nostra immagine di questo hack cambia continuamente mentre la storia si svolge e potremmo non conoscere l'intera portata dell'hack per molti mesi a venire. Ma sappiamo che il governo degli Stati Uniti ha subito un impatto significativo. Ci sono rapporti secondo cui il Tesoro degli Stati Uniti, il Dipartimento di Stato degli Stati Uniti, la CISA, il DOE sono stati presi di mira.
Sebbene i dettagli esatti non siano noti, una teoria è che ogni ufficio governativo abbia utilizzato Office 365 ed Exchange per la posta elettronica e che le chiavi condivise per Azure Active Directory siano state compromesse, consentendo potenzialmente agli aggressori di mascherarsi da utenti autentici per accedere ai sistemi di posta elettronica e alle raccolte documenti .
Questa teoria è supportata dalle dichiarazioni rilasciate dal Dipartimento di Giustizia secondo cui "questa attività ha comportato l'accesso all'ambiente di posta elettronica Microsoft O365 del Dipartimento" e "il numero di cassette postali O365 potenzialmente accessibili sembra limitato a circa il 3% e non abbiamo alcuna indicazione che eventuali sistemi classificati sono stati colpiti."
Tra i tanti giganti della tecnologia presi di mira, sappiamo che tra le vittime c'erano la centrale di rete Cisco Systems, il produttore di CPU Intel, i produttori di GPU Nvidia Corp. e i pesi massimi della tecnologia VMware, Microsoft e Belkin. Senza dubbio molte altre aziende sono state colpite, ma ci vorranno settimane o mesi prima che il quadro completo sia noto.
Se la tua azienda è preoccupata per la sicurezza informatica, non esitare a contattare Atlantic.Net. Siamo specialisti in servizi gestiti, hosting cloud e conformità HIPAA. La sicurezza della nostra infrastruttura è di fondamentale importanza e lavoriamo duramente per assicurarci di disporre dei migliori processi di sicurezza in atto.
Questo attacco informatico passerà alla storia come uno dei peggiori e siamo preoccupati per i nostri amici del settore che potrebbero risentirne. I clienti di SolarWinds non hanno fatto nulla di male; hanno acquistato una suite di gestione dei server leader del settore da un'azienda rispettabile e ora, a causa di una sconosciuta incompetenza in materia di sicurezza, ogni cliente è stato messo a rischio non per colpa propria. Mettiti in contatto oggi.