Atlantic.Net fornisce questo messaggio di avviso di sicurezza come notizia; vogliamo rassicurare i nostri clienti sul fatto che Atlantic.Net non utilizza alcun prodotto SolarWinds internamente o come parte di nessuna delle nostre offerte di servizi.
Il 13 dicembre 2020, l'organizzazione di sicurezza informatica FireEye è stata informata di una grave violazione della sicurezza presso SolarWinds Corporation. SolarWinds è un gigante tecnologico con sede in Texas che è diventato un attore dominante nel monitoraggio dei server e nella gestione della rete con la sua linea di prodotti software Orion. Serve 300.000 clienti in tutto il mondo ed è considerato affidabile da diverse organizzazioni e istituzioni governative di alto profilo.
Gli esperti di sicurezza informatica ritengono che un sofisticato attacco informatico, possibilmente russo, sponsorizzato dallo stato abbia violato l'infrastruttura di SolarWinds e abbia avuto un impatto su molti dei clienti dell'azienda. Gli esperti ritengono che SolarWinds sia stato violato nella primavera del 2020, ma le basi per l'attacco potrebbero essere iniziate molto prima.
Secondo quanto riferito, aziende globali come VMware, Intel, Microsoft e Cisco sarebbero state colpite dall'attacco, così come tutti e cinque i rami delle forze armate statunitensi, l'amministrazione nazionale per la sicurezza nucleare, il Pentagono, il Dipartimento di Stato e l'Ufficio del Presidente di gli Stati Uniti.
L'hack è stato incredibilmente sofisticato. Gli hacker sono stati in grado di accedere ai sistemi interni di SolarWinds e di compromettere i loro aggiornamenti software ufficiali di Orion con "trojanized" aggiornamenti malware. Ciò ha consentito agli hacker di mascherare gli aggiornamenti compromessi come aggiornamenti Orion legittimi e approvati da SolarWinds. Si ritiene che fino a 18.000 clienti SolarWinds abbiano scaricato il malware. Questo è, innegabilmente, un enorme, incredibile e piuttosto scioccante calo di sicurezza che si verifica in un'azienda del valore di circa $ 5 miliardi.
FireEye, la società di sicurezza informatica che per prima ha identificato la violazione, ha affermato che l'hack ha dato agli intrusi "la possibilità di trasferire file, eseguire file, profilare il sistema, riavviare la macchina e disabilitare i servizi di sistema. Il malware maschera il suo traffico di rete come il protocollo Orion Improvement Program (OIP) e memorizza i risultati della ricognizione all'interno di file di configurazione dei plug-in legittimi, consentendogli di integrarsi con le attività legittime di SolarWinds."
Una volta installato dalle vittime, gli hacker hanno utilizzato parte del framework del software Orion, in particolare una vulnerabilità dell'API HTTP in un file chiamato SolarWinds.Orion.Core.BusinessLayer.dll. L'exploit ha consentito loro di eseguire "lavori" remoti su qualsiasi server compromesso e attraversare la rete della vittima utilizzando i privilegi di "modalità divina" per compromettere qualsiasi server connesso ed eseguire il furto di dati.
Symantec e Palo Alto Networks hanno riferito che i payload secondari noti come Teardrop e Supernova sono stati distribuiti contro "obiettivi di interesse". Teardrop incorpora il malware Cobalt Strike Beacon che tenta di rubare credenziali, hackerare Active Directory ed eseguire furti di dati.
Poiché questa notizia è stata diffusa solo di recente, l'entità dell'impatto non è ancora del tutto nota, ma molte aziende si stanno preparando mentre indagano sull'impatto della violazione dei dati. Al momento, nessuno sa esattamente quali dati siano stati rubati, anche se il governo potrebbe avere qualche idea. Questo potrebbe essere considerato il peggior attacco informatico della storia una volta compreso il vero scopo di questa violazione e le sue ricadute.
Ciò che ha reso questo attacco così insidioso è stato il vettore di attacco utilizzato:la catena di approvvigionamento di SolarWinds. I SolarWinds non erano l'obiettivo finale, ma sono fortemente integrati e considerati affidabili da enti governativi e organizzazioni di alto profilo. Questo tipo di attacco è noto come Advanced Persistent Threat (APT) e il metodo di attacco non è altro che un cavallo di Troia; in particolare, è noto come un Trojan di accesso remoto (RAT) perché prende di mira i dati degli utenti e i segreti aziendali.
Azioni consigliate
SolarWinds ha identificato gli aggiornamenti di Orion infetti e ha pubblicato informazioni su di essi qui. Gli utenti devono verificare se le versioni aggiornate della piattaforma Orion 2019.4 HF5 sono state installate tra marzo e giugno 2020. Raccomandano a tutti gli utenti di Orion di eseguire l'aggiornamento alla versione della piattaforma Orion 2020.2.1 Hot Fix 2.
Gli utenti dovrebbero controllare le loro reti per verificare che siano state compromesse. Cerca due identificatori chiave:l'uso del malware in memoria Teardrop per rilasciare Cobalt Strike Beacon e i nomi host della tua organizzazione. Se violati, i nomi host possono scoprire indirizzi IP dannosi utilizzati dagli aggressori.
Atlantic.Net offre anche questo ulteriore consiglio sulle migliori pratiche di sicurezza informatica:assicurati di utilizzare una qualche forma di gestore di password locale. Se non lo fai già, usa una qualche forma di autenticazione a più fattori, falla installare urgentemente sulla tua rete. Sono disponibili varie opzioni tra cui versioni con licenza a pagamento o open source. Non utilizzare mai la stessa password in tutta l'organizzazione, applica una rigorosa politica per le password e applica una strategia complessa per le password.
Una teoria che circola riguardo al modo in cui gli hacker hanno gestito la compromissione iniziale prevede che abbiano ottenuto l'accesso utilizzando nomi utente e password interni per SolarWinds che sono stati trovati incorporati nei repository di codice GitHub pubblici. La teoria della password "Solarwinds123" potrebbe avere qualche merito e, se vera, punta il dito contro pratiche di sicurezza radicate all'interno di SolarWinds.
Non possiamo prevedere le ricadute di questa violazione, ma è probabile che abbia gravi ramificazioni globali. Questo incidente probabilmente costringerà le organizzazioni statunitensi a condurre un audit completo dei loro ambienti di rete. SolarWinds perderà senza dubbio molti clienti a causa di questa violazione di alto profilo e può aspettarsi enormi sanzioni normative. È possibile che vengano anche sanzionati per aver violato il GDPR, poiché molti clienti SolarWinds si trovano all'interno dell'Unione Europea.
Ci aspettiamo che l'amministrazione statunitense rinnovi il protocollo di sicurezza informatica sulla scia di questo attacco, soprattutto se si rivela essere un attacco sponsorizzato dallo stato da parte della Russia. Il governo degli Stati Uniti dispone già di una piattaforma di sicurezza informatica progettata per contrastare questo tipo di attacco noto come EINSTEIN 3. Sembrerebbe che questo sistema non fosse completamente a conoscenza di questo attacco.
Se la tua azienda è preoccupata per la sicurezza informatica, non esitare a contattare Atlantic.Net. Siamo specialisti in servizi gestiti, hosting cloud e conformità HIPAA. La sicurezza della nostra infrastruttura è di fondamentale importanza e lavoriamo duramente per assicurarci di disporre dei migliori processi di sicurezza in atto. Questo attacco informatico passerà alla storia come uno dei peggiori di sempre, siamo preoccupati per i nostri amici del settore che potrebbero risentirne. I clienti di SolarWinds non hanno fatto nulla di male; hanno acquistato una suite di gestione dei server leader del settore da un'azienda rispettabile e ora, a causa di una sconosciuta incompetenza in materia di sicurezza, ogni cliente è stato messo a rischio non per colpa propria. Mettiti in contatto oggi.