Qual è stato limpatto dellhack di SolarWinds?

Gli incidenti di hacking dominano sempre le notizie, e giustamente. Sono la prova che nessuno è al sicuro, soprattutto quando la vittima è una grande azienda con un sofisticato sistema di sicurezza informatica. Un hack che ha avuto un impatto sostanziale sul panorama della sicurezza informatica è stato l'hack di SolarWinds.

Ma a differenza di altri hack su larga scala, i danni dell'attacco SolarWinds non si sono limitati alle finanze e alla reputazione dell'azienda. Gli effetti sono stati così diffusi che l'impatto dell'hack ha coinvolto il governo degli Stati Uniti e le sue agenzie.

Qual è stata la scala dell'hack?

SolarWinds è una società IT con sede negli Stati Uniti specializzata nello sviluppo di software di gestione per aziende e agenzie governative. Quindi, fin dall'inizio, era chiaro che qualsiasi hack avrebbe avuto effetti catastrofici al di là delle risorse e della reputazione di SolarWinds.

È sicuro dire che la società SolarWinds stessa non era l'obiettivo dell'attacco, ma solo il metodo di attacco. SolarWinds ha riferito che poco più di 18.000 dei suoi clienti hanno scaricato una versione interessata, sebbene non tutti siano stati attivamente hackerati.

Delle vittime, circa il 20 percento erano istituzioni e agenzie governative statunitensi come il Dipartimento per la sicurezza interna, il Dipartimento di Stato, la National Nuclear Security Administration e il Dipartimento dell'Energia, tra molti altri.

Il restante 80% delle vittime erano società private, ma erano grandi attori nel loro settore con la loro giusta quota di clienti di alto profilo. L'hacking ha colpito aziende come Cisco, Intel, Deloitte e Microsoft, nonché alcune istituzioni mediche, ospedali e università.

È importante notare che la portata dell'incidente non è ancora completamente nota. Sebbene gli hacker siano riusciti ad accedere a quasi 20.000 clienti di SolarWinds, ciò non significa che siano stati in grado di aggirare i loro sistemi di sicurezza interni e compromettere file e dati. I numeri esatti non sono stati rilasciati, ma è stato riferito che meno di 100 clienti sono stati hackerati.

Ad esempio, Microsoft è stata in grado di rilevare il malware intrusivo nel proprio ambiente e isolarlo in tempo. Non hanno riportato alcuna prova di dati dei clienti compromessi o trapelati dall'attacco, consentendo loro di fuggire per lo più illesi.

Ma non tutti sono stati così fortunati. Gli hacker sono riusciti a entrare con la forza in dozzine di e-mail appartenenti a funzionari di alto rango del Dipartimento del Tesoro americano e, forse, alle proprietà cloud del dipartimento.

Cosa rende diverso l'hack di SolarWinds?

Spesso, un incidente di hacking è il risultato di un sistema di sicurezza guasto o di una collaborazione interna. Ma non è stato così per le aziende colpite dal cosiddetto hack "Sunburst", poco meno di 100 di tutti coloro che hanno scaricato l'aggiornamento infetto.

Gli hacker dovevano solo aggirare la sicurezza informatica di SolarWinds. Hanno quindi proceduto all'aggiunta di codice dannoso in uno dei servizi software più utilizzati dall'azienda, Orion. L'incidente di hacking è stato furtivo e non distruttivo, permettendogli di scivolare sotto il radar di SolarWinds e rimanere lì per mesi.

Il codice si è diffuso ad altri client chiedendo un passaggio a uno dei regolari aggiornamenti software che SolarWinds invia ai suoi client. Lì, il codice dannoso ha creato una backdoor per gli hacker , consentendo loro di installare malware ancora più invasivi e spiare i loro obiettivi e divulgare tutte le informazioni ritenute importanti.

L'hack di Sunburst ha creato un precedente su chi le aziende possono e non possono fidarsi quando si tratta di sicurezza informatica. Dopotutto, gli aggiornamenti software dovrebbero includere correzioni di bug e aggiornamenti di sicurezza per proteggere i tuoi sistemi da vulnerabilità e lacune sfruttate.

Questo tipo di attacco è noto come attacco alla catena di approvvigionamento . In esso, gli hacker prendono di mira la parte più vulnerabile della catena di approvvigionamento di un'azienda invece di colpire direttamente il loro obiettivo. Quindi impacchettano il loro malware in navi affidabili e li spediscono ai loro obiettivi reali. In questo incidente, era sotto forma di un aggiornamento software di routine.

Chi c'era dietro l'hack di SolarWinds?

Non è ancora chiaro quale organizzazione o gruppo di persone ci fosse dietro l'hack poiché finora nessun gruppo di hacker ha rivendicato l'incidente. Tuttavia, gli investigatori federali insieme ai principali esperti di sicurezza informatica sospettano principalmente del Foreign Intelligence Service russo, noto anche come SVR.

Questa conclusione è stata un accumulo sui precedenti incidenti di hacking del 2014 e 2015. All'epoca, le indagini hanno anche bloccato l'irruzione nei server di posta elettronica della Casa Bianca e del Dipartimento di Stato sull'SVR. Ma finora, la Russia nega di avere qualcosa a che fare con l'hack di SolarWinds, senza lasciare un chiaro colpevole.

Cosa viene dopo il Sunburst Hack?

In termini di effetti diretti dell'hack, le aziende e le agenzie governative continuano a scansionare i loro sistemi alla ricerca di eventuali backdoor aggiuntive che gli aggressori potrebbero aver lasciato, nonché di qualsiasi vulnerabilità di sicurezza che potrebbero aver scoperto e impedire loro di sfruttarla in futuro attacco.

Ma quando si tratta del panorama della sicurezza informatica aziendale e governativa, le cose sono cambiate per sempre. Dopo che Orion di SolarWinds è stato utilizzato come un cavallo di Troia per infiltrarsi nei loro sistemi, il concetto di sicurezza informatica amica/nemica e zero-trust deve cambiare per stare al passo.

Correlati: che cos'è una rete Zero Trust e come protegge i tuoi dati?

I governi, le aziende e gli utenti dovrebbero cambiare il modo in cui vedono le loro relazioni cooperative e finanziarie in cambio di un forte scudo di sicurezza informatica e un futuro più sicuro.

Dovresti essere preoccupato?

Gli hacker raramente prendono ciò per cui sono venuti e lasciano intatto il resto. Tutto nel database di un'azienda o di un governo ha un valore immenso.

Mentre le aziende che conducono affari con SolarWinds e le aziende affiliate a quelle società interessate hanno tutte ricontrollato i loro sistemi dopo l'hacking, non c'è molto che potresti fare come singolo utente.

Non c'è bisogno di preoccuparsi di avere il malware o la backdoor su uno dei tuoi dispositivi poiché l'attacco ha preso di mira principalmente aziende e istituzioni. Ma potresti essere un cliente di giganti della tecnologia come Intel o Microsoft e hanno record personali e finanziari su di te da acquisti passati.

Tieni traccia di tutte le notifiche urgenti inviate dai tuoi fornitori e se rilasciano annunci pubblici relativi a incidenti di sicurezza. Prima verrai a conoscenza di una possibile violazione dei tuoi dati, maggiori saranno le tue possibilità di uscirne illeso.

Ci sarà un altro attacco tipo Sunburst?

Non è ancora noto se le agenzie governative e le aziende saranno in grado di aggiornare i propri sistemi di sicurezza in tempo prima di un altro attacco.

Ma finché le aziende e le istituzioni trasportano dati sensibili e preziosi, saranno sempre un obiettivo per i gruppi di hacker, sia locali che internazionali.