Visita il nostro SolarWinds Response Center per saperne di più.
Puoi anche scoprire le funzionalità della piattaforma completa Zero Trust Exchange.
L'attacco SolarWinds è stato un attacco alla catena di approvvigionamento del software, che ha coinvolto la piattaforma SolarWinds Orion, in cui un aggressore affiliato alla Russia ha ottenuto l'accesso ai sistemi di SolarWinds e ha distribuito aggiornamenti contenenti trojan al software Orion. Questo, a sua volta, ha permesso agli utenti malintenzionati di installare furtivamente dei malware sulle reti dei clienti di SolarWinds. La violazione di SolarWinds è stata segnalata da diverse società di sicurezza informatica in collaborazione con l'Agenzia statunitense per la sicurezza informatica e delle infrastrutture (CISA) a dicembre del 2020.
SolarWinds è un fornitore texano di soluzioni software per la gestione di infrastrutture informatiche (IT) che consentono alle organizzazioni di monitorare e gestire le prestazioni dei loro ambienti IT.
SolarWinds Orion, una piattaforma molto diffusa per il monitoraggio e la gestione dell'infrastruttura di rete, è stata progettata per fornire ai clienti visibilità sulle reti di vari fornitori, in modo da poter identificare e risolvere i problemi. Orion indica di avere oltre 33.000 clienti, tra cui molte grandi imprese del settore privato e agenzie governative. Si ritiene che l'attacco in questione abbia colpito circa 18.000 di questi clienti, un numero ben oltre superiore alla metà.
Il giorno successivo alla divulgazione della violazione di SolarWinds, Forbes ha riferito che gli attacchi avrebbero potuto colpire il cuore dell'apparato di sicurezza degli Stati Uniti: "Secondo un'analisi dei registri pubblici, il bacino di clienti governativi statunitensi che hanno acquistato SolarWinds Orion è molto vasto. Il Pentagono è il principale cliente, e l'Esercito e la Marina ne sono tra i maggiori utilizzatori. Anche il Dipartimento degli Affari dei Veterani, [...] il National Institutes of Health, il Dipartimento dell'Energia, il DHS e l'FBI sono tra le molte agenzie del Governo degli Stati Uniti che hanno già acquistato questo strumento".
Steven J. Vaughan-Nichols, ZD-Net, 4 gennaio 2021
L'attacco noto come SUNBURST alle comunicazioni di SolarWinds ha colpito le versioni di Orion dalla 2019.4 alla 2020.2.1, rilasciate tra marzo e giugno del 2020.
Per portare a termine l'attacco, gli hacker hanno modificato un plugin della piattaforma Orion distribuito con gli aggiornamenti della piattaforma. Firmato digitalmente da SolarWinds, questo plugin contiene una backdoor che comunica con server di terze parti sotto il controllo degli aggressori. Una volta che gli aggressori sono riusciti a stabilire un punto di accesso nelle organizzazioni colpite, hanno potuto rubare i dati, distribuire codice dannoso o interrompere in altro modo le operazioni.
Questo attacco è stato messo in atto da un aggressore sofisticato, con una conoscenza molto approfondita della sicurezza operativa. Sulla base dei dati pubblicamente disponibili, questo utente malintenzionato si è impegnato molto per eludere il rilevamento, ad esempio con tecniche di offuscamento e pulizia del codice, come la steganografia, tecniche di fingerprinting, per identificare i sistemi target e i sistemi di analisi, la rotazione delle infrastrutture, con particolare attenzione alla prossimità della geolocalizzazione, e l'esecuzione del codice in memoria quanto più possibile.
Queste tecniche, in combinazione con l'utilizzo di un componente firmato digitalmente di una piattaforma software affidabile come vettore dell'infezione iniziale, indicano la presenza di un aggressore abile ed esperto, disposto a investire risorse per assicurare il successo della sua operazione.
L'attacco ha colpito diverse agenzie governative federali statunitensi di alto profilo, tra cui il Dipartimento di Giustizia (DOJ), il Dipartimento della Sicurezza Nazionale (DHS) e il Dipartimento del Tesoro. Ha esposto gli ambienti di posta elettronica di Microsoft 365 di varie agenzie federali, e questo lo ha reso un "incidente grave" che ha giustificato una risposta difensiva.
In una dichiarazione della Casa Bianca rilasciata ad aprile 2021 è stato affermato che l'amministrazione di Biden avrebbe "imposto costi alla Russia per le azioni del suo governo e dei suoi servizi segreti contro la sovranità e gli interessi degli Stati Uniti". Queste azioni hanno preso di mira il governo, il commercio e gli organismi di intelligence russi, con l'espulsione dei rappresentanti diplomatici dei servizi segreti russi dagli Stati Uniti.
Inoltre, nella dichiarazione è stato formalmente indicato il Servizio segreto estero russo (SVR) come autore dell'attacco. Il CISA, il Federal Bureau of Investigation (FBI) e la National Security Agency (NSA) hanno pubblicato un avviso di sicurezza congiunto contenente ulteriori dettagli.
Lucian Constantin, CSO Online, 15 dicembre 2020
Per evitare di essere individuato, pare che l'aggressore abbia utilizzato la backdoor di SolarWinds Orion solo quando l'ambiente di destinazione era di particolare interesse. L'analisi dell'attività di rete è quindi l'unico modo di sapere se un aggressore ha cercato di ottenere o ha ottenuto l'accesso.
Si sospetta che la campagna sia iniziata durante o prima di marzo 2020 (con possibili test già a ottobre 2019) e che non abbia generato alcun indicatore noto di compromissione. A causa del volume di dati, molte organizzazioni non mantengono i log degli accessi per un periodo di tempo sufficiente a determinare se si sia verificata o meno una compromissione.
Se un aggressore distribuisce un malware nell'ambiente attraverso un sistema Orion compromesso, è probabile che utilizzi l'escalation dei privilegi per iniziare a vagliare le azioni che può intraprendere. Ecco perché è importante tenere d'occhio il sistema Orion interessato o gli altri sistemi che hanno comunicato con esso, per verificare la presenza di comportamenti come:
Il modo più semplice per sapere se è stato subito un attacco consiste nel determinare se nell'ambiente è in uso un prodotto Orion compromesso. Le versioni interessate della piattaforma includono:
Se si utilizza una versione compromessa della piattaforma Orion:
Lucian Constantin, CSO Online, 15 dicembre 2020
Gli attacchi alla catena di approvvigionamento si stanno ancora evolvendo e non c'è dubbio che gli aggressori troveranno nuovi modi per compromettere le operazioni e i dati sensibili di enti pubblici e aziende private. Per ridurre il rischio, Zscaler consiglia di adottare le seguenti misure:
Anche se non si adottano altre misure, le due seguenti sono le più critiche, in quanto rendono molto più difficile per un aggressore violare l'ambiente e più facile per l'azienda rilevare le attività sospette:
Gli attacchi alla catena di approvvigionamento sono tra le minacce informatiche moderne più sofisticate e difficili da individuare. Per difendersi in modo efficiente, è necessario usufruire di una visibilità completa su tutto il traffico nel proprio ambiente, disporre di più livelli di sicurezza e conoscere approfonditamente il profilo di sicurezza di tutte le organizzazioni partner.
Zscaler Zero Trust Exchange™ protegge l'organizzazione dagli attacchi avanzati alla catena di approvvigionamento, impiegando servizi integrati in modo nativo e potenti funzionalità all'avanguardia nel settore che permettono di:
Visita il nostro SolarWinds Response Center per saperne di più.
Puoi anche scoprire le funzionalità della piattaforma completa Zero Trust Exchange.
Zscaler ThreatLabz: SolarWinds Response Center
Trova le risorseGli attacchi alla catena di approvvigionamento: cosa sono, come funzionano e come proteggere l'organizzazione
Leggi il blogLa guida completa su come rispondere alle problematiche derivanti dall'attacco a SolarWinds
Leggi il blogLa copertura di Zscaler contro gli attacchi informatici a SolarWinds e il furto degli strumenti del Red Team di FireEye
Leggi il blogPrepararsi a rispondere agli attacchi informatici russi
Leggi il blog