Il governo degli Stati Uniti martedì ha formalmente puntato il dito contro il governo russo per aver orchestrato il massiccio attacco alla catena di approvvigionamento di SolarWinds che è venuto alla luce all'inizio del mese scorso.
"Questo lavoro indica che un attore di Advanced Persistent Threat (APT), probabilmente di origine russa, è responsabile della maggior parte o di tutti i cyber compromessi in corso scoperti di recente delle reti governative e non governative", il Federal Bureau of Investigation (FBI ), l'Agenzia per la sicurezza informatica e le infrastrutture (CISA), l'Ufficio del direttore dell'intelligence nazionale (ODNI) e l'Agenzia per la sicurezza nazionale (NSA) hanno dichiarato in una dichiarazione congiunta.
La Russia, tuttavia, ha negato qualsiasi coinvolgimento nell'operazione del 13 dicembre, affermando di "non condurre operazioni offensive nel dominio cibernetico".
FBI, CISA, ODNI e NSA sono membri del Cyber Unified Coordination Group (UCG), una task force di nuova costituzione creata dal Consiglio di sicurezza nazionale della Casa Bianca per indagare e guidare gli sforzi di risposta per porre rimedio alla violazione di SolarWinds.
Definendo la campagna uno "sforzo di raccolta di informazioni", gli uffici dell'intelligence hanno affermato che stanno attualmente lavorando per comprendere la portata completa dell'hacking, notando che meno di 10 agenzie governative statunitensi sono state colpite dal compromesso.
I nomi delle agenzie interessate non sono stati divulgati, sebbene i rapporti precedenti abbiano individuato il Tesoro, il Commercio, lo Stato e i Dipartimenti dell'Energia e della Sicurezza Nazionale degli Stati Uniti tra quelli che hanno rilevato installazioni di software di gestione della rete di SolarWinds contaminate, per non parlare di alcuni di enti privati in tutto il mondo.
Si stima che circa 18.000 clienti SolarWinds abbiano scaricato l'aggiornamento software backdoor, ma l'UCG ha affermato che solo un numero minore è stato sottoposto ad attività intrusive "follow-on" sulle loro reti interne.
L' analisi di Microsoft del modus operandi di Solorigate il mese scorso ha rilevato che il malware di seconda fase, soprannominato Teardrop, è stato schierato selettivamente contro obiettivi basati su informazioni accumulate durante una ricognizione iniziale dell'ambiente vittima per account e risorse di alto valore.
La dichiarazione congiunta conferma anche le precedenti speculazioni che collegavano l'operazione di spionaggio all'APT29 (o Cosy Bear), un gruppo di hacker sponsorizzati dallo stato associati al Russian Foreign Intelligence Service (SVR).
La campagna di hacking è stata degna di nota per la sua portata e furtività , con gli aggressori che hanno sfruttato la fiducia associata al software SolarWinds Orion per spiare agenzie governative e altre società per almeno nove mesi, inclusa la visualizzazione del codice sorgente e il furto di strumenti di sicurezza , nel momento in cui è stato scoperto.
Nel frattempo, SolarWinds deve affrontare ulteriori ripercussioni dopo che un azionista della società di software per la gestione dell'infrastruttura IT ha intentato una causa collettiva presso il tribunale distrettuale degli Stati Uniti per il distretto occidentale del Texas lunedì contro il suo presidente, Kevin Thompson, e il direttore finanziario, J. Barton Kalsu, sostenendo che i dirigenti hanno violato le leggi federali sui titoli ai sensi del Securities Exchange Act del 1934.
La denuncia afferma che SolarWinds non ha rivelato che "dalla metà del 2020, i prodotti di monitoraggio di SolarWinds Orion presentavano una vulnerabilità che consentiva agli hacker di compromettere il server su cui venivano eseguiti i prodotti" e che "il server di aggiornamento di SolarWinds aveva una password facilmente accessibile di ' solarwinds123 ', "a seguito del quale la società" subirebbe un significativo danno alla reputazione ".
Commenti
Posta un commento