Zpedia 

/ Che cos'è l'attacco informatico Solarwinds?

Che cos'è l'attacco informatico Solarwinds?

L'attacco SolarWinds è stato un attacco alla catena di approvvigionamento del software, che ha coinvolto la piattaforma SolarWinds Orion, in cui un aggressore affiliato alla Russia ha ottenuto l'accesso ai sistemi di SolarWinds e ha distribuito aggiornamenti contenenti trojan al software Orion. Questo, a sua volta, ha permesso agli utenti malintenzionati di installare furtivamente dei malware sulle reti dei clienti di SolarWinds. La violazione di SolarWinds è stata segnalata da diverse società di sicurezza informatica in collaborazione con l'Agenzia statunitense per la sicurezza informatica e delle infrastrutture (CISA) a dicembre del 2020.
Tutto ciò che c'è da sapere sugli attacchi informatici a SolarWinds
Zero TrustProtezione dalle minacce informatiche
  1. Che cos'è SolarWinds?
  2. Come si svolge l'attacco
  3. Hai subito un attacco?
  4. Best practice
  5. Zscaler può aiutarti
  6. Risorse suggerite
  7. Argomenti correlati

Che cos'è SolarWinds?

SolarWinds è un fornitore texano di soluzioni software per la gestione di infrastrutture informatiche (IT) che consentono alle organizzazioni di monitorare e gestire le prestazioni dei loro ambienti IT.

SolarWinds Orion, una piattaforma molto diffusa per il monitoraggio e la gestione dell'infrastruttura di rete, è stata progettata per fornire ai clienti visibilità sulle reti di vari fornitori, in modo da poter identificare e risolvere i problemi. Orion indica di avere oltre 33.000 clienti, tra cui molte grandi imprese del settore privato e agenzie governative. Si ritiene che l'attacco in questione abbia colpito circa 18.000 di questi clienti, un numero ben oltre superiore alla metà.

Il giorno successivo alla divulgazione della violazione di SolarWinds, Forbes ha riferito che gli attacchi avrebbero potuto colpire il cuore dell'apparato di sicurezza degli Stati Uniti: "Secondo un'analisi dei registri pubblici, il bacino di clienti governativi statunitensi che hanno acquistato SolarWinds Orion è molto vasto. Il Pentagono è il principale cliente, e l'Esercito e la Marina ne sono tra i maggiori utilizzatori. Anche il Dipartimento degli Affari dei Veterani, [...] il National Institutes of Health, il Dipartimento dell'Energia, il DHS e l'FBI sono tra le molte agenzie del Governo degli Stati Uniti che hanno già acquistato questo strumento".

Testimonianza

Sebbene non abbia lanciato vere e proprie bombe come l'attacco a Pearl Harbor, questo attacco alle agenzie nazionali statunitensi e alle aziende americane Fortune 500 potrebbe rivelarsi ancora più dannoso per la sicurezza nazionale e commerciale del Paese.

Steven J. Vaughan-Nichols, ZD-Net, 4 gennaio 2021

SolarWinds: più cose scopriamo, più emergono dettagli preoccupanti

Come si è svolto l'attacco informatico SolarWinds?

L'attacco noto come SUNBURST alle comunicazioni di SolarWinds ha colpito le versioni di Orion dalla 2019.4 alla 2020.2.1, rilasciate tra marzo e giugno del 2020.

Per portare a termine l'attacco, gli hacker hanno modificato un plugin della piattaforma Orion distribuito con gli aggiornamenti della piattaforma. Firmato digitalmente da SolarWinds, questo plugin contiene una backdoor che comunica con server di terze parti sotto il controllo degli aggressori. Una volta che gli aggressori sono riusciti a stabilire un punto di accesso nelle organizzazioni colpite, hanno potuto rubare i dati, distribuire codice dannoso o interrompere in altro modo le operazioni.

Questo attacco è stato messo in atto da un aggressore sofisticato, con una conoscenza molto approfondita della sicurezza operativa. Sulla base dei dati pubblicamente disponibili, questo utente malintenzionato si è impegnato molto per eludere il rilevamento, ad esempio con tecniche di offuscamento e pulizia del codice, come la steganografia, tecniche di fingerprinting, per identificare i sistemi target e i sistemi di analisi, la rotazione delle infrastrutture, con particolare attenzione alla prossimità della geolocalizzazione, e l'esecuzione del codice in memoria quanto più possibile.

Queste tecniche, in combinazione con l'utilizzo di un componente firmato digitalmente di una piattaforma software affidabile come vettore dell'infezione iniziale, indicano la presenza di un aggressore abile ed esperto, disposto a investire risorse per assicurare il successo della sua operazione.

La risposta degli Stati Uniti e le sanzioni dopo l'attacco

L'attacco ha colpito diverse agenzie governative federali statunitensi di alto profilo, tra cui il Dipartimento di Giustizia (DOJ), il Dipartimento della Sicurezza Nazionale (DHS) e il Dipartimento del Tesoro. Ha esposto gli ambienti di posta elettronica di Microsoft 365 di varie agenzie federali, e questo lo ha reso un "incidente grave" che ha giustificato una risposta difensiva.

In una dichiarazione della Casa Bianca rilasciata ad aprile 2021 è stato affermato che l'amministrazione di Biden avrebbe "imposto costi alla Russia per le azioni del suo governo e dei suoi servizi segreti contro la sovranità e gli interessi degli Stati Uniti". Queste azioni hanno preso di mira il governo, il commercio e gli organismi di intelligence russi, con l'espulsione dei rappresentanti diplomatici dei servizi segreti russi dagli Stati Uniti.

Inoltre, nella dichiarazione è stato formalmente indicato il Servizio segreto estero russo (SVR) come autore dell'attacco. Il CISA, il Federal Bureau of Investigation (FBI) e la National Security Agency (NSA) hanno pubblicato un avviso di sicurezza congiunto contenente ulteriori dettagli.

Testimonianza

[Gli attacchi alla catena di approvvigionamento] sono tra i tipi di minacce più difficili da prevenire, perché sfruttano le relazioni di fiducia tra fornitori e clienti e i canali di comunicazione da macchina a macchina, come i meccanismi di aggiornamento dei software, considerati intrinsecamente attendibili da parte degli utenti.

Lucian Constantin, CSO Online, 15 dicembre 2020

L'attacco SolarWinds e perché è stato così difficile rilevarlo

Come si fa a sapere se si è stati attaccati?

Per evitare di essere individuato, pare che l'aggressore abbia utilizzato la backdoor di SolarWinds Orion solo quando l'ambiente di destinazione era di particolare interesse. L'analisi dell'attività di rete è quindi l'unico modo di sapere se un aggressore ha cercato di ottenere o ha ottenuto l'accesso.

Si sospetta che la campagna sia iniziata durante o prima di marzo 2020 (con possibili test già a ottobre 2019) e che non abbia generato alcun indicatore noto di compromissione. A causa del volume di dati, molte organizzazioni non mantengono i log degli accessi per un periodo di tempo sufficiente a determinare se si sia verificata o meno una compromissione.

Se un aggressore distribuisce un malware nell'ambiente attraverso un sistema Orion compromesso, è probabile che utilizzi l'escalation dei privilegi per iniziare a vagliare le azioni che può intraprendere. Ecco perché è importante tenere d'occhio il sistema Orion interessato o gli altri sistemi che hanno comunicato con esso, per verificare la presenza di comportamenti come:

  • Modifica alle attività di sistema
  • Sequenza di azioni di creazione-eliminazione-esecuzione-eliminazione-creazione di directory
  • Account utente locali appena creati o sconosciuti
  • Esistenza o prova dell'utilizzo di Adfind.exe
  • Segni di cmd.exe o rundll32.exe generati da solarwinds.businesslayerhost.exe
  • Esistenza di regole di inoltro/cancellazione sconosciute o molto ampie per le e-mail sul gateway di posta elettronica

Versioni e prodotti Orion compromessi

Il modo più semplice per sapere se è stato subito un attacco consiste nel determinare se nell'ambiente è in uso un prodotto Orion compromesso. Le versioni interessate della piattaforma includono:

  • 2019.4 HF5, versione 2019.4.5200.9083
  • 2020.2 RC1, versione 2020.2.100.12219
  • 2020.2 RC2, versione 2020.2.5200.12394
  • 2020.2, versione 2020.2.5300.12432
  • 2020.2 HF1, versione 2020.2.5300.12432

Cosa fare se si è a rischio

Se si utilizza una versione compromessa della piattaforma Orion:

  1. Isolare, scollegare o spegnere immediatamente i sistemi infetti.
  2. Esaminare i log per identificare le attività di comando e controllo o il movimento laterale dai sistemi infetti
  3. Reimposta tutte le credenziali utilizzate da SolarWinds Orion e dai servizi associati
  4. Aggiornare Orion alla versione più recente, come descritto in questo avviso
  5. Determinare se sono in esecuzione altri prodotti SolarWinds elencati nell'avviso

Testimonianza

Le aziende, in quanto utenti di software, dovrebbero iniziare a pensare di applicare i principi di networking zero trust e i controlli di accesso basati sui ruoli non solo agli utenti, ma anche ad applicazioni e server.

Lucian Constantin, CSO Online, 15 dicembre 2020

L'attacco SolarWinds e perché è stato così difficile rilevarlo

Le best practice per proteggere l'organizzazione

Gli attacchi alla catena di approvvigionamento si stanno ancora evolvendo e non c'è dubbio che gli aggressori troveranno nuovi modi per compromettere le operazioni e i dati sensibili di enti pubblici e aziende private. Per ridurre il rischio, Zscaler consiglia di adottare le seguenti misure:

  • Eliminare la superficie di attacco rivolta a Internet, bloccare il movimento laterale e bloccare il C2 adottando un'architettura zero trust.
  • Abilitare l'ispezione TLS/SSL completa e la prevenzione delle minacce avanzate sul traffico da workload a Internet.
  • Eseguire una sandbox cloud inline per identificare e bloccare le minacce sconosciute.
  • Applicare protezioni per il traffico C2 noto, con aggiornamenti continui in base all'emergere di nuove destinazioni.
  • Limitare l'impatto del movimento laterale sfruttando la microsegmentazione basata sull'identità per i workload cloud.
  • Scegliere fornitori che possano attestare i massimi livelli di riservatezza, integrità e disponibilità.

Anche se non si adottano altre misure, le due seguenti sono le più critiche, in quanto rendono molto più difficile per un aggressore violare l'ambiente e più facile per l'azienda rilevare le attività sospette:

  • Applicare l'accesso a privilegi minimi, per limitare le capacità degli aggressori di sfruttare la loro posizione.
  • Richiedere l'autenticazione a più fattori per qualsiasi accesso a obiettivi di alto valore.

Cosa può fare Zscaler?

Gli attacchi alla catena di approvvigionamento sono tra le minacce informatiche moderne più sofisticate e difficili da individuare. Per difendersi in modo efficiente, è necessario usufruire di una visibilità completa su tutto il traffico nel proprio ambiente, disporre di più livelli di sicurezza e conoscere approfonditamente il profilo di sicurezza di tutte le organizzazioni partner.

Zscaler Zero Trust Exchange™ protegge l'organizzazione dagli attacchi avanzati alla catena di approvvigionamento, impiegando servizi integrati in modo nativo e potenti funzionalità all'avanguardia nel settore che permettono di:

Scopri le funzionalità e i vantaggi di Zero Trust Exchange, la soluzione più all'avanguardia del settore.

Risorse suggerite

Zscaler ThreatLabz: SolarWinds Response Center
Trova le risorse
Gli attacchi alla catena di approvvigionamento: cosa sono, come funzionano e come proteggere l'organizzazione
Leggi il blog
La guida completa su come rispondere alle problematiche derivanti dall'attacco a SolarWinds
Leggi il blog
La copertura di Zscaler contro gli attacchi informatici a SolarWinds e il furto degli strumenti del Red Team di FireEye
Leggi il blog
Prepararsi a rispondere agli attacchi informatici russi
Leggi il blog

01 / 03