"Sunburst" può essere tradotto come "scoppio del sole". Quando l'omonimo attacco hacker ha colpito l'universo Solarwinds, ha avuto conseguenze enormi. L'azienda ora vuole essere armata contro simili avversità.
Brandon Shopp, vicepresidente prodotti di SolarWinds, ricorda bene il 12 dicembre 2020. Quel giorno, il suo datore di lavoro è stato contattato dalla società di sicurezza di rete FireEye riguardo a un codice maligno scoperto nella piattaforma SolarWinds Orion. La piattaforma viene utilizzata per monitorare, analizzare e gestire centralmente gli ambienti IT.
"La nostra indagine ha rivelato che gli hacker sono stati in grado di accedere al nostro ambiente di sviluppo software utilizzando tecniche sofisticate per non essere scoperti". Gli hacker avevano precedentemente preso di mira il malware Sunburst inserendolo durante il processo di sviluppo della piattaforma.
Governo straniero coinvolto?
Il retroscena non è ancora del tutto compreso, ma come elabora Shopp, gli esperti di cybersecurity avevano espresso la convinzione che dietro ci fosse un governo straniero. Insieme agli investigatori forensi, Solarwinds sta perseguendo diverse teorie su come gli aggressori sono stati in grado di accedere all'ambiente. "In questo momento, crediamo che il vettore di attacco più probabile era la compromissione delle credenziali e l'accesso attraverso un'applicazione di terze parti, attraverso una vulnerabilità che non era nota al momento."
Le indagini continuano
Le indagini sono in corso. Data la complessità degli attacchi e le misure adottate dagli autori per manipolare l'ambiente SolarWinds e rimuovere le prove delle loro attività, combinate con le grandi quantità di log e altri dati da analizzare, le indagini continueranno per almeno diverse settimane, forse mesi, dice la società. Potrebbero non portare a una risposta definitiva, ammette Shopp. "Non abbiamo ancora determinato la data esatta in cui gli attori della minaccia hanno ottenuto per la prima volta un accesso non autorizzato ai nostri ambienti."
Misure di sicurezza
Entro 48 ore dall'apprendimento dell'attacco, sono stati distribuiti gli aggiornamenti al software interessato. Nel frattempo, sono stati portati esperti esterni di cybersecurity per assicurare l'ambiente interno a lungo termine. Inoltre, le versioni compilate sono state verificate per far corrispondere il codice sorgente, e tutti i prodotti SolarWinds sono stati firmati con nuovi certificati digitali, ha sottolineato Shopp.
"Crediamo che la collaborazione con gli esperti di sicurezza informatica, con il governo e con il pubblico sia fondamentale non solo per rispondere all'attacco Sunburst, ma anche per proteggere la nostra industria e le infrastrutture nazionali da attacchi simili in futuro", ha detto. "Stiamo condividendo i nostri risultati non solo con l'industria, ma anche con le forze dell'ordine, le agenzie di intelligence e i responsabili politici di tutto il mondo".
Responsabilità aziendale
Il team di SolarWinds sta anche lavorando con KPMG e CrowdStrike per capire meglio questo nuovo attacco. "Abbiamo fatto il reverse engineering del codice responsabile e siamo stati in grado di scoprire di più sullo strumento utilizzato nell'ambiente di costruzione. Speriamo che esponendo i dettagli tecnici al resto dell'industria, altre aziende saranno in grado di usarli per identificare e prevenire attacchi simili", afferma Shopp.