L’attacco alla piattaforma SolarWinds Orion (SolarWinds Attack), venuto alla luce alla fine del 2020, ha mostrato al mondo anche un altro tipo di pandemia, oltre a quella da Coronavirus ormai a tutti nota. Il SolarWinds Attack ha mostrato anche l’importanza, per aziende e Pubblica Amministrazione, di disporre di sistemi di IT Monitoring che siano all’altezza dei rischi a cui si può rimanere esposti senza le dovute misure di monitoraggio, controllo e remediation. C’è da dire che la vicenda del SolarWinds Attack ha evidenziato delle pregresse ingenuità sulle quali si stenta a credere, se è vero quanto riportato da la Repubblica. Sembra che nel 2019 la password della società texana impostata sul proprio server dedicato agli aggiornamenti fosse “solarwinds123”. Al di là della veridicità di questa informazione, resta il fatto che sono stati proprio gli aggiornamenti a fungere da cavallo di Troia per la campagna malevola che si suppone sia stata lanciata dal gruppo hacker russo APT29 soprannominato “Cozy Bear”.
SolarWinds Orion, la dinamica spiegata del cyber attack peggiore del 2020
Sebbene molte testate titolavano frasi del tipo “Cozy bear compromette la piattaforma Orion di SolarWinds”, non vi sono mai state certezze assolute sull’identità degli artefici dell’attacco. Rimane però assodata la dinamica dell’hackeraggio, avvenuto sfruttando una backdoor, una “porta sul retro” denominata “Sunburst” o “Solorigate”. Così come è stata individuata la vulnerabilità CVE-2020-10148 nella piattaforma SolarWinds Orion che ha trasformato l’aggiornamento periodico nel vettore che poi ha infettato un’ampia platea tra gli oltre 300mila clienti che adoperano i prodotti della software company statunitense. Orion è proprio la suite di punta dell’azienda e annovera tra i suoi utilizzatori nomi di spicco del panorama internazionale, come Microsoft e NASA per citarne due. Telecom Italia, nel nostro Paese, è una delle realtà che se ne avvale, e non è l’unica. Motivo per il quale, così come accaduto oltreoceano, dove la CISA (Cybersecurity & Infrastructure Security Agency) ha emanato una direttiva di emergenza per mitigare gli effetti del codice malevolo su reti e infrastrutture, da noi si è riunito il Nucleo per la Sicurezza Cibernetica (NSC) per la medesima ragione, con l’obiettivo di contrastare le conseguenze nefaste del SolarWinds Attack.
Le caratteristiche dell’attacco alla piattaforma SolarWinds Orion
La specificità dell’attacco informatico alla piattaforma SolarWinds Orion risiede nel fatto che si è trattato di un supply chain attack. In questa definizione oggi vengono inclusi diversi tipi di attacco che fanno leva sulla debolezza di una delle componenti della catena del valore. È un segno dei tempi, visto che oggi non esiste nessuna soluzione IT in cui non siano previste integrazioni tra vendor differenti. La seconda caratteristica, che rende il SolarWinds Attack un caso da manuale, è che a essere violato sia stato proprio un tool che rientra tra quelli di IT Monitoring e network management che dovrebbero in teoria contribuire a innalzare i profili di sicurezza delle aziende. Infine, il terzo elemento su cui bisogna porre l’attenzione è che la strategia di penetrazione ha sfruttato ciò che solitamente tutte le organizzazioni fanno per tenere alto il loro livello di guardia, e cioè il normale ciclo di aggiornamento, scaricandolo fra l’altro dal dominio ufficiale di SolarWinds.
Qual è stato l'impatto del SolarWinds Attack
Insomma, il SolarWinds Attack è stato uno degli eventi più rilevanti nel panorama della cybersecurity, che ha evidenziato la necessità di rafforzare le misure di difesa della supply chain e promuovere la cooperazione internazionale contro le minacce informatiche.
L'impatto del SolarWinds Attack infatti è stato devastante e ha avuto diverse conseguenze, così riassumibili:
- Gravità dell’attacco: gli hacker hanno guadagnato l’accesso ai sistemi informativi di organizzazioni strategiche, inclusi gli enti governativi e gli operatori di settori critici.
- Furto di dati sensibili: visto l’ampio ventaglio di aziende compromesse, gli aggressori hanno potuto esfiltrare grandi volumi di informazioni riservate.
- Estensione della minaccia: a causa della popolarità globale dei prodotti SolarWinds, la portata dell'attacco ha coinvolto una moltitudine di organizzazioni in tutto il mondo.
- Preoccupazioni sulla sicurezza nazionale: poiché le istituzioni governative erano tra le vittime, sono stati sollevati forti dubbi sull’incolumità e capacità di difesa del sistema Paese.
Gli accorgimenti che le aziende dovrebbero mettere in campo per evitare un attacco cyber
Alla luce delle gravi conseguenze del SolarWinds Attack, emergono alcuni accorgimenti che è bene mettere in campo per evitare, o almeno minimizzare i rischi dovuti a cyber attack simili a quelli che hanno messo sotto scacco SolarWinds Orion. Anzitutto, le aziende devono identificare partner con competenze ed esperienza nelle soluzioni di IT Monitoring più affidabili. Insieme a loro, generalmente system integrator muniti di skill comprovate in questo ambito, è bene identificare i sistemi e le piattaforme di monitoraggio che si prestano a una maggiore resilienza. Ma poiché solo questo aspetto non è sufficiente, come dimostra la stessa vicenda di SolarWinds Orion, va anche tenuta in considerazione la metodologia attuata da questi partner nella gestione dei processi di patching e nel governo dell’eterogeneità di end of support e obsolescenza di tutte le componenti presenti in azienda. Non bisogna dimenticare, infatti, che è da un normale aggiornamento che è arrivata la miccia che ha innescato l’incendio del SolarWinds Attack.
