L’attacco alla piattaforma SolarWinds Orion (SolarWinds Attack), venuto alla luce alla fine del 2020, ha mostrato al mondo anche un altro tipo di pandemia, oltre a quella da Coronavirus ormai a tutti nota. Ha mostrato anche l’importanza, per aziende e Pubblica Amministrazione, di disporre di sistemi di IT Monitoring che siano all’altezza dei rischi a cui si può rimanere esposti senza le dovute misure di monitoraggio, controllo e remediation. C’è da dire che la vicenda SolarWinds Orion ha evidenziato delle pregresse ingenuità sulle quali si stenta a credere, se è vero quanto riportato da la Repubblica. Sembra che nel 2019 la password della società texana impostata sul proprio server dedicato agli aggiornamenti fosse “solarwinds123”. Al di là della veridicità di questa informazione, resta il fatto che sono stati proprio gli aggiornamenti a fungere da cavallo di Troia per la campagna malevola che si suppone sia stata lanciata dal gruppo hacker russo APT29 soprannominato “Cozy Bear”.
SolarWinds Orion, la dinamica del cyber attack peggiore del 2020
Non vi sono certezze assolute sull’identità degli artefici dell’attacco SolarWinds, mentre è assodata la dinamica dell’hackeraggio, avvenuto sfruttando una backdoor, una “porta sul retro” denominata “Sunburst” o “Solorigate”. Così come è stata individuata la vulnerabilità CVE-2020-10148 nella piattaforma SolarWinds Orion che ha trasformato l’aggiornamento periodico nel vettore che poi ha infettato un’ampia platea tra gli oltre 300mila clienti che adoperano i prodotti della software company statunitense. Orion è proprio la suite di punta dell’azienda e annovera tra i suoi utilizzatori nomi di spicco del panorama internazionale, come Microsoft e NASA per citarne due. Telecom Italia, nel nostro Paese, è una delle realtà che se ne avvale, e non è l’unica. Motivo per il quale, così come accaduto oltreoceano, dove la CISA (Cybersecurity & Infrastructure Security Agency) ha emanato una direttiva di emergenza per mitigare gli effetti del codice malevolo su reti e infrastrutture, da noi si è riunito il Nucleo per la Sicurezza Cibernetica (NSC) per la medesima ragione.
Le caratteristiche dell’attacco alla piattaforma SolarWinds Orion
La specificità dell’attacco informatico alla piattaforma SolarWinds Orion risiede nel fatto che si è trattato di un supply chain attack. In questa definizione oggi vengono inclusi diversi tipi di attacco che fanno leva sulla debolezza di una delle componenti della catena del valore. È un segno dei tempi, visto che oggi non esiste nessuna soluzione IT in cui non siano previste integrazioni tra vendor differenti. La seconda caratteristica, che rende il caso SolarWinds Orion un caso da manuale, è che a essere violato sia stato proprio un tool che rientra tra quelli di IT Monitoring e network management che dovrebbero in teoria contribuire a innalzare i profili di sicurezza delle aziende. Infine, il terzo elemento su cui bisogna porre l’attenzione è che la strategia di penetrazione ha sfruttato ciò che solitamente tutte le organizzazioni fanno per tenere alto il loro livello di guardia, e cioè il normale ciclo di aggiornamento, scaricandolo fra l’altro dal dominio ufficiale di SolarWinds.
Gli accorgimenti che le aziende dovrebbero mettere in campo
Alla luce di quanto richiamato sopra, emergono alcuni accorgimenti che è bene mettere in campo per evitare, o almeno minimizzare i rischi dovuti a cyber attack simili a quelli che hanno messo sotto scacco SolarWinds Orion. Anzitutto, le aziende devono identificare partner con competenze ed esperienza nelle soluzioni di IT Monitoring più affidabili. Insieme a loro, generalmente system integrator muniti di skill comprovate in questo ambito, è bene identificare i sistemi e le piattaforme di monitoraggio che si prestano a una maggiore resilienza. Ma poiché solo questo aspetto non è sufficiente, come dimostra la stessa vicenda di SolarWinds Orion, va anche tenuta in considerazione la metodologia attuata da questi partner nella gestione dei processi di patching e nel governo dell’eterogeneità di end of support e obsolescenza di tutte le componenti presenti in azienda. Non bisogna dimenticare, infatti, che è da un normale aggiornamento che è arrivata la miccia che ha innescato l’incendio del SolarWinds Attack.