Alla fine del 2020, il mondo della cybersecurity è stato scosso da un evento senza precedenti: l’attacco alla piattaforma SolarWinds Orion, una delle soluzioni di IT Monitoring più diffuse a livello globale. Questo cyber attack, passato alla storia come “SolarWinds Attack”, ha messo in luce la vulnerabilità delle supply chain digitali e ha evidenziato quanto sia fondamentale disporre di sistemi di monitoraggio e difesa informatica avanzati. A distanza di cinque anni, le lezioni apprese da quell’evento sono ancora attuali e cruciali per le aziende e le istituzioni pubbliche.
Come gli hacker hanno compromesso gli aggiornamenti software
La sofisticazione dell’attacco risiede nella sua modalità di esecuzione. Gli hacker sono riusciti a inserire una backdoor denominata “Sunburst” (nota anche come “Solorigate”) all’interno di un aggiornamento software legittimo della suite Orion. Questo aggiornamento, distribuito tramite il dominio ufficiale di SolarWinds, è stato scaricato da migliaia di clienti ignari, trasformandosi in un vettore malevolo che ha aperto le porte a intrusioni silenziose e persistenti.
La vulnerabilità CVE-2020-10148 ha giocato un ruolo chiave, permettendo agli aggressori di bypassare l’autenticazione e di eseguire comandi arbitrari sui server compromessi. Questo tipo di attacco, definito “supply chain attack”, ha dimostrato quanto possa essere pericoloso affidarsi ciecamente ai processi di aggiornamento software, anche quando provengono da fonti ufficiali.
Impatto su oltre 18.000 organizzazioni globali
Secondo CIISec, l’attacco ha colpito circa 18.000 organizzazioni in tutto il mondo. Tra queste figurano nomi di spicco come Microsoft, NASA, Deloitte, il Dipartimento del Tesoro degli Stati Uniti e il NHS britannico. In Italia, anche Telecom Italia è risultata tra gli utilizzatori della piattaforma Orion, evidenziando la portata globale dell’incidente.
L’impatto è stato devastante: gli hacker hanno avuto accesso a sistemi informativi strategici, esfiltrando dati sensibili e compromettendo la sicurezza di infrastrutture critiche. La popolarità della suite Orion ha amplificato la diffusione del malware, rendendo difficile il contenimento e la mitigazione degli effetti. L’attacco ha sollevato interrogativi sulla sicurezza nazionale e ha spinto governi e aziende a rivedere le proprie strategie di difesa.
Chi c’è dietro l’attacco: il gruppo russo APT29 (Cozy Bear)
Le indagini condotte da agenzie di sicurezza internazionali, tra cui la CISA, hanno attribuito l’attacco al gruppo APT29, noto anche come “Cozy Bear”. Questo gruppo è legato all’intelligence russa ed è già noto per operazioni di cyberespionaggio sofisticate, come quelle condotte contro istituzioni governative e aziende tecnologiche.
Obiettivi strategici e tattiche di attacco
APT29 ha mirato a raccogliere informazioni riservate da enti governativi, aziende strategiche e operatori di settori critici. La tattica utilizzata è stata quella del supply chain attack, che consiste nel compromettere un fornitore per accedere indirettamente ai sistemi dei suoi clienti. Questo approccio ha dimostrato quanto sia fragile l’interconnessione tra vendor e utilizzatori finali, e quanto sia necessario valutare attentamente la sicurezza dell’intera filiera digitale.
Gli hacker hanno sfruttato il normale ciclo di aggiornamento software, una pratica comune e considerata sicura, per diffondere il malware. Questo ha reso l’attacco particolarmente insidioso, poiché ha bypassato molte delle difese tradizionali basate su firewall e antivirus.
Lezioni chiave per la cybersecurity aziendale
Il SolarWinds Attack ha evidenziato diverse criticità e ha offerto spunti fondamentali per migliorare la postura di sicurezza delle organizzazioni. Tra le lezioni principali:
-
Monitoraggio continuo e avanzato: le aziende devono adottare soluzioni di IT Monitoring evolute che integrino funzionalità di AIOps e machine learning per rilevare comportamenti anomali in tempo reale.
-
Gestione del ciclo di vita software: è fondamentale implementare processi di patching sicuri, verificare l’integrità degli aggiornamenti e monitorare le versioni obsolete.
-
Valutazione dei fornitori: le organizzazioni devono analizzare la sicurezza dei propri partner tecnologici, includendo audit periodici e controlli sui processi di sviluppo.
-
Difesa multilivello: l’adozione di architetture Zero Trust, segmentazione della rete e autenticazione multifattoriale può limitare i danni in caso di compromissione.
-
Governance e compliance: è necessario allinearsi alle normative internazionali e adottare framework di sicurezza come ISO/IEC 27001 e NIST Cybersecurity Framework.
Cosa possiamo imparare per prevenire futuri attacchi
A novembre 2025, l’eredità del SolarWinds Attack è ancora viva. Le aziende devono adottare un approccio proattivo alla cybersecurity, basato su prevenzione, rilevamento e risposta rapida. Tra le azioni consigliate:
-
Investire in threat intelligence: per anticipare le mosse degli attori malevoli e condividere informazioni con la comunità di sicurezza.
-
Automatizzare i processi con AIOps: per ridurre i tempi di rilevamento e risposta, migliorando l’efficienza operativa.
-
Formare il personale: la consapevolezza e la preparazione dei dipendenti sono fondamentali per evitare errori umani, spesso alla base delle vulnerabilità.
-
Collaborare a livello internazionale: come dimostrato dalla risposta della CISA negli USA e del NSC italiano, la cooperazione tra enti è essenziale per contenere minacce su larga scala.
-
Simulare scenari di attacco: attraverso penetration test e red teaming, le aziende possono valutare la propria resilienza e migliorare i piani di risposta.
Il SolarWinds Attack ha segnato un prima e un dopo nella storia della sicurezza informatica. Ha dimostrato che anche le soluzioni pensate per proteggere possono diventare vettori di attacco se non gestite correttamente. Per le aziende, la lezione è chiara: la cybersecurity non è un’opzione, ma una necessità strategica. Investire in soluzioni affidabili, come quelle proposte da Beta 80 Group, significa proteggere il proprio business, i propri clienti e la propria reputazione.
