I responsabili della sicurezza informatica stanno lavorando 24 ore su 24 per puntellare le reti colpite dall’attacco della scorsa settimana al servizio di posta elettronica Exchange di Microsoft – un attacco che ha colpito centinaia di migliaia di organizzazioni in tutto il mondo.
Venerdì, la Casa Bianca ha esortato le vittime ad aggiornare i sistemi e ha sottolineato l’urgenza: La finestra per aggiornare i sistemi potrebbe essere misurata in “ore, non giorni“, ha detto un alto funzionario dell’amministrazione.
“Questo è un hack pazzesco ed enorme“, Christopher Krebs, ex direttore dell’Agenzia statunitense per la sicurezza informatica e delle infrastrutture (CISA), ha twittato la scorsa settimana.
Le conseguenze dell’attacco sono ancora in fase di misurazione. Il presidente Joe Biden è stato informato dell’attacco e ne ha discusso con i leader di India, Giappone e Australia in un vertice venerdì, ha detto il consigliere per la sicurezza nazionale Jake Sullivan. Il Consiglio di sicurezza nazionale ha assemblato una task force governativa multi-agenzia per affrontare la massiccia violazione.
La violazione segue l’hacking dell’anno scorso collegato alla Russia, che ha sfruttato il software SolarWinds per diffondere un virus su 18.000 reti di computer governativi e privati.
“Quello a Solarwinds è stato forte. Ma l’hacking di massa in corso qui è letteralmente il più grande hacking che ho visto nei miei quindici anni“, ha detto David Kennedy, CEO della società di cybersecurity TrustedSec. “In questo caso specifico, non c’era alcuna logica o ragione specifica per chi stavano hackerando. Era letteralmente hackerare tutti quelli che puoi in questa breve finestra di tempo e causare più problemi e caos possibile“.
Quando è iniziato l’attacco?
Gli hacker hanno iniziato a prendere di mira furtivamente i server Exchange “all’inizio di gennaio”, secondo la società di cybersicurezza Volexity, che Microsoft accredita per identificare gli exploit iniziali.
Secondo il vice presidente di Microsoft Tom Burt, gli hacker hanno prima ottenuto l’accesso a un server Exchange o con password rubate o utilizzando le vulnerabilità precedentemente non scoperte utilizzate per “mascherarsi come qualcuno che dovrebbe avere accesso“. Utilizzando le shell web, gli hacker hanno controllato i server attraverso l’accesso remoto, operando da server privati con sede negli Stati Uniti, per rubare i dati dalla rete di una vittima.
Chi c’è dietro l’attacco?
Microsoft ha identificato un gruppo cinese noto come “Hafnium“ come l’attore principale dietro gli attacchi iniziali.
Il gruppo Hafnium ha storicamente preso di mira “ricercatori di malattie infettive, studi legali, istituzioni di istruzione superiore, appaltatori della difesa, think tank politici e ONG“, ha scritto Burt in un post sul blog aziendale.
La risposta di Microsoft
Microsoft ha reso pubbliche le vulnerabilità il 2 marzo, e ha rilasciato “patch” per più versioni di Exchange. Mentre Microsoft lancia tipicamente gli aggiornamenti il secondo martedì di ogni mese – conosciuto come “Patch Tuesday” – il suo annuncio è arrivato il primo martedì del mese, un’indicazione dell’urgenza.
Giorni dopo, l’azienda ha anche fatto il passo insolito di rilasciare patch di sicurezza per le versioni non aggiornate di Exchange Server.
Un portavoce di Microsoft ha detto a CBS News che la società stava lavorando a stretto contatto con la CISA, altre agenzie governative e società di sicurezza. In una dichiarazione fornita a CBS News la scorsa settimana, la società ha detto: “La migliore protezione è quella di applicare gli aggiornamenti il più presto possibile su tutti i sistemi colpiti. Continuiamo ad aiutare i clienti fornendo ulteriori indagini e indicazioni di mitigazione. I clienti colpiti dovrebbero contattare i nostri team di supporto per ulteriore aiuto e risorse“.
Quale era l’obiettivo degli hacker?
L’obiettivo degli hacker non è chiaro. “Decine di migliaia di obiettivi, la maggior parte dei quali non hanno alcun valore di intelligence“, ha detto Read. “Sono solo una sorta di piccole città e aziende locali. Le loro informazioni probabilmente non hanno alcun valore per il governo cinese“.
E quello che è iniziato come un hack guidato da hacker cinesi ha presto lasciato il posto a una frenesia alimentata da bande criminali in altri paesi, tra cui la Russia.
Almeno 10 gruppi di spionaggio criminale hanno sfruttato le falle nel programma di posta elettronica Exchange Server in tutto il mondo, come riporta la società antivirus ESET.