I reparti di cybersecurity di ministeri, infrastrutture e grandi aziende, americane e non solo, sono sotto pressione per individuare e mitigare quello che è probabilmente il più vasto attacco informatico apportato alle loro infrastrutture.

Si ritiene che il gruppo di attacco sia affiliato al governo russo e che abbia avuto accesso ai sistemi di diversi ministeri degli Stati Uniti, incluso il Tesoro e il Commercio, il Pentagono e diverse agenzie di sicurezza nel corso di una lunga campagna cominciata lo scorso marzo. Non è chiara la portata dei danni, in termini di informazioni riservate sottratte o altre conseguenze, generati da una permanenza malevola così lunga all’interno di infrastrutture così critiche. A seguito della notizia, è stata convocata sabato una riunione di emergenza del Consiglio di Sicurezza Nazionale USA

L’incidente evidenzia l’impatto che può avere un attacco di tipo supply-chain, in cui viene compromesso il software di un fornitore per attaccare tutti i suoi clienti, e anche che purtroppo molte organizzazioni sono gravemente impreparate nel prevenire e rilevare questo tipo di minacce.

L’attacco è infatti cominciato compromettendo l’infrastruttura di SolarWinds, azienda che produce un tool per monitorare reti e applicazioni chiamato Orion, per poi sfruttare quell’accesso per produrre e distribuire degli aggiornamenti al software modificati per contenere un trojan. Su una pagina del suo sito web, rimossa dopo la diffusione della notizia, SolarWinds dichiara che la lista dei suoi cliente include 425 delle aziende Fortune 500, le prime dieci aziende di telecomunicazione, tutti i corpi dell’Esercito USA, il Pentagono, il Dipartimento di Stato e centinaia di università in tutto il mondo.

L’attacco a SolarWinds ha permesso agli attaccanti anche di avere accesso alla rete dell’azienda di cybersecurity FireEye, specializzata proprio nell’identificazione di attacchi informatici di alto profilo e alla successiva risposta. Anche se FireEye non ha rilasciato dichiarazioni sugli autori degli attacchi, il Washington Post riporta che si tratterebbe di APT29, meglio conosciuto come Cozy Bear, un gruppo affiliato all’SVR, il servizio di intelligence russo focalizzato sullo spionaggio all’estero.

FireEye ha rilevato inoltre che la lista delle vittime include anche governi, aziende di consulenza, telecomunicazione e industrie estrattive in Europa, Asia e Medio Oriente.

L’aggiornamento malevolo di SolarWinds Orion

Le build di Orion dalla versione 2019.4 HF 5 alla 2020.2.1 che sono state rilasciate tra marzo e giugno 2020 contengono un componente troianizzato. Nella sua nota con l’analisi dell’attacco, FireEye afferma però che la dinamica richiede una meticolosa pianificazione e l’interazione manuale da parte degli attaccanti.

Gli attaccanti hanno modificato un plug-in di Orion chiamato SolarWinds.Orion.Core.BusinessLayer.dll che è distribuito insieme agli aggiornamenti alla piattaforma Orion. Visto che la compromissione è avvenuta nella catena di produzione, il componente modificato con il trojan è stato firmato digitalmente da SolarWinds e riconosciuto quindi come legittimo. La libreria contiene però una backdoor che comunica con server esteri controllati dagli attaccanti. FireEye ha denominato questo componente SUNBURST e ha rilasciato delle regole di detection sotto licenza open source su GitHub.

“Dopo un periodo iniziale di inattività che può durare fino a due settimane, il trojan recupera ed esegue comandi, chiamati jobs, che includono la possibilità di trasferire ed eseguire file, profilare il sistema, riavviare la macchina e disabilitare servizi di sistema – riferiscono gli analisti FireEye –. Il malware maschera la sua attività di rete per simulare quella del protocollo Orion Improvement Program (OIP) e memorizza i risultati delle sue ricognizioni come file di configurazione del plugin Orion che sono in apparenza del tutto legittimi. In questo modo, tutte le attività vengono confuse nel normale comportamento del tool SolarWinds. La backdoor usa inoltre diverse blocklist per identificare antivirus e strument forensici eseguiti come processi, servizi e driver”.

Gli attaccanti hanno tenuto un profilo molto basso, preferendo sottrarre e usare credenziali per eseguire movimenti laterali sulla rete e stabilire un canale stabile per l’accesso remoto. La backdoor è stata usata per installare un “dropper” leggero e mai visto prima (un software in sé innocuo ma in grado di scaricare e installare altri malware) che FireEye ha chiamato TEARDROP. Questo dropper si carica direttamente in memoria e non lascia tracce sugli hard disk. Si ritiene che sia stato utilizzato per installare una versione modificata di Cobalt Strike BEACON, un software commerciale utilizzato dalle aziende di sicurezza che eseguono penetration testing ma che è già stato usato da sofisticati gruppi criminali.

Per evitare di essere individuati, gli attaccanti hanno usato tecniche che prevedono la temporanea sostituzione file. In pratica, hanno modificato un’utility presente sul sistema bersaglio con una contenente codice malevolo, la hanno eseguita, e poi sostituita di nuovo con la versione originale. Questa tecnica è stata usata anche con task pianificati.

Come difendersi da un attacco SolarWinds Orion

Secondo FireEye, questo è uno dei più sofisticati attacchi mai osservati, perché utilizza tecniche per evadere il rilevamento e sfrutta relazioni di trust sui processi software esistenti. L’azienda ritiene tuttavia che questi attacchi possono essere individuati attraverso un monitoraggio attenti e persistente e ha descritto diverse tecniche utili a questo scopo.

“Le entità attaccate possono esaminare i log alla ricerca di sessioni SMB che mostrano accesso a directory non sospette, ma che seguono uno schema cancellazione → creazione → esecuzione → cancellazione → creazione sullo stesso file – scrivono i ricercatori di FireEye -. In aggiunta, si possono analizzare i task pianificati alla ricerca di aggiornamenti temporanei, eseguendo un’analisi della frequenza per individuare delle modifiche anomale ai task eseguiti o task legittimi che attivano eseguibili sconosciuti”.

SolarWinds suggerisce ai clienti di aggiornare il prima possible Orion Platform alla versione 2020.2.1 HF 1 per assicurarsi di utilizzare una versione “pulita” del prodotto. L’azienda prevede anche di rilasciare martedì un nuovo hotfix 2020.2.1 HF 2 che sostituirà i componenti compromessi e aggiungerà ulteriori misure di sicurezza.

Il dipartimento Homeland Security americano ha anche rilasciato una direttiva di emergenza indirizzata alle organizzazioni governative affinché rilevino la presenza del componente compromesso e facciano rapporto.

Gli attacchi di tipo supply-chain non sono una novità, e gli esperti di cybersecurity da anni mettono in guardia aziende e governi sui loro rischi. Questi attacchi sono particolarmente efficaci perché sfruttano una relazione di fiducia esistente tra il bersaglio e i suoi fornitori software, e canali di comunicazione diretta tra macchine delle due organizzazioni, per esempio i meccanismi di aggiornamento del software.

Alcune risorse disponibili

SolarWinds Security Advisory

SolarWinds Security Advisory FAQs

SolarWinds CERT Advisory