(AGENPARL) - Roma, 18 Dicembre 2020Usa, Washington Examiner: Attacco straniero del governo degli Stati Uniti più grande di quanto precedentemente noto, avverte CISA
(AGENPARL) – Roma, 18 dicembre 2020 – La Cybersecurity and Infrastructure Security Agency ha rivelato giovedì che la massiccia campagna di hacking globale condotta da attori stranieri è persino più grande di quanto originariamente riportato.
I cyber-attori hanno ottenuto un accesso segreto alla backdoor in molti modi diversi dalla corruzione dell’aggiornamento del software SolarWinds pubblicamente noto.
“Uno dei vettori di accesso iniziale per questa attività è un compromesso della catena di fornitura dei seguenti prodotti SolarWinds Orion. CISA ha prove di ulteriori vettori di accesso iniziale, diversi dalla piattaforma SolarWinds Orion; tuttavia, questi sono ancora oggetto di indagine “, ha scritto CISA giovedì, sottolineando che” il compromesso della catena di approvvigionamento di SolarWinds Orion non è l’unico vettore di infezione iniziale utilizzato da questo attore di minacce persistenti avanzate “.
L’agenzia di sicurezza federale ha anche avvertito giovedì che “questa minaccia rappresenta un grave rischio per il governo federale e per i governi statali, locali, tribali e territoriali, nonché per le entità infrastrutturali critiche e altre organizzazioni del settore privato”.
La CISA ha affermato che gli hacker stranieri avevano compromesso “agenzie governative statunitensi, entità infrastrutturali critiche e organizzazioni del settore privato” a partire “almeno” a marzo e che gli attori informatici “hanno dimostrato pazienza, sicurezza operativa e abilità commerciali complesse in queste intrusioni”.
L’agenzia ha aggiunto che “si aspetta che la rimozione di questo attore di minacce da ambienti compromessi sarà altamente complessa e impegnativa per le organizzazioni” e che “è probabile che l’avversario abbia ulteriori vettori di accesso iniziale e tattiche, tecniche e procedure che non sono ancora state scoperto. “
La CISA ha emesso una direttiva a livello di governo poco prima della mezzanotte di domenica per eliminare tutte le reti di agenzie federali dai server potenzialmente compromessi dopo aver scoperto che, per lo meno, i dipartimenti del Tesoro e del Commercio sono stati vittime di una campagna informatica di un mese sospettata da molti di essere russa. sforzo di hacking. Si ritiene che ne siano vittime anche il Department of Homeland Security, il Dipartimento di Stato e il National Institutes of Health.
SolarWinds ha riconosciuto domenica notte che i suoi sistemi erano stati compromessi da hacker che si erano infiltrati negli aggiornamenti software dell’azienda Orion per distribuire malware ai computer dei suoi clienti. La società di gestione della rete statunitense ha affermato che circa 18.000 dei suoi clienti sono stati colpiti. Prima che i clienti venissero rimossi dal sito web della società, si vantava che i suoi 300.000 clienti includevano “più di 425 delle Fortune 500 statunitensi”, le 10 più grandi società di telecomunicazioni negli Stati Uniti, “tutti e cinque di diverse agenzie governative, tra cui il Dipartimento di Stato, l’Agenzia per la sicurezza nazionale, il Dipartimento di giustizia e l’Ufficio del Presidente.
Il presidente delle finanze del senato repubblicano Chuck Grassley e il senatore democratico Ron Wyden hanno inviato giovedì una lettera al commissario dell’IRS Charles Rettig, come riportato dal Wall Street Journal , chiedendo un briefing, scrivendo: “Data l’estrema sensibilità delle informazioni personali dei contribuenti affidate al IRS e il danno alla privacy degli americani e alla nostra sicurezza nazionale che potrebbe derivare dal furto e dallo sfruttamento di questi dati da parte dei nostri avversari, è imperativo che comprendiamo fino a che punto l’IRS potrebbe essere stato compromesso “.
Mercoledì, un gruppo bipartisan di sei senatori ha dichiarato all’FBI e alla CISA che “stiamo cercando tutte le informazioni disponibili sulla portata e sui dettagli degli impatti della vulnerabilità recentemente esposta sul governo federale degli Stati Uniti”.
Mercoledì l’FBI, la CISA e l’Ufficio del direttore dell’intelligence nazionale hanno rilasciato una dichiarazione congiunta in cui rivela che la “campagna di sicurezza informatica” è stata “significativa e in corso”. I gruppi hanno istituito un Cyber ??Unified Coordination Group per rispondere alla crisi e hanno avvertito che “mentre continuiamo a lavorare per comprendere appieno la portata di questa campagna, sappiamo che questo compromesso ha colpito le reti all’interno del governo federale”.
FireEye, una società di sicurezza informatica che lavora con le agenzie governative per denunciare e combattere gli attacchi informatici stranieri, ha riferito di aver scoperto un ” aggressore altamente evasivo ” infiltrato negli aggiornamenti del software Orion di SolarWinds. L’azienda ha annunciato la scorsa settimana di essere stata hackerata.
Un portavoce di FireEye ha dichiarato mercoledì al Washington Examiner che “SUNBURST è il malware distribuito tramite il software SolarWinds” e che “come parte dell’analisi di SUNBURST di FireEye, abbiamo identificato un kill switch che impedirebbe a SUNBURST di continuare a funzionare”. Il gruppo ha affermato che “questo kill switch influenzerà le nuove e precedenti infezioni SUNBURST disabilitando le distribuzioni SUNBURST … tuttavia, nelle intrusioni che FireEye ha visto, questo attore si è mosso rapidamente per stabilire ulteriori meccanismi persistenti per l’accesso alle reti delle vittime oltre la backdoor SUNBURST.”
Thomas Bossert, un ex consigliere per la sicurezza nazionale di Trump, mercoledì ha avvertito sul New York Times che “l’entità di questo attacco in corso è difficile da sopravvalutare”. Ha detto che “i russi hanno avuto accesso a un numero considerevole di reti importanti e sensibili da sei a nove mesi” e che “la conclusione logica è che dobbiamo agire come se il governo russo avesse il controllo di tutte le reti in cui è penetrato. “
“Siamo a conoscenza di un potenziale vulnerabilità che, se presente, è attualmente crede di essere collegato con gli aggiornamenti che sono stati rilasciati tra marzo e giugno 2020, per i nostri prodotti Orion monitoraggio,” Kevin Thompson, l’amministratore delegato di SolarWinds, ha detto al Washington Examiner sopra la fine settimana. “Riteniamo che questa vulnerabilità sia il risultato di un attacco alla catena di approvvigionamento altamente sofisticato, mirato e manuale da parte di uno stato-nazione”.
Se la colpevolezza russa fosse stabilita per gli hack delle agenzie governative degli Stati Uniti, si richiamerebbe all’hacking su larga scala della Russia del Dipartimento di Stato nel 2014. Anche attori affiliati all’intelligence militare russa sono stati nominati dagli Stati Uniti come responsabili dell’hacking del Sistemi di posta elettronica del Comitato nazionale democratico nel 2016.
