Alcuni giorni prima che Microsoft rilasciasse una correzione per un attacco segreto ai suoi sistemi di posta elettronica, gli hacker hanno esteso loro attività, sfruttando le vulnerabilità su migliaia di server in oltre 100 paesi.
di Patrick Howell O’Neill
All’inizio gli hacker cinesi hanno condotto un’attenta campagna. Per due mesi hanno sfruttato i punti deboli dei server di posta elettronica di Microsoft Exchange, scelto con cura i loro obiettivi e rubato indirizzi di posta. Quando alla fine gli investigatori hanno capito cosa stava succedendo, sembrava un tipico caso di spionaggio online, ma poi le cose hanno subito un’accelerazione drammatica.
In breve, l’operazione ristretta si è trasformata in qualcosa di molto più grande e molto più caotico. Pochi giorni dopo il 26 febbraio, Microsoft ha divulgato pubblicamente gli attacchi (gli hacker sono ora noti come Hafnium) e ha emesso una correzione per la sicurezza. Ma a quel punto gli aggressori erano alla ricerca di obiettivi su tutta Internet. Oltre alle decine di migliaia di vittime denunciate negli Stati Uniti, i governi di tutto il mondo hanno annunciato di essere stati colpiti a loro volta.
Secondo la società di sicurezza ESET, ora almeno 10 gruppi di hacking, la maggior parte dei quali team di spionaggio informatico sostenuti da governi, stanno sfruttando le vulnerabilità su migliaia di server in oltre 115 paesi. Mentre il presidente Joe Biden sta prendendo in considerazione ritorsioni contro gli hacker russi, il cui attacco a un’altra azienda di software, SolarWinds, è diventato pubblico a dicembre, le conseguenze dell’hackeraggio di Hafnium sembrano devastanti.
Mentre gli esperti si affrettano a chiudere i buchi aperti dalle violazioni cinesi, i funzionari affermano che il governo americano è concentrato da vicino su ciò che accade a migliaia di nuovi server vulnerabili e su come rispondere alla Cina. “Le porte sono spalancate a qualsiasi cattivo attore che vogliaattaccare il tuo server Exchange e al resto della tua rete”, afferma Sean Koessel, vicepresidente di Volexity, la società di sicurezza informatica che ha contribuito a scoprire l’attività di hacking. “L’ipotesi migliore è lo spionaggio, vale a dire qualcuno che vuole solo rubare i tuoi dati. Il caso peggiore è che il ransomware penetri e infetti tutta la rete”.
La distinzione tra i due attacchi non riguarda solo i dettagli tecnici o quale paese li abbia commessi. Sebbene 18.000 aziende abbiano scaricato il software SolarWinds compromesso, il numero di obiettivi originali riguardava solo una modesta frazione dell’intero blocco. Hafnium, invece, attacca in modo indiscriminato.
“Entrambe sono nate come campagne di spionaggio, ma la differenza è nel come sono state condotte”, afferma Dmitri Alperovitch, presidente del Silverado Policy Accelerator e cofondatore della società di sicurezza CrowdStrike. “La campagna russa con SolarWinds è stata portata avanti con molta attenzione, perseguendo unicamente gli obiettivi a cui tenevano e bloccando l’accesso ovunque, in modo che né loro né nessun altro potessero essere coinvolti. La campagna cinese appare di gran lunga differente”.
“Il 27 febbraio”, continua Alperovitch, “ si rendono conto che la patch sta per uscire e decidono di compromettere tutti. Hanno lasciato shell web che ora possono consentire ad altri di entrare in quelle reti, potenzialmente persino attori di ransomware. Ecco perché la situazione è pericolosa e deve essere affrontata”.
La vulnerabilità è stata sfruttata in massa
L’inizio della campagna di Hafnium è stato “molto sottotraccia”, dice Koessel. L’azione di hacking è sfuggita alla maggior parte dei controlli di sicurezza ed è stata individuata solo quando Volexity ha notato richieste di traffico Internet inconsuete ai clienti dell’azienda che gestivano i propri server di posta elettronica con il software Microsoft Exchange.
Un’indagine durata un mese ha mostrato che quattro rari exploit zero-day venivano utilizzati per rubare intere caselle di posta, con conseguenze potenzialmente devastanti per le persone e le aziende coinvolte ma, visto il numero relativamente basso di vittime, il danno era relativamente limitato. Volexity ha lavorato con Microsoft per settimane per risolvere le vulnerabilità, ma alla fine di febbraio Koessel afferma di aver visto un cambiamento importante: oltre all’incremento del numero delle vittime si è assistito a un aumento del numero di gruppi di hacking.
Non è chiaro come più gruppi di hacker governativi siano venuti a conoscenza delle vulnerabilità zero-day prima che Microsoft facesse un annuncio pubblico. Allora perché la portata dello sfruttamento delle debolezze del sistema è esplosa? Forse, alcuni suggeriscono, gli hacker potrebbero aver capito che il loro tempo era quasi scaduto. Se sapevano, però, che stava arrivando una patch, come l’hanno scoperto?
“Penso che sia molto raro vedere così tanti gruppi diversi di hacking avanzato che hanno accesso all’exploit per una vulnerabilità mentre i dettagli non sono pubblici”, afferma Matthieu Faou, che guida la ricerca sugli hacking di Exchange per ESET. “Ci sono due possibilità principali”, egli dice. O “i dettagli delle vulnerabilità sono in qualche modo arrivati agli attori delle minacce” o un altro team di ricerca sulle vulnerabilità che lavora per gli attori delle minacce “ha scoperto in modo indipendente lo stesso insieme di vulnerabilità”.
Volexity ha guardato gli hacker di Hafnium nascondersi all’interno delle reti per un mese e ha preso provvedimenti per eliminarli prima che Microsoft emettesse una patch. Questo potrebbe essere stato il fattore scatenante che ha provocato l’escalation di Hafnium. Oppure, suggerisce Alperovitch, gli hacker avrebbero potuto capire in un altro modo che sarebbe arrivata una patch, in quanto i team di sicurezza di tutto il settore, inclusi quelli di Microsoft, si scambiano regolarmente informazioni sulle vulnerabilità e le soluzioni in anticipo. Una volta che Microsoft ha fatto l’annuncio pubblico, anche altri gruppi di hacker si sono uniti alla mischia.
“Il giorno dopo il rilascio delle patch, abbiamo iniziato a osservare molti altri attori delle minacce che scansionavano e compromettevano i server Exchange in massa”, afferma Faou. Tutti tranne uno dei gruppi di hacking attivi sono noti team di hacker sostenuti dal governo e incentrati sullo spionaggio. “Tuttavia, è inevitabile che un numero sempre maggiore di autori di minacce, inclusi gli operatori di ransomware, prima o poi avranno accesso agli exploit”, egli spiega.
Man mano che l’attività aumentava, Volexity ha notato un altro cambiamento nel comportamento: gli hacker hanno abbandonato i web shell utilizzati per irrompere nei sistemi. Si tratta di semplici strumenti di hacking che consentono un accesso backdoor persistente e remoto alle macchine infette in modo che l’hacker possa controllarle. Possono essere efficaci, ma sono anche relativamente facili da individuare.
Una volta che gli hacker rilasciano una shell su una macchina, possono continuare a tornare fino a quando non è stata ripulita. Ma la shell web stessa è a malapena protetta e può essere cooptata da altri hacker, prima per entrare nei server Exchange e rubare le e-mail e poi per attaccare intere reti.”È una porta con una serratura che si apre facilmente”, afferma Alperovitch.
Una sfida diversa
L’hacking continua a crescere. Microsoft ha intrapreso il raro passo lunedì di rilasciare patch di sicurezza per versioni non supportate di Exchange che normalmente sarebbero troppo vecchie per essere protette, segno di quanto l’azienda ritenga grave l’attacco. Mentre la Casa Bianca valuta la risposta, il rischio cresce. L’amministrazione Biden sta affrontando con prudenza il caso di SolarWinds, ma il caos degli hack di Hafnium presenta una sfida completamente diversa.
“Ai cinesi deve arrivare il messaggio che azioni del genere sono inaccettabili”, sostiene Alperovitch. Gli Stati Uniti devono mettere in chiaro “che li riterremo responsabili di qualsiasi danno derivante da attori criminali che sfruttano questo accesso”, egli conclude, “e dobbiamo spingerli a rimuovere le shell web da tutti i sistemi delle vittime il prima possibile”.
Foto: Demetrius Freeman-Pool / Getty Images
