Il responsabile dell’agenzia statunitense preposta alla sicurezza informatica afferma che la ricostruzione dell’azienda richiederà al governo tempi lunghi.
di Patrick Howell O’Neill
La campagna di hacking contro le agenzie governative americane e le principali aziende è stata scoperta per la prima volta nel novembre 2020. Almeno nove agenzie federali sono state prese di mira, tra cui il Dipartimento per la sicurezza interna e il Dipartimento di Stato. Gli aggressori, che i funzionari statunitensi ritengono essere russi, hanno sfruttato un prodotto realizzato dall’azienda di software statunitense SolarWinds per hackerare obiettivi governativi e aziendali.
Brandon Wales, direttore ad interim di CISA, l’Agenzia statunitense per la sicurezza e l’infrastruttura informatica, afferma che si potrà arrivare fino al 2022 prima che i funzionari siano in grado di proteggere completamente le reti governative compromesse. Anche la piena comprensione dell’entità del danno richiederà mesi.
“Non lo definirei un problema semplice”, dice Wales. “Ci sono tempi lunghi per la risposta a questo incidente. In primo luogo, nel breve periodo, cerchiamo di rimuovere l’aggressore dalla rete, chiudendo gli account che controlla ed eliminando i punti di ingresso utilizzati per accedere alle reti. Ma dato il tempo trascorso all’interno di queste reti – mesi – la ripresa strategica richiederà tempo”.
Quando gli hacker sono riusciti a penetrare così in profondità, la risposta a volte può essere una ricostruzione completa da zero. Gli hacker hanno cercato di minare la fiducia nelle reti mirate, rubare identità e acquisire la capacità di impersonare o creare utenti apparentemente legittimi per accedere liberamente agli account Microsoft 365 e Azure delle vittime. Avendo preso il controllo della fiducia e dell’identità, gli hacker diventano molto più difficili da rintracciare.
“La maggior parte delle agenzie che sono coinvolte in questo livello di ricostruzione impiegheranno dai 12 ai 18 mesi per assicurarsi di avere le protezioni appropriate”, afferma Wales. Le agenzie di intelligence americane affermano che gli hacker russi si sono infiltrati per la prima volta nel 2019.
Successive indagini hanno dimostrato che gli hacker hanno iniziato a utilizzare i prodotti dell’azienda per distribuire malware entro marzo 2020 e la loro prima violazione riuscita del governo federale degli Stati Uniti è avvenuta all’inizio dell’estate. Il periodo è molto più lungo del tempo in cui le organizzazioni mantengono i costosi diari di viaggio necessari per individuare con successo gli hacker.
SolarWinds Orion, il prodotto per la gestione della rete preso di mira, viene utilizzato in decine di migliaia di aziende e agenzie governative. Oltre 17.000 organizzazioni hanno scaricato la backdoor infetta. Gli hacker sono stati abili nell’individuare l’obiettivo, per cui ci è voluto così tanto tempo per catturarli e ci vuole così tanto tempo per comprenderne il pieno impatto.
La difficoltà di scoprire l’entità del danno è stata ben riassunta da Brad Smith, presidente di Microsoft, in un’audizione al Congresso la scorsa settimana. “Chi sa tutto quello che è successo?” Egli ha detto. “In questo momento, solo l’aggressore sa tutto quello che ha fatto”.
Kevin Mandia, CEO dell’azienda di sicurezza FireEye, che ha lanciato i primi allarmi sull’attacco, ha detto al Congresso che gli hacker potevano facilmente bloccare tutto, ma il loro scopo era di rubare dati mirati. In realtà non si sono limitati a una irruzione distruttiva”.
Il risvolto positivo della vicenda
Il CISA ha avuto sentore per la prima volta di un problema quando FireEye ha scoperto che era stata violata e ha informato l’agenzia. L’azienda lavora regolarmente a stretto contatto con il governo degli Stati Uniti e, sebbene non fosse legalmente obbligata a informare nessuno dell’hacking, ha rapidamente condiviso le notizie della violazione con le reti aziendali sensibili.
È stata Microsoft a dire al governo statunitense che le reti federali erano state compromesse. L’azienda ha condiviso queste informazioni con Wales l’11 dicembre, ha detto in un’intervista. Microsoft ha osservato gli hacker entrare nel cloud Microsoft 365 utilizzato da molte agenzie governative. Il giorno dopo, FireEye ha informato CISA della backdoor di SolarWinds, uno strumento poco conosciuto ma estremamente diffuso e potente.
Si è allora capito che la portata dell’hackeraggio potrebbe essere enorme. Gli investigatori del CISA hanno finito per lavorare direttamente durante le vacanze per aiutare le agenzie a individuare gli hacker nelle loro reti. Questi interventi sono stati resi ancora più complicati dal fatto che Wales aveva appena rilevato l’agenzia perché giorni prima l’ex direttore Chris Krebs era stato licenziato da Donald Trump per aver ripetutamente denunciato la disinformazione della Casa Bianca sull ‘elezione “rubata”.
Mentre i titoli del licenziamento di Krebs si sono concentrati sull’impatto immediato sulla sicurezza elettorale, Wales aveva altre preoccupazioni da fronteggiare. L’hackeraggio quasi certamente accelererà la già evidenta ascesa del CISA, aumentandone i finanziamenti, l’autorità e il supporto.
Recentemente alla CISA è stata conferita l’autorità legale per cercare costantemente minacce informatiche in tutto il governo federale, ma Wales afferma che l’agenzia non dispone delle risorse e del personale per svolgere questa missione. A suo parere, CISA deve anche essere in grado di distribuire e gestire sistemi di rilevamento degli endpoint sui computer in tutto il governo federale al fine di rilevare comportamenti sospetti. Infine, sottolineando il fatto che gli hacker si sono mossi liberamente nel cloud di Microsoft 365, Wales afferma che CISA deve spingere per una maggiore visibilità nell’ambiente cloud al fine di rilevare lo spionaggio informatico in futuro.
Nell’ultimo anno, i sostenitori del CISA hanno spinto affinché diventasse la principale agenzia di sicurezza informatica della nazione. Questo disastro senza precedenti potrebbe rivelarsi il catalizzatore di cui ha bisogno. “La vicenda ha un risvolto positivo”, ha detto Mark Montgomery, ex direttore esecutivo della Cyberspace Solarium Commission, in una telefonata. “Si tratta di uno dei più significativi attacchi informatici mai condotti contro il governo”.
Foto: Jorge Acala / Unsplash
