‘Bucate’ le reti informatiche di protezione al nucleare degli Stati Uniti. Il dipartimento per l’Energia e l’amministrazione per la Sicurezza nucleare nazionale, responsabile dei depositi di armi atomiche Usa, hanno denunciato la violazione del loro network nel quadro di una vasta cyber operation finalizzata allo spionaggio che ha coinvolto diverse agenzie federali.
Già il 13 dicembre scorso l’agenzia Reuters annunciava che hackers stranieri, al soldo di un governo “ostile”, si sarebbero impossessati di informazioni del Dipartimento del Tesoro, del commercio e di un’agenzia responsabile di internet e Tlc, tutte statunitensi. Tuttavia, a fronte del nuovo attacco, il Dipartimento dell’Energia ha tenuto a sottolineare che le funzioni di sicurezza nazionale della National Nuclear Security Administration non sono state influenzate dall’attacco informatico.
Le agenzie statunitensi violate nella campagna di cyberspionaggio sono state comunque incaricate di setacciare le loro reti alla ricerca di malware e disconnettere i server potenzialmente compromessi, dopo che le autorità hanno appreso dall’azienda di sicurezza informatica FireEye la violazione dei sistemi informatici.
La propagazione del cyber attack
L’agenzia di cybersecurity californiana, Fireeye, ha riferito che anche alcuni sistemi informatici di governi stranieri e importanti aziende sarebbero stati compromessi. In una rara direttiva di emergenza emessa nella serata di domenica scorsa, il team di sicurezza informatica del Dipartimento per la sicurezza interna ha avvertito l’ufficio esecutivo di un “rischio inaccettabile” derivante da una temuta penetrazione su larga scala delle agenzie governative degli Stati Uniti che potrebbe essere iniziato già dall’estate scorsa. “Questo può trasformarsi in una delle campagne di spionaggio più impattanti mai registrate ”, ha affermato Dmitri Alperovitch, esperto di cybersecurity.
La società di sicurezza informatica hackerata, l’apparente “condotto” per gli hackers del Ministero del Tesoro e del Commercio, e il compromesso FireEye, è una componente di software server estremamente popolare chiamato SolarWinds. Viene utilizzato da centinaia di migliaia di organizzazioni in tutto il mondo, tra cui la maggior parte delle aziende “Fortune 500” e più agenzie federali statunitensi, ha affermato Alperovitch, ex chief technical officer della società di sicurezza informatica CrowdStrike. La direttiva DHS, la quinta da quando sono state create nel 2015, afferma che le agenzie statunitensi dovrebbero disconnettere o spegnere immediatamente tutte le macchine che eseguono il software SolarWinds interessato.
FireEye, senza nominare alcun obiettivo specifico, ha affermato in un post sul blog che la sua indagine sull’hacking della propria rete aveva identificato “una campagna globale” rivolta ad alcuni governi e al settore privato che, a partire dalla primavera, aveva inserito il malware in un aggiornamento del software SolarWinds.
Il malware ha fornito agli hacker l’accesso remoto alle reti delle vittime e Alperovitch ha affermato che SolarWinds concede l’accesso in modalità “Dio” a una rete, rendendo tutto visibile. “Prevediamo che questo sarà un evento molto grande quando tutte le informazioni verranno alla luce – ha affermato John Hultquist, direttore dell’analisi delle minacce di FireEye – L’attore sta operando furtivamente, ma sicuramente stiamo ancora alla ricerca di obiettivi in cui riesce a operare”. Sul suo sito, SolarWinds afferma di avere 300.000 clienti in tutto il mondo, inclusi tutti e cinque i rami delle forze armate statunitensi, il Pentagono, il dipartimento di Stato, la Nasa, l’Agenzia per la sicurezza nazionale, il Dipartimento di giustizia e la Casa Bianca.
Nella lunga lista compaiono anche le 10 principali società di telecomunicazioni statunitensi e le prime cinque società di contabilità e amministrazione.
FireEye ha confermato violazioni dei sistemi in Nord America, Europa, Asia e Medio Oriente, anche nel settore sanitario e nell’industria petrolifera e del gas specificando che il malware che ha guidato l’aggiornamento di SolarWinds non ha seminato malware auto-propagante e che qualsiasi infiltrazione effettiva per un’operazione di “intrusione letale” richiedeva “una pianificazione meticolosa e comunque un’interazione manuale”.
La Cybersecurity and Infrastructure Security Agency del governo statunitense ha affermato di lavorare con altre agenzie per contribuire a “identificare e mitigare eventuali potenziali compromessi ”. L’Fbi ha affermato di essere impegnata in una risposta, ma ha rifiutato di fornire ulteriori commenti.
Sotto accusa la fragilità dei sistemi di difesa
Proprio il mese scorso il presidente Donald Trump aveva licenziato il direttore del Cisa, Chris Krebs, dopo che lo stesso aveva garantito l’integrità delle elezioni presidenziali e contestato le affermazioni di Trump di diffuse frodi elettorali. In un tweet di domenica, successivo alla scoperta della cyber operation, Krebs ha detto che “gli hack di questo tipo richiedono tempo e capacità di lavoro eccezionali”, aggiungendo che credeva che il suo impatto stesse solo iniziando a essere compreso. Le agenzie federali sono state a lungo obiettivi privilegiati per gli hacker stranieri che cercano di ottenere informazioni sul personale addetto all’amministrazione americana e sulla definizione delle politiche Usa.
“Riteniamo che questa vulnerabilità sia il risultato di un attacco alla catena di approvvigionamento altamente sofisticato, mirato e operato manualmente da parte di uno Stato nazionale”, ha affermato in una nota il CEO di SolarWinds, Kevin Thompson, riferendo anche che sta collaborando con l’Fbi, la FireEye e la comunità dell’intelligence. FireEye ha annunciato martedì di essere stato violato, riferendo che hacker di Stati esteri con “capacità di livello mondiale ” hanno fatto irruzione nella sua rete e hanno rubato gli strumenti che utilizza per sondare le difese delle sue migliaia di clienti. Gli hacker “cercavano principalmente informazioni relative a determinati clienti governativi ”, ha affermato in un comunicato Kevin Mandia, CEO di FireEye, pur senza nominarli.
Il sospetto
Secondo alcune fonti interpellate, tra i principali sospettati vi sarebbe un gruppo di hackers denominato helix kitten, anche noto con la sigla APT34. L’entità occulta, non casualmente comunica e opera in lingua “Farsi”, ossia il persiano. Le fonti contattate in merito hanno riferito che il gruppo opererebbe per il regime di Teheran e costituirebbe una divisione particolarmente avanzata del sistema di Difesa iraniano nel campo della cyber intelligence protesa a colpire interessi dei Paesi nemici. Attivo almeno dal 2007 ma comparso nel 2009, l’APT34 ha colpito nel tempo diverse organizzazioni di Advanced Persistent Threat.
Secondo quanto riferito, Helix kitten, non a caso, ha preso di mira organizzazioni operanti soprattutto nei settori finanziario, energetico, delle telecomunicazioni e chimico, nonché sistemi infrastrutturali critici. Tutti obiettivi che rientrano nei programmi di modernizzazione di Teheran e del suo apparato bellico.
Ma nell’aprile 2019, il codice-sorgente degli strumenti di cyber-spionaggio di APT34 è trapelato tramite Telegram, rivelando che l’APT34 utilizzerebbe macro di Microsoft Excel, exploit basati su PowerShell e ingegneria sociale per ottenere l’accesso ai suoi obiettivi.
Il recente attacco ai sistemi informatici statunitensi potrebbe quindi trovare una spiegazione nella volontà ritorsione di Teheran a fronte delle operazioni condotte in Iraq, Siria e all’interno dello stesso Iran, non ultime le eliminazioni di Qassem Soleimani e dello scienziato Farhazadeh, operate dall’esercito Usa e dall’alleato israeliano.
