Gruppo hacker cinese attacca SolarWinds
Il software SolarWinds è stato attaccato con un exploit zero-day da un gruppo di hacker cinese, con il presunto obiettivo di accedere ai clienti della società
15/07/2021 di Giorgia Giangrande
SolarWinds è il nome della società americana che sviluppa software per aiutare le aziende nella gestione delle loro reti, sistemi ed infrastrutture informatiche. Ed è proprio SolarWinds protagonista di attacco hacker, in una lista oramai infinita di sistemi digitali continuamente presi di mira dai cybercriminali.
LEGGI ANCHE > Oltre 700 milioni di dati LinkedIn sotto attacco hacker
Microsoft individua attacco zero-day
L’attacco hacker è emerso durante uno dei controlli di routine di Microsoft 365 Defender e, nello specifico, dalla divisione di Microsoft dedicata alla cybersicurezza, cioè MSTIC (Microsoft Threat Intelligence Center). Durante il monitoraggio, il software ha riscontrato un «processo maligno anomalo». Il tipo di attacco si chiama zero-day e in termini informatici si tratta di una qualsiasi vulnerabilità di sicurezza informatica ignota allo sviluppatore o alla casa che ha prodotto un determinato sistema informatico.
Qualcosa di non familiare, quindi, che ha messo in allerta Microsoft. Come segnala The Verge, l’azienda ha dichiarato nel suo blog di aver osservato il gruppo hacker prendere di mira le organizzazioni nella ricerca e sviluppo militare degli Stati Uniti.
SolarWinds attacco hacker: il mittente
Secondo quanto ha segnalato l’azienda Microsoft, il mittente dell’attacco sarebbe DEV-0322, un gruppo denominato così in via precauzionale prima di raggiungere un’elevata certezza sull’origine o l’identità del gruppo hacker. Ciò che è certo è che questo opera dalla Cina e sta usando soluzioni VPN commerciali e router consumer compromessi per effettuare i propri attacchi sul software Serv-U FTP di SolarWinds.
Dopo il primo hack nel dicembre 2020 che ha esposto al pericolo centinaia di agenzie governative e aziende, adesso SolarWinds ha segnalato subito l’exploit zero-day, spiegando che tutte le versioni di Serv-U dal 5 maggio e precedenti contenevano la vulnerabilità. L’azienda ha rilasciato un hotfix per affrontare il problema e l’exploit è stato patchato, ma Microsoft scrive che se il protocollo Secure Shell (SSH) di Serv-U si è collegato a Internet, gli hacker potrebbero «eseguire in remoto il codice arbitrario con privilegi, permettendo loro di eseguire azioni come installare ed eseguire payload dannosi, o visualizzare e modificare i dati».
Chiunque esegua il vecchio software Serv-U è quindi incoraggiato ad aggiornarlo il prima possibile, perché DEV-0322 ha preso l’abitudine di attaccare «entità nel settore della base industriale della difesa degli Stati Uniti».
Le ragioni di questi attacchi come sempre lasciano spazio all’immaginazione, però riflettere su di esse dà l’idea di quanto grandi e pericolose siano le potenzialità di chi è in grado di muoversi con destrezza dietro le quinte dei black screen che maneggiamo ogni giorno.