Analisi – I “supply-chain attacks” su scala globale sono incrementati esponenzialmente nel corso degli ultimi anni. Le conseguenze sono pervasive e molto dannose: l’attacco subito da SolarWinds ne è un chiaro esempio. L’evento si è svolto tra la fine del 2020 e i primi mesi del 2021 e rappresenta una delle operazioni di cyber-spionaggio piĂą complesse mai realizzate.
SUPPLY-CHAIN ATTACK
L’attacco a SolarWinds rappresenta uno degli attacchi cibernetici piĂą complessi e interessanti di questo secolo. nello specifico si tratta di un supply chain attack. Tali violazioni si verificano quando un soggetto (attacker) si infiltra nella rete o sistema bersaglio, attaccando un fornitore legato al bersaglio designato. In altre parole, al posto di colpire direttamente un singolo bersaglio si attacca l’anello debole della catena di approvigionamento informatica del bersaglio. La superficie d’attacco è piĂą grande, di conseguenza aumentano le probabilitĂ di colpire altri bersagli e l’attaccante diventa ancora meno visibile.Â
Fig. 1 – Logo di SUNBURST creato da SophosLabs Threat Research
TEMPISTICA DELL’ATTACCO
A dicembre 2020 è stata resa pubblica la notizia di un attacco hacker subito da un’azienda statunitense di cyber-sicurezza. Il bersaglio dell’attacco era FireEye, societĂ statunitense specializzata in sicurezza di reti informatiche. La fase iniziale dell’attacco, solo per aver compromesso FireEye, assumeva giĂ di per sĂ© una valenza rilevante, poichĂ© gli attaccanti avevano avuto accesso alla rete interna e successivamente trafugato strumenti di penetration testing, ovvero le attivitĂ di verifica necessarie per dimostrare che un sistema informatico soddisfi i requisiti di sicurezza, e valutazione delle vulnerabilitĂ della sezione “Red Team” (team di offesa) dell’azienda. Indagando sull’intrusione subita i tecnici di FireEye hanno scoperto che l’attacco era stato condotto sotto forma di aggiornamento malevolo del software Orion, il quale viene usato per monitorare e amministrare le reti interne delle aziende. Il software Orion viene commercializzato da un’azienda molto importante e radicata nel settore dei software ovvero SolarWinds. Questa scoperta ha immediatamente messo in allarme sia FireEye che SolarWinds, in quanto quest’ultima fornisce software quasi 20mila clienti in tutto il mondo, comprese grandi multinazionali e dipartimenti governativi statunitensi. Nell’analisi pubblicata in precedenza da FireEye il malware utilizzato dagli attaccanti viene denominato SUNBURST. In particolare quest’ultimo sarebbe un componente malevolo che è stato inserito all’interno di un aggiornamento del software Orion. La rete di SolarWinds sarebbe stata compromessa in precedenza dagli attaccanti per poi iniettare furtivamente il proprio malware nel codice sorgente del software Orion e attendere che l’azienda firmasse digitalmente i pacchetti di aggiornamento contenenti SUNBURST, mascherandoli così per legittimi.Â
L’ampia estensione dell’attacco e la presenza di dipartimenti governativi tra i bersagli suggeriscono che il vero obiettivo dell’attacco fosse l’ottenimento di informazioni sulle strategie diplomatiche e di difesa degli Stati Uniti d’America. Un attacco di tale portata poteva essere condotto solo da soggetti preparati e finanziati, i quali avrebbero colpito un elevatissimo numero di bersagli, camuffando così i veri obiettivi. L’ipotesi viene parzialmente confermata da FireEye, la quale, nella sua indagine, denomina gli attaccanti con la nomenclatura “UNC2452”, descrivendoli come attori capaci di condurre attacchi sofisticati e di garantirsi un accesso costante a SolarWinds rimanendo invisibili. Secondo il resoconto pubblicato da SolarWinds, infatti, le prime fasi dell’attacco si sarebbero verificate ancora prima del dicembre 2020 e risalirebbero al settembre 2019. L’azienda di cybersicurezza russa Kaspersky ha successivamente pubblicato un aggiornamento della propria analisi su SUNBURST, rivelando che diverse funzionalitĂ di SUNBURST si sovrapporrebbero a un’altra backdoor precedentemente identificata e nota come KAZUAR. A sua volta il malware KAZUAR sarebbe stato attribuito al gruppo APT Turla. Tale gruppo, conosciuto anche come VenomousBear o Snake, è un gruppo di hacker russo noto per i suoi legami con l’FSB. Successivamente è stato rilevato un malware aggiuntivo denominato SUNSPOT.Â
SUNBURST e SUNSPOT, tuttavia, non sono stati gli unici malware coinvolti nell’attacco. Nella già citata analisi iniziale di FireEye viene descritto anche un terzo malware, ovvero TEARDROP. Infine l’azienda di cybersecurity Symantec ha rilevato un quarto e ultimo malware coinvolto: RAINDROP. Un malware con caratteristiche e compiti simili a TEARDROP, ma differente sotto altri aspetti. La coppia TEARDROP/RAINDROP nell’ambito delle attività “post-compromissione” si occupa di “armare” la backdoor, precedentemente schierata, tramite il caricamento di un cosiddetto Cobalt Strike Beacon. Per Cobalt Strike Beacon si intende un programma che fornisce un controllo da remoto sul sistema della vittima attraverso un tunnel di rete crittografato per esfiltrare informazioni.
Fig. 2 – Infografica relativa all’attacco | Fonte: https://www.sicurezzaterrorismosocieta.it/wpcontent/
Gli effetti sull’ordine internazionale
L’attacco hacker nei confronti di SolarWinds pone importanti ricadute anche sul piano geopolitico. Preliminarmente alla sua analisi, occorre innanzitutto considerare la difficoltà di inquadramento dell’attacco nell’attuale regime di diritto internazionale. Alcuni senatori statunitensi si sono affrettati a definire tale atto di spionaggio come un “act of war”. Questo assunto è di importanza fondamentale, in quanto per definizione le operazioni di cyberwarfare in generale operano in un contesto di area grigia del diritto. Di conseguenza la difficoltà di ricondurre un attacco simile alle categorie previste dal diritto internazionale e, pertanto, definirlo come un’aperta violazione rende il dibattito su questi episodi particolarmente rilevante e dai risvolti potenzialmente epocali. Sia perché ciò comporterebbe l’attribuzione diretta di tale operazione cyber a uno specifico Stato, sia per la prima inedita qualifica ufficiale di un attacco informatico come vero e proprio atto illecito.
Il dibattito sull’uso della cyberwarfare come strumento di offesa/difesa in contesti di conflitti ibridi è ancora in corso e, come sottolineato, presenta numerosi aspetti da sviscerare. Fintanto che non ci sarĂ un quadro normativo comune, come fatto con la convenzione di Ginevra per i conflitti armati cinetici, gli stati continueranno ad adoperare interpretazioni sempre piĂą estreme del cyberwarfare. L’escalation di episodi di scala globale, come quello di SolarWinds, che abbiamo visto fino a ora nel 2021 sembrerebbe una conseguenza diretta di tali interpretazioni. L’instabilitĂ appena descritta rischia di produrre effetti non solo nel cyber, ma anche a livello geopolitico e nei rapporti tra Paesi se non affrontata correttamente.Â
Marco Zaliani & Federico Borgonovo
Immagine in evidenza: L’attacco a SolarWinds, 2021 – Federico Borgonovo
