Gli hacker di SolarWinds non sono “tornati”. Non sono mai andati via

Gli hacker russi che ha violato il software di gestione IT SolarWinds per compromettere una sfilza di agenzie governative e aziende degli Stati Uniti è tornato alla ribalta. Microsoft ha dichiarato giovedì che lo stesso gruppo di spionaggio “Nobelium” ha sviluppato un’aggressiva campagna di phishing da gennaio di quest’anno e l’ha intensificata in modo significativo questa settimana, prendendo di mira circa 3.000 persone in più di 150 organizzazioni in 24 paesi.

La rivelazione ha suscitato scalpore, mettendo in evidenza le campagne di spionaggio digitale in corso e inveterate della Russia. Ma non dovrebbe sorprendere affatto che la Russia in generale, e gli hacker di SolarWinds in particolare, abbiano continuato a spiare anche dopo che gli Stati Uniti hanno imposto sanzioni di ritorsione ad aprile. E rispetto a SolarWinds, una campagna di phishing sembra assolutamente normale.

“Non penso che sia un’escalation, penso che sia come al solito”, afferma John Hultquist, vicepresidente dell’analisi dell’intelligence presso la società di sicurezza FireEye, che per prima ha scoperto le intrusioni di SolarWinds. “Non credo che siano scoraggiati e non credo che possano essere scoraggiati”.

L’ultima campagna della Russia è sicuramente degna di nota. Nobelium ha compromesso gli account legittimi del servizio di posta elettronica di massa Constant Contact, incluso quello dell’Agenzia degli Stati Uniti per lo sviluppo internazionale. Da lì gli hacker, a quanto si dice membri dell’agenzia di intelligence straniera russa SVR, potevano inviare e-mail di spearphishing appositamente predisposte che provenivano genuinamente dagli account di posta elettronica dell’organizzazione che stavano impersonando. Le e-mail includevano collegamenti legittimi che venivano poi reindirizzati all’infrastruttura dannosa di Nobelium e installavano malware per assumere il controllo dei dispositivi di destinazione.

Sebbene il numero di bersagli sembri grande e USAID lavori con molte persone in posizioni sensibili, l’impatto effettivo potrebbe non essere così grave come sembra a prima vista. Sebbene Microsoft riconosca che alcuni messaggi potrebbero essere passati, la società afferma che i sistemi automatici di spam hanno bloccato molti dei messaggi di phishing. Il vicepresidente aziendale Microsoft per la sicurezza e la fiducia dei clienti Tom Burt ha scritto in a post sul blog giovedì che la società considera l’attività come “sofisticata” e che Nobelium ha evoluto e perfezionato la sua strategia per la campagna per i mesi precedenti al targeting di questa settimana.

“È probabile che queste osservazioni rappresentino cambiamenti nel mestiere dell’attore e possibili sperimentazioni a seguito di divulgazioni diffuse di incidenti precedenti”, ha scritto Burt. In altre parole, questo potrebbe essere un punto di svolta dopo che la loro copertura SolarWinds è saltata.

Ma le tattiche di quest’ultima campagna di phishing riflettono anche la pratica generale di Nobelium di stabilire l’accesso su un sistema o account e poi utilizzarlo per ottenere l’accesso ad altri e scavalcare numerosi obiettivi. È un’agenzia di spionaggio; questo è ciò che fa naturalmente.

“Se fosse successo prima di SolarWinds non ci avremmo pensato niente. È solo il contesto di SolarWinds che ce lo fa vedere in modo diverso”, afferma Jason Healey, ex membro dello staff di Bush White House e attuale ricercatore sui conflitti informatici alla Columbia University. “Diciamo che questo incidente accade nel 2019 o nel 2020, non credo che nessuno sia starò sbattendo le palpebre a questo.”

Come sottolinea Microsoft, non c’è nulla di inaspettato nelle spie russe, e Nobelium in particolare, che prendono di mira agenzie governative, USAID in particolare, ONG, gruppi di ricerca, gruppi di ricerca o appaltatori di servizi militari e IT.

“Le ONG e i think tank DC sono stati obiettivi morbidi di alto valore per decenni”, afferma un ex consulente per la sicurezza informatica del Dipartimento per la sicurezza interna. “Ed è un segreto di Pulcinella nel mondo della risposta agli incidenti che USAID e il Dipartimento di Stato sono un groviglio di reti e infrastrutture IT non responsabili e subappaltate. In passato, alcuni di quei sistemi erano compromessa per anni.

Soprattutto rispetto alla portata e alla sofisticatezza della violazione di SolarWinds, una diffusa campagna di phishing sembra quasi un downshift. È anche importante ricordare che gli impatti di SolarWinds rimangono in corso; anche dopo mesi di pubblicità sull’incidente, è probabile che Nobelium perseguiti ancora almeno alcuni dei sistemi che ha compromesso durante quello sforzo.

“Sono sicuro che hanno ancora accessi in alcuni punti dalla campagna SolarWinds”, afferma Hultquist di FireEye. “La spinta principale dell’attività è stata diminuita, ma è molto probabile che persistano in diversi punti”.

Che è solo la realtà dello spionaggio digitale. Non si ferma e inizia sulla base della vergogna pubblica. L’attività di Nobelium è certamente sgradita, ma di per sé non fa presagire una grande escalation.

Segnalazione aggiuntiva di Andy Greenberg.


Altre grandi storie WIRED

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *