SolarWinds Inc. è una società americana che sviluppa software per le aziende per aiutare a gestire le loro reti, sistemi e infrastrutture informatiche. SolarWinds ha sede a Austin, Texas, con uffici di vendita e sviluppo prodotto in una serie di sedi negli Stati Uniti e in molti altri paesi in tutto il mondo. La società è stata quotata in borsa da maggio 2009 fino alla fine del 2015 e di nuovo da ottobre 2018.
L’indagine sulle modalità che hanno permesso la violazione dei sistemi informatici dell’azienda SolarWinds sono attualmente in corso ed hanno già portato ad evidenti prove che l’attacco è stato meticolosamente pianificato e altamente sofisticato. Questo significa che chi ha orchestrato tale attività di intrusione ha goduto di ingenti risorse sia sul piano operativo che logistico ovvero personale altamente qualificato, hardware costoso e molto denaro.
Il rapporto pubblicato da ReversingLabs ha rivelato che gli operatori dietro la campagna di spionaggio probabilmente sono riusciti a compromettere la build del software e l’infrastruttura del firmware della piattaforma SolarWinds Orion già a ottobre 2019 per fornire la backdoor malevola attraverso il suo processo di rilascio del software.
“Il codice sorgente della libreria interessata è stato modificato direttamente per includere codice backdoor dannoso, che è stato compilato, firmato e consegnato attraverso il sistema di gestione del rilascio delle patch software esistente“, ha detto Tomislav Pericin di ReversingLabs.
La società di sicurezza informatica FireEye all’inizio di questa settimana ha dettagliato come più aggiornamenti software SolarWinds Orion, rilasciati tra marzo e giugno 2020, sono stati iniettati con codice backdoor (“SolarWinds.Orion.Core.Businessman.dll ” o SUNBURST) per condurre la sorveglianza ed eseguire comandi arbitrari sui sistemi di destinazione.
FireEye non ha finora attribuito pubblicamente l’attacco a nessun attore specifico o nazione, invece, i mass-media hanno prontamente rilasciato dichiarazioni non confermate al pubblico che la campagna di intrusione è da attribuirsi a APT29 (aka Cozy Bear), un gruppo di hacker associato al servizio di intelligence straniero della Russia.
APT29, in verità, è un gruppo di hacker indipendente che possiamo definire Gray Hats ovvero i cappelli grigi che su commissione retribuita eseguono intrusioni informatiche e pertanto sono mercenari e possono lavorare con chiunque.
Cozy Bear sembra avere progetti diversi, con diversi gruppi di utenti. Il focus del suo progetto “Nemesis Gemina” sono i settori militare, governativo, energetico, diplomatico e delle telecomunicazioni.
Le prove suggeriscono che gli obiettivi di Cozy Bear hanno incluso entità commerciali e organizzazioni governative in Germania, Uzbekistan, Corea del Sud e Stati Uniti.
SolarWinds stima che ben 18.000 dei suoi clienti potrebbero essere stati colpiti dall’attacco alla ret supply chain. L’immagine sottostante mostra l’elenco dei clienti che si sono avvalsi dei servizi informatici Solarwinds tra cui è presente anche Telecom Italia.
La pagina ufficiale non è più disponibile, ma siamo riusciti per tempo a realizzare uno screenshot prima che venisse tolta.
La gravità di questa falla di sicurezza è accentuata ancora di più perchè conosciuta già dal 2019, quando un esperto informatico aveva segnalato direttamente a SolarWinds l’esistenza di un repository su GitHub contenente un codice che consentiva di scaricare o caricare istruzioni anche malevole.
La prima immagine mostra l’email inviata all’attenzione di Solarwinds, mentre la seconda mostra il contenuto del repository Github in questione.
Restano quindi delle domande logiche da porsi: Perchè SolarWinds non ha provveduto ad eliminare la falla che ha interessato più di 18000 aziende private e governative ad alto profilo? non lo ha fatto perchè ne aveva un tornaconto?
Le indagini sono in corso è molto presto avremo tutte le risposte…vorrei chiudere con un appello alla Polizia Postale Italiana, come cittadino italiano e secondo le norme costituzionali, chiedo la possibilità di indagare e verificare l’integrità delle infrastrutture informatiche Telelecom Italia, che figura nella lista clienti Solarwinds.
Credo sia doveroso sia sul piano professionale che istituzionale indagare e sincerarsi della situazione e chiaramente anche emettere un comunicato uffciale.
Il Ficcanaso