Hacker: dal Pentagono all’Fbi, l’attacco è durato mesi (e forse non è finito)

15 Dicembre 2020, di Alberto Battaglia

Non sono ancora chiari quali fossero gli obiettivi degli hacker e quali siano le refurtive, ma un attacco informatico su larga scala – durato per mesi – ha colpito diverse agenzie dell’amministrazione statunitense, fra cui il Pentagono, il dipartimento del Commercio, del Tesoro e l’Fbi. E’ il più grande cyber-attacco subito dagli Stati Uniti da cinque anni.

La violazione ha preso di mira il software Orion, sviluppato dalla SolarWinds, un programma utilizzato nei network delle grandi compagnie private (quasi tutte quelle incluse nel Fortune 500) e da numerose istituzioni americane, compresa la Federal Reserve.

L’amministrazione americana ha preso coscienza di essere sotto attacco informatico solo dopo l’allarme lanciato dalla società di cybersecurity FireEye, che alcuni giorni fa aveva dichiarato aver subito un grosso cyber-attacco. E questa stessa società aveva affermato che le operazioni criminali “potrebbero essere iniziate già nella primavera 2020 ed essere ancora in corso”. FireEye ha aggiunto che nel mirino degli hacker sarebbero finite società private e amministrazioni pubbliche non solo negli Usa, ma anche in Europa, Asia e Medio Oriente.

Hacker, incriminato un aggiornamento software russo

Secondo quanto ricostruito dalla SolarWinds, la società che ha sviluppato il software violato, gli hacker hanno incorporato il loro codice dannoso in Orion e solo la metà dei suoi 33mila utilizzatori avrebbe scaricato un aggiornamento software di origine russa che avrebbe aperto la porta al furto di informazioni.

Secondo quanto ricostruiscono i maggiori quotidiani Usa, come il New York Times e il Washingon Post, la regia dell’attacco va attribuita al servizio segreto russo,  e in particolare a quei gruppi che già sei anni fa si erano resi protagonisti di un furto di email classificate ai danni del Dipartimento di stato Usa. Come allora, anche oggi le autorità americane non hanno imputato alla Russia la paternità dell’attacco in via ufficiale. Il Cremlino, comunque, ha respinto ogni accusa comparsa per bocca delle fonti che hanno parlato ai giornali in condizioni di anonimato.

Avendo bersagliato il software Orion gli hacker hanno utilizzato contemporaneamente lo stesso spiraglio per colpire molteplici bersagli (“Supply chain attack”). Un attacco che richiederebbe una grande quantità di mezzi, perché incrementa di molto le possibilità di essere scoperti. Anche per questo si ritiene che solo un’organizzazione statale avrebbe potuto coordinare un attacco del genere.

“Un attacco supply chain come questo è un’operazione incredibilmente costosa: più vai avanti, maggiore è la probabilità di essere scoperto o bruciato”, ha affermato al New York Times, John Hultquist, direttore presso FireEye, “hanno avuto l’opportunità di colpire una quantità enorme di obiettivi, ma sapevano anche che se si fossero spinti troppo lontano, avrebbero perso il loro incredibile accesso”.