
Centinaia di reti governative, di università e società high-tech risultano sospetti di essere stati compromessi dal gruppo identificato come “UNC2452”, o anche “Dark Halo”, sin dalla scorsa primavera.
Il Dipartimento del Commercio USA ha confermato di essere stato compromesso. Anche il Dipartimento del Tesoro ed altri enti statunitensi hanno confermato gli attacchi.
È in essere una campagna di spionaggio informatico globale che va avanti da almeno nove mesi sfruttando gli aggiornamenti di un applicativo per il monitoraggio delle risorse prodotto dalla società SolarWinds. La compromissione di tale software ha permesso di accedere indisturbati in centinaia di reti che facevano affidamento su SolarWinds.
La notizia è stata resa pubblica il 9 Dicembre scorso da FireEye, una delle più importanti società al mondo in tema di sicurezza, dopo aver scoperto di essere stata compromessa.
FireEye ha immediatamente avviato un’indagine per risalire agli autori dell’attacco. Oltre ad aver prontamente notificato a clienti e professionisti di essere stata compromessa, ha messo a disposizione della community la lista degli strumenti trafugati, e non si è fermata qui. Ha prodotto i files necessari per una rapida identificazione delle minaccie così da mitigare rapidamente il rischio che potrebbe generare il riutilizzo malevolo di tali strumenti.
Oggetto dell’attacco sembrano essere solo i toolkit interni, non “troppo” pericolosi in quanto non contengono nuove vulnerabilità.
L’attacco è molto sofisticato, di difficile identificazione e gestito in modo da mantenere un elevato livello di invisibilità per un lungo periodo di tempo.
Questo avvenimento sottolinea quanto scarso sia il livello di consapevolezza di ciò che accade nelle reti informatiche di mezzo mondo. E quanto divario esista tra chi difende e chi mette a segno cyber attacks. Non solo in termini di risorse e tempo a disposizione, ma anche, e soprattutto, nei livelli di persistenza e capacità evasive.Si specula che l’attacco a FireEye non fosse finalizzato ad acquisire strumenti software, bensì documenti interni sui clienti governativi e privati per sviluppare ulteriori attacchi mirati ad elementi sensibili. Prima che tale eventualità si manifesti sarebbe il caso di investigare a fondo e mettere in sicurezza strutture critiche riducendo complessità e dipendenze esterne.