La società di cybersecurity russa Kaspersky dà sostanza alle accuse del governo americano. Dietro l’hackeraggio record di SolarWinds a dicembre ci potrebbe essere l’FSB, il servizio segreto di Mosca. Ecco perché
Dietro il maxi-attacco cyber a SolarWinds c’è lo zampino dei Servizi segreti di Vladimir Putin? L’accusa delle agenzie di intelligence degli Stati Uniti trova sponda in un rapporto di Kaspersky, società leader nella sicurezza cyber con base a Mosca.
Il virus utilizzato nell’hackeraggio dei sistemi della società texana che ha mandato in tilt il 14 dicembre, fra le altre agenzie federali, i Dipartimenti del Tesoro e del Commercio americano, avrebbe fatto uso di una “backdoor” che “richiama da vicino un malware legato al gruppo hacker “Turla”, che secondo le autorità estoni ha operato a nome del servizio segreto russo FSB”.
La scorsa settimana con un comunicato il “Cyber Unified Coordination Group (Ucg) statunitense aveva definito come “probabilmente russa” l’origine dell’hackeraggio.
L’attacco a SolarWinds è stato definito dal New York Times “uno dei più sofisticati, e forse tra i più grandi, attacchi ai sistemi federali negli ultimi cinque anni”. Il malware ha colpito il software di gestione delle reti aziendali Orion in mano all’azienda texana installando una backdoor nelle reti interne dei clienti SolarWinds nel marzo del 2020.
La “porta” inserita per compromettere i dati di più di 18.000 clienti dell’azienda, svela oggi Kaspersky, è la fotocopia di quella utilizzata dal collettivo hacker “Turla” (nome che richiama da uno dei suoi più letali malware).
Con vent’anni di attività e un palmarès d’eccezione, tra un attacco a un Parlamento nel Caucaso e a due ministeri degli Esteri europei e un attacco al Pentagono nel 2008, per citarne alcuni. Il gruppo è considerato dagli analisti di intelligence e dagli 007 americani espressione dell’Fsb, il servizio segreto russo fondato da Boris Eltsin nel 1995 sulle ceneri del vecchio servizio di controspionaggio Fsk.
Tra le somiglianze fra l’attacco alle agenzie americane e il malware Tulsa, scrive Reuters, “il modo in cui entrambi i malware hanno tentato di oscurare le loro funzioni dagli analisti di sicurezza, come gli hacker hanno identificato le loro vittime, e la formula usata per calcolare i periodi in cui i virus rimangono dormienti cercando di evitare di essere scoperti”.
“Fosse solo una somiglianza ci si può passare sopra – ha detto il capo della ricerca globale di Kaspersky Costin Raiu – due elementi in comune mi fanno aprire gli occhi. Tre sono più di una coincidenza”.
Non è da scartare l’ipotesi, spiega l’azienda di cybersecurity russa, che si tratti di due collettivi differenti. Ovvero che gli hacker dietro l’attacco a SolarWinds abbiano scelto di “emulare” la backdoor del collettivo Turla. “Può essere che entrambi gli strumenti siano stati acquistati dallo stesso sviluppatore di spyware, o anche che gli aggressori abbiano piantato delle “false bandiere” per sviare gli investigatori”, spiega Raiu. In un caso e nell’altro, Mosca ha avuto la sua parte.