L’attacco cyber al cuore dell’America preoccupa il presidente eletto degli Stati Uniti Joe Biden, che ha promesso contromisure e mano ferma contro gli hacker. Ma preoccupa anche l’Italia, che ha attivato Nucleo per la sicurezza cibernetica, l’organismo guidato dal vicedirettore generale del Dipartimento delle informazioni per la sicurezza (Dis), Roberto Baldoni.

L’INTROMISSIONE

Facciamo un passo indietro. Fatto nasce dall’intromissione, tramite le falle negli aggiornamenti software rilasciati dalla società informatica texana SolarWinds, di alcuni hacker (russi, secondo il segretario di Stato americano Mike Pompeo) nei sistemi delle agenzie governative statunitensi (compresi Fbi e Pentagono) e di diversi colossi americani (tra cui Microsoft, Cisco, Intel, per fare solo tre nomi). Obiettivo: spiarne le mosse e trafugare asset dati molto sensibili. Il Nucleo, si legge in una nota, si è dunque riunito per valutare ogni possibile impatto della campagna di attacchi informatici condotti attraverso la compromissione della piattaforma SolarWinds Orion anche sulle reti e sui sistemi nazionali.

LA MAGNITUDO DELL’ATTACCO

Stefano Mele, partner dello studio legale Carnelutti e presidente della Commissione cibernetica del Comitato atlantico italiano, sottolinea a Formiche.net l’importanza di comprendere “la sofisticazione e la magnitudine” di questo attacco. “Ci stiamo concentrando finora solo sugli aspetti secondari di questo attacco cyber, come, per esempio, gli elementi strettamente tecnici della vicenda. Questo ci sta facendo fortemente sottostimare quanto avvenuto”, spiega.

L’attore statale in questione, infatti, “ha pianificato ed eseguito un capolavoro sul piano operativo: ha messo nel mirino un unico obiettivo, portando a casa, però, in un solo colpo almeno 18.000 intrusioni. Immaginiamo per un secondo se lo stesso attore avesse dovuto pianificare una singola operazione cibernetica per ognuno degli attori colpiti. Appare evidente che, oltre allo sforzo inimmaginabile richiesto, le probabilità di successo e i risultati ottenuti sarebbero stati sensibilmente minori”. La situazione cambia radicalmente se analizziamo quanto avvenuto con l’attacco a SolarWinds, continua Mele: “individuare uno dei fornitori globali delle principali agenzie governative e delle aziende americane, colpirlo e ‘automaticamente’ — per così dire — avere lo stesso effetto di oltre 18.000 operazioni di spionaggio cibernetico. La sicurezza della supply chain, oggi più che mai, deve diventare un tema prioritario”. Elementi che evidenziano — e lo fa anche l’eccezionalità di questo comunicato degli 007 italiani (l’ultimo è del 1° aprile, in occasione del cyber-attacco contro l’ospedale Spallanzani di Roma) — l’eccezionalità dell’offensiva durata per diversi mesi.

LA RETE EUROPEA

Tenuto conto della potenziale gravità dell’evento cibernetico e dei suoi effetti, il Nucleo fa sapere di essere in continuo contatto con CyCLONe, le neo-costituita rete di collegamento europeo, che si propone di agevolare la cooperazione tra le autorità nazionali di cybersecurity in caso di incidenti informatici destabilizzanti. Sono, inoltre, state avviate tutte le attività di supporto e contatto con i soggetti nazionali preposti a gestire le funzioni e i servizi essenziali dello Stato (inclusi nel Perimetro di sicurezza nazionale cibernetica), gli operatori di servizi essenziali (previsti dalla direttiva europea Nis) e gli enti della Pubblica amministrazione.

I CONSIGLI DEL NUCLEO

Il Nucleo raccomanda in ogni caso a tutte le organizzazioni che utilizzano la citata piattaforma Orion di esaminare la problematica con la massima e puntuale attenzione, avvalendosi a tal fine anche dell’apposita sezione creata sul sito web del Csirt italiano contenente consigli, aggiornamenti e possibili misure di mitigazione dell’incidente.

LE AZIONI DI MITIGAZIONE

Ecco le azioni di mitigazione suggerite del Csirt relativamente all’attacco SolarWinds: disconnettere i sistemi su cui è installato il prodotto fino alla verifica degli aggiornamenti rilasciati dalla società; si sconsiglia l’utilizzo di versioni obsolete dell’applicativo che, sebbene non impattate dall’attacco in argomento potrebbero contenere altre vulnerabilità ormai note all’attaccante il quale si è dimostrato profondo conoscitore del prodotto; a seconda delle possibilità e capacità, inoltre, le strutture coinvolte dovrebbero identificare attività sospette tramite analisi forense dell’host e della rete, anche al fine di individuare eventuali utilizzi impropri delle risorse e valutare l’implementazione degli indicatori di compromissione (IoC) riportati di seguito; gli utenti Orion sono infine invitati a consultare la pagina di riferimento del produttore, eseguendo tempestivamente gli aggiornamenti disponibili.