Gli hacker russi hanno colpito il governo degli Stati Uniti utilizzando un attacco diffuso alla catena di approvvigionamento

61

Getty Images

Gli hacker russi hanno violato le reti appartenenti al governo degli Stati Uniti e organizzazioni private in tutto il mondo in una diffusa campagna di spionaggio che utilizza la catena di fornitura globale del software per infettare gli obiettivi.

I dipartimenti del Tesoro e del Commercio degli Stati Uniti sono tra le agenzie governative degli Stati Uniti colpite da un'operazione che diversi organi di stampa, citando persone che hanno familiarità con la questione, hanno detto che era guidata da Cosy Bear, un gruppo di hacker ritenuto parte del Servizio di sicurezza federale russo o FSB . La notizia degli attacchi è arrivata domenica, cinque giorni dopo che FireEye, la società di sicurezza da 3,5 miliardi di dollari, ha dichiarato martedì di essere stata violata da uno stato-nazione.

Domenica notte, FireEye ha detto che gli aggressori stavano infettando obiettivi utilizzando Orion, un'app software aziendale ampiamente utilizzata da SolarWinds. Dopo aver preso il controllo del meccanismo di aggiornamento di Orion, gli aggressori lo stavano usando per installare una backdoor che i ricercatori di FireEye chiamano Sunburst.

"FireEye ha rilevato questa attività in più entità in tutto il mondo", hanno scritto i ricercatori di FireEye. “Le vittime includono enti governativi, di consulenza, tecnologici, di telecomunicazioni ed estrattivi in ​​Nord America, Europa, Asia e Medio Oriente. Prevediamo che ci sono altre vittime in altri paesi e verticali. FireEye ha informato tutte le entità che siamo a conoscenza di essere state colpite. "

Dopo aver utilizzato il meccanismo di aggiornamento di Orion per ottenere un punto d'appoggio su reti mirate, Microsoft ha affermato nel suo post, gli aggressori stanno rubando certificati di firma che consentono loro di impersonare qualsiasi utente e account esistente di un obiettivo, inclusi account altamente privilegiati.

In un post separato, FireEye ha affermato di aver identificato più organizzazioni che sembrano essere state infettate già la scorsa primavera. "La nostra analisi indica che questi compromessi non si auto-propagano", hanno detto i ricercatori dell'azienda. "Ciascuno degli attacchi richiede una pianificazione meticolosa e interazione manuale".

SolarWinds afferma che i prodotti di monitoraggio che ha rilasciato a marzo e giugno di quest'anno potrebbero essere stati surrettiziamente armati in un attacco "altamente sofisticato" da uno stato-nazione.