Dopo avervi raccontato un attacco informatico dilettantesco, quello di NoName, e un attacco più professionale, quello ai danni degli utenti di Minecraft, è il turno di vedere come operano i criminali informatici più sofisticati, visto che in questi giorni hanno seminato il caos nelle aziende di mezzo mondo, colpendo per esempio British Airways, la BBC, la società di consulenza internazionale Ernst and Young (BBC), nonché molti siti governativi statunitensi e banche di vari paesi, rubando dati sensibili e poi chiedendo un riscatto per non pubblicarli.
Gli esperti attribuiscono questi attacchi a un gruppo criminale russofono denominato Cl0p. Almeno due organizzazioni svizzere sono state colpite, secondo l’elenco geografico dei bersagli basato sui dati pubblicati dai criminali sul dark web presso questo indirizzo (opportunamente alterato):
hxxp://santat7kpllt6iyvqbr7q4amdv6dzrh6paatvyrzl7ry3zm72zigf4ad[.]onion
Il primo sintomo di un attacco sofisticato è la sua natura indiretta. Oggigiorno è raro che un’azienda venga attaccata direttamente, perché il crimine informatico organizzato ha capito da tempo che è molto più efficiente colpire i grandi fornitori di servizi delle aziende in un cosiddetto supply-chain attack. In questo modo, con un solo attacco si riesce a entrare nei sistemi di tutte le aziende che usano quei fornitori. In questo caso il fornitore è la Progress Software, che produce un software di trasferimento di file molto diffuso, chiamato MOVEit, che aveva un difetto sconosciuto all’azienda ma noto ai criminali.
Questo è il secondo sintomo di un attacco informatico di alto livello: l’uso di una vulnerabilità non ancora nota e documentata, ossia di una cosiddetta falla zero day (che si chiama così perché viene sfruttata dai criminali prima che sia nota agli esperti di sicurezza e quindi la casa produttrice del software fallato ha avuto zero giorni di tempo per rimediarla prima che venisse utilizzata).
I criminali hanno scoperto che l’interfaccia Web del software MOVEit aveva un difetto classico: non filtrava eventuali comandi annidati opportunamente nei dati immessi dagli utenti. Questi comandi venivano quindi eseguiti, permettendo di visualizzare ed esportare dati confidenziali, di avere privilegi di amministratore sui sistemi attaccati e altro ancora.
Per fare un esempio ipotetico, immaginate di avere davanti un sito web che vi chiede di immettere il vostro nome e cognome e di rispondere scrivendo che vi chiamate Cancella di nome e Database filesdb di cognome. Immaginate inoltre che cancella sia un comando valido per la gestione del database, e che quel database si chiami filesdb. Un sito che non filtra le immissioni degli utenti interpreterà queste parole come comandi e cancellerà il proprio database.
Nella realtà non è così semplice come in questo esempio, ma il principio è lo stesso: i criminali hanno immesso nell’interfaccia Web dei comandi opportunamente confezionati e hanno ottenuto in risposta i dati sensibili delle aziende, senza dover indovinare password, installando anche del software per poter proseguire l’attacco anche in seguito.
Tutte le installazioni aziendali di MOVEit consultabili via Internet erano vulnerabili in questo modo, in quello che gli esperti chiamano injection attack. Il motore di ricerca specialistico Shodan rileva attualmente circa 2300 siti che usano MOVEit e lo espongono a Internet. In Svizzera, i siti di questo genere sono una quarantina.
Quattro giorni dopo l’inizio degli attacchi, la Progress Software ha corretto la falla e ha informato i propri clienti della situazione, distribuendo due aggiornamenti di MOVEit che risolvono il problema e delle istruzioni molto dettagliate su come procedere.
Le aziende che hanno installato l’aggiornamento ora sono al sicuro da questo specifico metodo di attacco, ma i loro dati possono essere già stati saccheggiati dai criminali, e resta il problema dei fornitori di servizi aziendali: molte organizzazioni che non usavano MOVEit, infatti, sono state coinvolte lo stesso perché per la gestione degli stipendi si appoggiavano a una società esterna, Zellis, che usava MOVEit ed è stata attaccata, permettendo ai criminali di ottenere i dati sensibili delle aziende clienti.
In sintesi: se usate MOVEit, controllate di averlo aggiornato; se non usate MOVEit, chiedete ai vostri fornitori di servizi se lo usano e quali misure hanno già preso. Nel frattempo, i criminali hanno iniziato a pubblicare parte dei dati sottratti, nominando le aziende coinvolte, e il governo degli Stati Uniti ha messo una taglia da 10 milioni di dollari sugli autori di questi attacchi. C’è parecchio da fare per tutti.
Fonti aggiuntive: TechCrunch, BBC, Reliaquest, Sophos, Ars Technica, Bitdefender, Reddit, Graham Cluley, NIST, Socradar.
Commenti
Posta un commento