L’articolo è stato aggiornato dopo la pubblicazione iniziale. Ultimo aggiornamento: 2023/06/23 9:05. Questo articolo è disponibile anche in versione podcast.
Dopo avervi raccontato un attacco informatico dilettantesco,
quello di NoName, e un attacco più professionale,
quello ai danni degli utenti di Minecraft, è il turno di vedere come operano i criminali informatici più sofisticati,
visto che in questi giorni hanno seminato il caos nelle aziende di mezzo
mondo, colpendo per esempio British Airways, la BBC, la società di consulenza internazionale EY [nota ai più col suo nome precedente, Ernst and Young (BBC)], nonché molti siti
governativi statunitensi e banche di vari paesi, rubando dati sensibili e poi
chiedendo un riscatto per non pubblicarli.
Gli esperti attribuiscono questi
attacchi a un gruppo criminale russofono denominato Cl0p. Almeno due organizzazioni svizzere sono state colpite, secondo l’elenco geografico dei bersagli basato sui dati pubblicati dai criminali sul dark web [presso il seguente indirizzo, che ho opportunamente alterato]:
hxxp://santat7kpllt6iyvqbr7q4amdv6dzrh6paatvyrzl7ry3zm72zigf4ad[.]onion
Il primo sintomo di un attacco sofisticato è la sua natura indiretta.
Oggigiorno è raro che un’azienda venga attaccata direttamente, frontalmente, perché il
crimine informatico organizzato ha capito da tempo che è molto più efficiente
colpire i grandi fornitori di servizi delle aziende, in un cosiddetto supply-chain attack. In questo modo, con un
solo attacco si riesce a entrare nei sistemi di tutte le aziende che usano
quei fornitori. In questo caso il fornitore è la
Progress Software, che produce
un software di trasferimento di file molto diffuso, chiamato MOVEit, che aveva
un difetto sconosciuto all’azienda ma purtroppo noto ai criminali.
Questo è il secondo sintomo di un attacco informatico di alto livello: l’uso
di una vulnerabilità non ancora nota e documentata, ossia di una cosiddetta
falla zero day (che
si chiama così perché viene sfruttata dai criminali prima che sia nota agli
esperti di sicurezza, e quindi la casa produttrice del software fallato ha
avuto zero giorni di tempo per rimediarla prima che venisse utilizzata).
I criminali hanno scoperto che l’interfaccia Web del software MOVEit
aveva un difetto classico: non filtrava eventuali comandi annidati
opportunamente nei dati immessi dagli utenti. Questi comandi venivano
quindi eseguiti, permettendo di visualizzare ed esportare dati
confidenziali, di avere privilegi di amministratore sui sistemi attaccati e
altro ancora.
Per fare un esempio ipotetico, immaginate di avere davanti a voi un
sito web che vi chiede di immettere il vostro nome e cognome, e immaginate di rispondere
scrivendo che vi chiamate Cancella di nome e Database filesdb di
cognome. Immaginate inoltre che cancella sia un comando valido per la
gestione del database, e che quel database si chiami proprio filesdb. Un sito
che non filtra le immissioni degli utenti interpreterà queste parole come
comandi… e cancellerà il proprio database.
Nella realtà non è così semplice come in questo esempio, ma il principio è lo
stesso: i criminali hanno immesso nell’interfaccia Web dei comandi opportunamente confezionati e hanno ottenuto in risposta i dati sensibili delle aziende, senza dover indovinare password, installando anche del software per poter proseguire l’attacco anche in seguito.
Tutte le installazioni aziendali di MOVEit consultabili via Internet erano vulnerabili in questo modo, in quello che gli
esperti chiamano injection attack. Il motore di ricerca specialistico Shodan rileva attualmente circa 2300 siti che usano MOVEit e lo espongono a Internet. In Svizzera, i siti di questo genere sono una quarantina.
Quattro giorni dopo l’inizio degli attacchi, la Progress Software ha corretto
la falla e ha informato i propri clienti della situazione, distribuendo due
aggiornamenti di MOVEit che risolvono il problema e delle istruzioni molto dettagliate su come procedere.
Le aziende che hanno
installato l’aggiornamento ora sono al sicuro da questo specifico metodo di
attacco, ma i loro dati possono essere già stati saccheggiati dai
criminali, e resta il problema dei fornitori di servizi aziendali: molte organizzazioni che non usavano direttamente MOVEit, infatti, sono state coinvolte lo stesso perché per la gestione degli stipendi si appoggiavano a una società esterna, Zellis, che usava appunto MOVEit ed è stata attaccata, permettendo così ai criminali di ottenere i dati sensibili delle aziende clienti.
In sintesi: se usate MOVEit, controllate di averlo aggiornato; se non usate MOVEit, chiedete ai vostri fornitori di servizi se lo usano e quali misure hanno già preso. Nel frattempo, i criminali hanno iniziato a pubblicare parte dei dati sottratti, nominando le aziende coinvolte, e il governo degli Stati Uniti ha messo una taglia da 10 milioni di dollari sugli autori di questi attacchi. C’è insomma parecchio da fare per tutti.
Fonti aggiuntive: TechCrunch, BBC, Reliaquest, Sophos, Ars Technica, Bitdefender, Reddit, Graham Cluley, NIST, Socradar.