• Alessia Maldera

Il caso SolarWind e il nuovo allarme lanciato da Microsoft sul gruppo Nobelium


Lo scorso anno un gruppo di hacker ha utilizzato un codice malevolo per nascondersi nell’aggiornamento di un software chiamato Orion della compagnia statunitense SolarWinds, che viene usato da molte aziende per monitorare le proprie reti interne. L’attacco a SolarWinds fa parte dei cosiddetti supply-chain attack.


L’aggressione cibernetica viene attuata da un attacker che si infiltra nella rete bersaglio attaccando però un fornitore legato al vero bersaglio. In altre parole, al posto di attaccare direttamente un singolo bersaglio, viene attaccato un pezzo della catena di approvvigionamento informatico del soggetto bersaglio e in questo modo aumentano le probabilità di attaccare anche altri soggetti e in più l’attacker risulta meno visibile e individuabile.


Ed è secondo questa logica che si è perpetrato l’enorme e complicato attacco cibernetico ai danni di moltissime agenzie governative e società statunitensi. Ma non solo, infatti, le compagnie attaccate si trovano in tutto il mondo: SolarWinds afferma che solo tra marzo e giugno del 2020 circa 18.000 clienti hanno ricevuto la versione contaminata dell’aggiornamento di Orion.


Comunque sia, la presenza di moltissime agenzie governative fra i bersagli di questo cyber attack suggerisce che il vero obiettivo fossero proprio gli Stati Uniti d’America e le informazioni riservate al governo americano. Inoltre, l’attacco è stato così sofisticato che da subito si è pensato che dietro ci fosse qualcuno con notevoli capacità informatiche e ingenti finanziamenti e i sospetti si sono rivolti verso la Russia.


Il gruppo dietro questo attacco si chiama Nobelium, un gruppo di cybercriminali russi che si crede che sia diretto dalla S.V. R., l’intelligence del Cremlino e le attività di questo gruppo continuano anche ad oggi nonostante le varie sanzioni statunitensi in risposta a una serie di sofisticate operazioni di spionaggio che la Russia ha condotto in tutto il mondo.


Si torna a parlare di questo attacco in quanto secondo Microsoft, che è fra le aziende coinvolte nell’attacco a SolarWinds, il gruppo al momento starebbe prendendo di mira le aziende tecnologiche che rivendono e forniscono servizi cloud per i clienti. Tom Burt, uno dei massimi responsabili della sicurezza presso Microsoft, ha detto in un post sul blog del sito web della società, pubblicato il 24 ottobre 2021, che il gruppo Nobelium, la cui attività è stata nuovamente osservabile a partire da maggio 2021, starebbe cercando di replicare il modus operandi degli attacchi fatti in passato, tentando di infettare la catena di fornitura di prodotti informatici.


Il gruppo starebbe cercando di portare a compimento tutto ciò usando le stesse tecniche usate per l’attacco a SolarWinds: il phishing e il password spraying. Il phishing consiste in messaggi di posta elettronica ingannevoli che spingono gli utenti a fornire i propri dati personali; il password spraying, invece, è una tecnica che prevede il furto di una password che poi sarà utilizzata per provare ad autenticarsi come un dipendente qualsiasi di un’organizzazione fino a che non si trova l’account collegato a quella password.


Le aziende avvertite da Microsoft sono 141 e per ora solo 14 hanno ammesso di aver subito degli attacchi che hanno avuto successo, i quali però hanno avuto un impatto molto limitato. La stessa cosa è stata affermata da un alto ufficiale dell’amministrazione Biden: sebbene non abbia voluto dire chi il governo crede sia dietro questi attacchi, è stato confermato che questi ultimi hanno avuto luogo, ma che sono stati poco sofisticati e inoltre vengono definiti come “attività di spionaggio di routine”.


Microsoft ha affermato che al momento si sta coordinando con molte delle agenzie governative americane e aziende europee per studiare le attività del gruppo Nobelium per migliorare le proprie conoscenze sulle attività di questi cybercriminali e quindi per implementare i sistemi di sicurezza delle aziende in modo che attacchi come quelli ai danni di SolarWinds non accadano più.