La settimana scorsa Microsoft ha rilasciato alcune patch per sistemare le vulnerabilità di Exchange, un software per la collaborazione aziendale online molto diffuso, dopo che questo era finito nel mirino di un gruppo di cybercriminali cinesi che, approfittando delle vulnerabilità zero-day, avevano violato numerosi account di posta elettronica per accedere alle mailbox di migliaia di aziende (anche in Italia) e rubare informazioni riservate.
Gli attacchi, di tipo targettizzato, hanno consentito di accedere ai server Exchange locali delle vittime aprendo la strada all’installazione di un malware aggiuntivo per facilitare l’accesso a lungo termine agli ambienti compromessi.
I dettagli dell’attacco
Sono state colpite circa trentamila aziende e organizzazioni governative ed un numero imprecisato di mail sono state messe a rischio, tanto da aver messo in allarme anche la Casa Bianca.
Questi i dati salienti dell’attacco che ha colpito Microsoft e, di conseguenza, i suoi clienti.
Un portavoce della Casa Bianca ha sottolineato: “È essenziale che qualsiasi organizzazione con un server vulnerabile adotti misure immediate per determinare se è stato già preso di mira” specificando nella comunicazione che l’applicazione di patch e aggiornamenti non risolvono i problemi di server già compromessi.
Microsoft avrebbe appreso delle vulnerabilità attorno al 5 gennaio dalla società Devcore. Nei giorni successivi l’azienda avrebbe collezionato altre segnalazioni provenienti da altre società che si occupano di cybersicurezza.
Il colpevole sembra però indiscutibilmente individuato: secondo il gigante americano dietro l’attacco c’è la Cina, attraverso un team di hacker chiamato Hafnium.
Il gruppo, stanziato a Pechino ma che utilizzerebbe server virtuali in giro per il mondo per sviare le indagini, sarebbe particolarmente interessato alla corrispondenza delle aziende, soprattutto per quel che riguarda comunicazioni militari e scientifiche.
Fra gli enti più colpiti ci sarebbero, infatti, molti enti al lavoro sulla ricerca in ambito di malattie infettive. Da Pechino è giunta, nelle ultime ore, una secca smentita.
Mat Gangwer, senior director di Sophos, azienda che si occupa di sicurezza informatica e partner di IT solution, afferma: “attacchi come quello sferrato da Hafnium devono essere gestiti con estrema attenzione: permettono infatti agli aggressori di eseguire da remoto i comandi sui server senza bisogno di credenziali, consentendo a qualsiasi malintenzionato di sfruttarli a proprio piacimento. L’elevata diffusione di Exchange e la sua esposizione alla rete Internet significano che molte organizzazioni che utilizzano un server Exchange on-premises sono potenzialmente a rischio”.
“Gli aggressori”, secondo l’analista Sophos, “stanno attivamente sfruttando queste vulnerabilità con la tecnica del web shell che, se non rilevata e bloccata tempestivamente, consente ai cyber criminali di eseguire comandi da remoto per tutto il tempo in cui la shell web resta attiva. Le aziende che utilizzano un server Exchange on-premises dovrebbero verificare la corretta applicazione delle patch ai device Exchange e assicurarsi che gli aggiornamenti siano andati a buon fine. Tuttavia, la semplice applicazione delle patch non rimuove dalla rete gli attacchi precedenti alla patch. Le aziende hanno dunque bisogno di supporto di tecnici e di intelligence in grado di determinare se sono state colpite e in che misura, e, soprattutto, neutralizzare l’attacco e chiudere gli aggressori fuori dalle proprie reti”.
La rete criminale si è allargata
Intanto Microsoft ha specificato che sono stati individuati altri gruppi di cybercriminali che stanno sfruttando attivamente le vulnerabilità non ancora patchate. Per l’Mit Technology Review (rivista che seleziona e documenta le più importanti innovazioni tecnologiche) questi gruppi sarebbero quattro. Sfruttando le violazioni di sicurezza, sarebbero in grado di installare delle web shell (ossia script che vengono caricati su un server allo scopo di dare a un hacker il controllo remoto di una macchina) e di conseguenza rubare dati, caricare file ed eseguire comandi.
Nonostante gli Stati Uniti siano stati fortemente colpiti, la prima organizzazione a denunciare pubblicamente un attacco è stata l’Autorità Bancaria Europea (EBA): l’ente ha sede a Parigi e nasce con lo scopo di sorvegliare il mercato bancario europeo.
L’EBA stessa ha confermato l’attacco, che è stato così grave da costringere i tecnici a mettere completamente offline tutto il sistema di posta elettronica.
Un portavoce dell’Autorità Bancaria Europea ha dichiarato che “l’organizzazione sta lavorando per identificare gli eventuali dati a cui hanno avuto accesso gli hacker”.
Le principali preoccupazioni attuali riguardano la possibilità che gli hacker collegati a Pechino e gli altri gruppi attivi possano essere rimasti nascosti nei sistemi informatici per mesi prima che qualcuno si accorgesse delle vulnerabilità sfruttate e del loro attacco. In tutto questo tempo, migliaia di informazioni riservate di aziende e organizzazioni pubbliche potrebbero essere state trafugate, con conseguenze potenzialmente disastrose.