Attacco informatico cinese ha colpito migliaia di aziende italiane.

E’ assurdo, è in corso un imponente attacco informatico, ma nessuno in Italia ne parla: ad inizio gennaio un gruppo hacker cinese, sfruttando una falla zero day di Exchange, ha iniziato ad infettare server di posta in tutto il mondo.

L’Italia sarebbe uno dei paesi più colpiti con Stati Uniti e Turchia, con una serie di conseguenze che ancora non possono essere calcolate.
Il bersaglio più grande di questo attacco è stata la Wind Tre!
Lo scorso weekend, la compagnia di telefonia ha avuto diversi problemi sulla rete interna, con limitato accesso ad alcune app.

L’attacco messo a punto dagli hacker cinesi è uno dei più devastanti degli ultimi anni, tanto grave che negli Stati Uniti se ne sta interessando direttamente il presidente Biden: le conseguenze per molte aziende americane (e non) potrebbero essere drammatiche.

Gli attacchi iniziano a gennaio. E proseguono indisturbati

Il 5 gennaio del 2021 un ricercatore di DevCore, su Twitter, scrive di aver segnalato ad un vendor quello che può essere considerato uno dei bug di sicurezza più devastanti che siano mai stati trovati.
Il vendor è Microsoft ed i bug segnalati si riferiscono a due falle “zero day”, quindi sconosciute, legate ai server di posta Exchange.

In totale le vulnerabilità erano quattro e Microsoft le ha chiusecon una patch cumulativa il 2 marzo del 2021.
Microsoft, nel report relativo al problema, inizialmente ha sminuito l’entità dell’attacco; stati usati solo per alcuni attacchi sporadici. Successivamente ha svelato che il problema era ben più grave.

Le indagini hanno portato ad un gruppo di hacker cinesi legati al Governo, Hafnium, un team organizzato di altissimo livello che prende di mira obiettivi strategici. Utilizzando decine di server privati virtuali ubicati in America, per non destare sospetti legati ad IP cinesi, gli hacker hanno iniziato a colpire una serie di aziende in tutto il mondo, ma soprattutto in Usa: università, aziende di ricerca, enti governativi.

Quando tutto esce allo scoperto gli attacchi si intensificano

Quando i problemi sono stati individuati da Microsoft, gli attacchi del gruppo cinese si sono intensificati. Prima si attaccavano solo obiettivi mirati, poi, utilizzando una botnet, hanno iniziato ad attaccare ogni server esposto sulla rete utilizzando la Outlook Web Authentication page, ovvero la pagina web dalla quale un dipendente di una azienda può collegarsi per leggere la sua posta su server Exchange.

L’esperto di cybersicurezza Brian Krebs, ha iniziato a delineare il perimetro dell’attacco: in pochi giorni si è passati dai 30.000 server compromessi ai 150.000 server compromessi in tutti il mondo.

Palo Alto Networks, effettuando una scansione a tappeto sulla rete, ha stimato che ancora oggi ci possano essere circa 125.000 server in tutto il mondo vulnerabili perché ancora le patch di Microsoft non sono state applicate. Come ricordano in molti, in ambito enterprise applicare una patch non è come aggiornare il sistema di un telefono: in molti casi, quando vengono usate soluzioni personalizzate con plug-in esterni, prima di effettuare un aggiornamento ad un componente critico vengono fatti diversi test.

L’attacco si è così propagato in tutto il mondo e vista la gravità della cosa il neo-presidente americano Biden ha istituito una task force per capire i legami e i collegamenti con la Cina e intervenire per proteggere le aziende americane. Sembra infatti che da marzo, quando Microsoft ha rilasciato le patch, al gruppo Hafnium si siano affiancati anche altri gruppi di hacker cinesi. Sulla questione sta indagando anche l’FBI.

Una bomba a orologeria: tutti i rischi

Abbiamo parlato di attacco, ma molti esperti hanno parlato di una vera bomba a orologeria che deve ancora esplodere e per capire il motivo si deve analizzare quelle che sono le singole conseguenze di ogni attacco. Sui server colpiti sono state installate una o più backdoor che permettono ai malintenzionati il controllo totale del server, dalla lettura delle email dell’intera rete aziendale all’accesso di computer sulla stessa rete del server.

Secondo molti esperti quella a cui abbiamo assistito è solo la fase uno: si è piantato un seme, e ora si aspetta che germogli per tornare a raccogliere il frutto. I malintenzionati potrebbero infatti accedere ai server attaccati, avendo installato una backdoor di accesso, per terminare l’attacco.

L’ipotesi più probabile è il furto di dati per alcune aziende specifiche, quelle di importanza strategica, accompagnato dall’installazione di ransomware o di strumenti per il mining di criptovalute per tutti gli altri server. Nel primo caso si tratterebbe di un attacco manuale, nel secondo caso di un attacco a tappeto, per guadagnare soldi con il riscatto o con la vendita delle valute minate.

Alcuni server analizzati, colpiti dall’attacco, avevano più di tre backdoor installate, e la bonifica ha richiesto giorni. Dall’analisi dei log di traffico ricevuti da molti ISP americani, e da coloro che avevano senza saperlo affittato i server americani ai cinesi per gli attacchi, alcune agenzie di cybersecurity sono riuscite a risalire agli indirizzi IP dei server attaccati e stanno avvisando tutti: “fate subito un backup e tenetelo scollegato dalla rete”.

Il rischio che, da un momento all’altro, l’intera rete aziendale possa essere criptata da un ransomware è altissimo.

Cosa può succedere adesso?

Le quattro falle di Exchange hanno conseguenze ad oggi incalcolabili. L’impatto sarà maggiore, secondo i consulenti Usa che stanno seguendo la cosa per la Casa Bianca, del già terribile hack di SolarWind.

Il problema vero è che siamo solo alla prima fase, e tantissime aziende ignorano tutt’ora quello che sta succedendo e non hanno ancora applicato le adeguate correzioni. Molte aziende, inoltre, sono state colpite e non se ne rendono conto: da un giorno con l’altro potrebbero trovarsi con l’intera rete criptata.

Sebbene l’Italia sia stata fino a venerdì il terzo paese più attaccato ad oggi, fatta eccezione per l’indiscrezione di Bloomberg legata a Wind Tre, di questo gravissimo attacco nessuno dice nulla. Negli Stati Uniti se ne sta occupando l’FBI e c’è una task force attiva del Governo: la sicurezza delle aziende del Paese è a rischio. Da noi sembra che la cosa stia passando in sordina, e venga tenuta un po’ nascosta, forse anche per le implicazioni legate al GDPR.

Una intrusione simile, in un server di posta, dovrebbe essere segnalata istantaneamente al Garante e proprio per questo abbiamo chiesto all’ufficio stampa se, negli ultimi giorni, c’è stato un aumento delle segnalazioni per data-breach e siamo in attesa di una risposta.