In un lungo post il vicepresidente di Microsoft Tom Burt afferma che il gruppo di criminal hacker Nobelium, lo stesso gruppo responsabile della manipolazione del software della società statunitense SolarWinds, hanno violato i sistemi di un fornitore dell’Agenzia degli Stati Uniti per lo sviluppo internazionale (Usaid).
Gli hacker russi colpevoli di aver hackerato le agenzie governative degli Stati Uniti lo scorso anno nel famoso “breach”di SolarWinds hanno “bucato” il sistema di posta elettronica utilizzato dall’Agenzia degli Stati Uniti per lo sviluppo internazionale (Usaid), per prendere di mira più di 150 agenzie governative, gruppi per i diritti umani e ONG in tutto il mondo.
Lo ha rivelato il vicepresidente di Microsoft Tom Burt, con un lungo post, affermando che gli hacker, identificati come Nobelium, lo stesso gruppo responsabile della manipolazione del software della società statunitense SolarWinds, hanno violato i sistemi di un fornitore dell’Usaid e hanno invitato email fraudolente a oltre 3.000 account di più di 150 organizzazioni nel network dell’agenzia distribuite in almeno 24 Paesi.
Backdoor NativeZone
“Gli obiettivi che hanno aperto le e-mail, grazie ad una backdoor inserita all’interno denominata NativeZone in grado di fornire agli hacker accesso illimitato ai sistemi informatici dei destinatari, spiega Burt, hanno consentito agli hacker di eseguire “un’ampia gamma di attività, dal furto di dati all’infezione di altri computer su una rete”.
Lo schema, che Burt ha definito un “incidente attivo”, si è concentrato principalmente sugli Stati Uniti ma ha riguardato almeno 24 paesi. Almeno un quarto delle persone prese di mira era coinvolto in attività di sviluppo internazionale, attività umanitarie e diritti umani.
L’azienda di Richmond ha affermato che “molti degli attacchi” mirati ai suoi clienti sono stati bloccati perché i sistemi automatizzati contrassegnavano le e-mail come spam e i suoi sistemi impedivano l’accesso al software dannoso.
“Questo è un incidente isolato e abbiamo temporaneamente disabilitato gli account interessati mentre lavoriamo in collaborazione con il nostro cliente, che sta lavorando con le forze dell’ordine”, scrive Burt nel post, sottolineando la gravità di questi attacchi per tre motivi. Primo: “Se associato all’attacco a SolarWinds, è chiaro che parte del playbook di Nobelium è rappresentato dall’ottenere l’accesso a fornitori di tecnologia affidabili e infettare i loro clienti aumentando così le possibilità di danni collaterali nelle operazioni di spionaggio e minando la fiducia nell’ecosistema tecnologico”.
Seconda: le attività del gruppo e altri attori simili “tendono a seguire questioni che preoccupano il Paese da cui operano”, ossia la Russia. Basti pensare alle attività di un alto collettivo russo, Strontium, che nel momento più difficile della pandemia Covid-19 ha preso di mira le organizzazioni sanitarie impegnate nella ricerca del vaccino. Terza: “gli attacchi informatici degli Stati-nazione non stanno rallentando”, dunque c’è “bisogno di regole chiare che disciplinino la condotta dello Stato-nazione nel cyberspazio e indicazioni chiare sulle conseguenze della violazione di tali regole”.
SolarWinds-Colonial Pipeline: Biden corre ai ripari
Intanto, dopo l’attacco ransomware agli oleodotti della Colonial Pipeline di questi giorni dal gruppo hacker DarkSide, il presidente degli Stati Uniti Joe Biden, è corsi ai ripari firmando un nuovo ordine esecutivo per potenziare i livelli di cybersecurity nel Paese.
Prima di tutto, si legge nel documento ufficiale pubblicato dalla Casa Bianca, serve una maggiore circolazione di informazioni e di dati tra le agenzie governative e gli enti federali preposti alla difesa informatica, a cui devono contribuire anche le imprese fornitici di servizi IT.
Ogni informazione relativa a possibili vulnerabilità e attacchi informatici va condivisa tra enti pubblici e privati quindi e si dovrà poi creare un registro degli attacchi e delle risorse a disposizione per il contrasto degli stessi, gestito dal Cyber Safety Review Board, con il fine ultimo di proteggere tutte le infrastrutture critiche e i servizi essenziali.