Il mondo sta ora affrontando quello che sembra essere un attacco informatico di quinta generazione: attacchi sofisticati e multi-vettore. Chiamato Sunburst dai ricercatori, riteniamo che questo sia uno degli attacchi più sofisticati e gravi visti in natura. Domenica 13 dicembre, gli Stati Uniti hanno scoperto il più vasto attacco informatico di sempre contro le loro organizzazioni. Questa campagna è iniziata, all'inizio di marzo 2020, quando la prima versione dannosa del software SolarWinds Orion è stata distribuita con un aggiornamento di Orion.
La piattaforma fornisce il monitoraggio della rete e servizi tecnici a centinaia di migliaia di organizzazioni in tutto il mondo.
Questo attacco, che è stato identificato nei giorni scorsi come un “attacco alla Supply Chain”, è iniziato quando un codice dannoso è stato impiantato negli aggiornamenti forniti dal produttore di Orion.
Il malware nominato come SUNBURST da FireEye, ha fornito agli hacker l'accesso remoto alle reti di un'organizzazione, consentendo alla fine di esfiltrare le informazioni. La capacità di monitoraggio della rete di questo software ha permesso agli attaccanti di avere la cosiddetta "God view" in queste reti. Oltre 18.000 aziende e uffici governativi hanno scaricato quello che sembrava essere un normale aggiornamento software sui propri computer, ma in realtà era un cavallo di Troia. Sfruttando una pratica IT comune per gli aggiornamenti software, gli aggressori hanno utilizzato la backdoor per compromettere le risorse dell'organizzazione, sia cloud che on premise, consentendo loro di spiare l'organizzazione e accedere ai suoi dati.
Gli hacker hanno operato con un approccio altamente sofisticato, preferendo rubare credenziali per eseguire movimenti laterali attraverso le reti e ottenere l'accesso remoto mantenendo la loro visibilità molto bassa. Per evitare di essere rilevati, gli aggressori hanno utilizzato una varietà di tecniche, varianti di malware che non erano mai state introdotte prima. Questo malware è stato caricato direttamente in memoria, senza lasciare tracce sul disco.
Come si vede, anche in questo moderno attacco sono state usare tecniche avanzate di invisibilità del malware e di lateral movement che non hanno permesso ai sistemi tradizionali di difesa di intercettare l'attacco. Per questa ragione il framework ZERO TRUST deve essere considerato centrale nella definizione delle strategie di cyber-defense aziendali, dando priorità ad approcci e strumenti che siano in grado di rilevare anche attacchi ignoti, zeroday ed evoluti rispetto le soluzioni signature.
Come rimanere protetti
Ritorno alle origini: in queste circostanze, le buone pratiche di PAM - Privilege Access Management sonno considerate "sicurezza di base": quindi privilegi minimo e segmentazione per rendere difficile accedere alle risorse critiche da parte degli attaccanti.
Difesa in profondità: assicurati che più protezioni operino in parallelo per identificare e prevenire diversi vettori di attacco, noti e non noti, anche di tipo evoluto in tempo. Le tecnologie Deceptive sugli end-point sono quelle raccomandate.
Assicurati che le tue soluzioni di sicurezza siano aggiornate.
Pensa a soluzioni di sicurezza di prevenzione: poiché gli aggressori rimuovono le loro tracce, nel momento in cui rilevi e analizzi le loro azioni, sarebbe troppo tardi
L'attacco mostra un'attenzione specifica alle risorse cloud: assicurati di esaminare quelle per attività sospette, anormali
