Da SolarWinds a Log4j: quali conseguenze hanno oggi le vulnerabilità?
Se lo scorso anno ha insegnato qualcosa alle aziende, è che le conseguenze degli attacchi mirati e delle vulnerabilità di sicurezza sono, senza ombra di dubbio, universali. Dall’attacco alla supply chain del software SolarWinds alla vulnerabilità Apache Log4j, le aziende non hanno mai sentito in maniera così forte l’esigenza di avere un’infrastruttura di sicurezza robusta e completa, anche quando non sono necessariamente loro stesse a essere nel mirino.
Molti pensano che l’evento SolarWinds avvenuto alla fine del 2020 sia stato il principale catalizzatore per il successivo proliferare di attacchi di quinta generazione, presenti ancora oggi. Se esercitato su larga scala, questo tipo di attacco multi-vettore ha una portata praticamente illimitata, con conseguenze devastanti sulla security di aziende e entità governative di tutto il mondo. Un anno dopo, la vulnerabilità Apache Log4j ha consentito ai cyber-criminali di eseguire codice da remoto su quasi tutti i computer presi di mira per assumerne il controllo, rubare dati o persino violare il computer di un utente per ottenere criptovaluta.
Nel primo caso si è trattato di un attacco organizzato da un gruppo APT, il secondo di una vulnerabilità zero-day di cui nessuno si era accorto. Una cosa, però, questi due incidenti hanno in comune e cioè l’aumento del margine di rischio e di vulnerabilità per aziende di tutti i settori, ovunque nel mondo. Mentre le aziende progettano le loro strategie future, è chiaro che la cybersecurity è un problema mondiale e non solo locale, e questo dovrà riflettersi in ogni strategia aziendale, da questo momento in avanti.
Gli attacchi di quinta generazione (Gen V)
La peculiarità degli attacchi di quinta generazione è la loro capacità unica di sfruttare vaste superfici di attacco e diversi vettori per infiltrarsi in un gran numero di aziende. Questi attacchi stanno crescendo in modo spropositato. In un momento come questo, in cui aziende e realtà governative stanno puntando su una presenza decentralizzata, distribuendo la rete su un maggior numero di endpoint e di device, il rischio di essere colpiti da un attacco Gen V non è mai stato così alto.
Come sottolineato nel Security Report 2022 di Check Point, la violazione di SolarWinds, che ha avuto conseguenze su oltre 18.000 organizzazioni in tutto il mondo, ha dato avvio a una serie di attacchi alle supply chain che ancora affliggono le aziende oggi. In un anno che ha visto gli attacchi informatici contro i network aziendali aumentare del 50% su tutta la linea, i vendor di software come SolarWinds hanno visto gli attacchi crescere, anno su anno, del 146% – una percentuale mai raggiunta prima.
Oggi l’economia aziendale si regge su un complicato sistema di software per la supply chain, il che significa che con ogni nuovo attacco verso un vendor di software la vulnerabilità delle aziende di tutto il mondo è ulteriormente amplificata.
Alimentare gli attacchi: il catalizzatore Sunburst
L’attacco alla supply chain di SolarWinds è stato facilitato da una backdoor nota come Sunburst, che è stata aggiunta al sistema SolarWinds di Orion prima che fosse distribuito ai clienti in tutto il mondo attraverso un aggiornamento di routine. Questo ha dato al Gruppo APT (advanced persistent threat) l’accesso anonimo a migliaia di reti dei clienti di SolarWinds, dalle agenzie governative alle aziende Fortune 500. Sfortunatamente, questa modalità di attacco da parte dei gruppi APT sta crescendo. Come spiega il report, il gruppo ransomware REvil ha preso di mira diversi managed service provider (MSPs) nel corso del 2021, e nel mese di luglio è riuscito a incorporare un software update malevolo nei tool per la gestione delle patch e del monitoraggio dei clienti dell’azienda IT Kaseyain. Migliaia di aziende, ignare di tutto, sono state colpite con richieste di riscatto miliardarie.
Probabilmente, Sunburst ha anche ispirato l’attacco a Colonial Pipeline, che movimenta quasi la metà del carburante nella costa est degli USA. Dietro l’attacco si celava il gruppo APT DarkSide, che utilizza un modello Ransomware-as-a-service, cioè un modello che utilizza programmi affiliati di terze parti per organizzare la violazione. Ad oggi, questo è uno degli esempi più eloquenti di come i tool utilizzati per sferrare questi attacchi siano ormai sempre più diffusi, mettendo ancora più pressione sulle aziende che devono difendere i loro perimetri.
Mentre i beni di proprietà del gruppo ransomware sono stati sequestrati e i suoi capi sono stati arrestati, è impossibile arrestare il codice. Una volta che un gruppo di hacker fa progressi con un particolare attacco, è molto facile per un membro affiliato trarre vantaggio da questo. Emotet, una delle botnet più pericolose della storia, è tornata nel novembre del 2021, un anno dopo il suo takedown. Si tratta di un trojan diffuso soprattutto attraverso link, e-mail di spam, script malevoli e file che contengono macro. Una volta che ha infettato un utente, può dilagare come un incendio senza essere rilevato, rubare credenziali bancarie e dati finanziarli da persone, aziende e governi in tutto il mondo.
Il pericolo delle vulnerabilità zero-day
Mentre gli attacchi mirati come quelli qui descritti sono sempre più pericolosi per le aziende di tutto il mondo, exploit e vulnerabilità non sono da meno. Lo scorso dicembre, è stata segnalata una vulnerabilità legata all’esecuzione di codice da remoto in Apache Log4j, la più famosa libreria java nel mondo. Questa libreria è incorporata in quasi tutti i servizi e le applicazioni che utilizziamo quotidianamente, da Twitter ad Amazon da Microsoft a Minecraft. Se inizialmente è stata sfruttata da alcuni cyber criminali per accedere a risorse di mining di criptovalute a spese delle vittime, non c’è motivo per cui un exploit simile non possa essere utilizzato per attacchi più sofisticati e più pericolosi. Check Point Research ha individuato circa 40.000 tentativi di attacco soltanto due ore dopo che è stata rivelata la vulnerabilità Log4j e altri 830.000 tentativi di attacchi nelle 72 ore successive.
Queste vulnerabilità zero-day devono il loro nome alla loro capacità di prendere le aziende completamente alla sprovvista, non dando il tempo di reagire prima che possano diventare potenziali vittime. A quel punto, si tratta di una gara tra chi orchestra la minaccia e la sua capacità di sfruttare la vulnerabilità da una parte, e quanto le aziende riescono a chiudere la falla per difendersi dall’altra.
Le minacce globali richiedono una soluzione globale
Il contesto in cui agiscono le minacce è cambiato. La tradizionale linea di difesa che le aziende potevano tracciare per dividere loro stesse e il resto del panorama informatico è ormai talmente poco nitida che potrebbe anche non esistere. Invece di vigilare un perimetro statico, le aziende devono adottare un approccio più olistico per avere una visione in tempo reale della loro sicurezza. Chi si occupa di sicurezza deve fare in modo di mantenere una visibilità a 360 gradi, indipendentemente da quanto la realtà aziendale possa essere distribuita in lungo e in largo. Devono anche poter accedere alla threat intelligence in tempo reale e su scala globale, in modo da poter prevenire vulnerabilità zero-day a vasto raggio e attacchi mirati alle supply chain come quelli di cui abbiamo parlato.
Se le aziende di tutto il mondo vogliono agire in piena sicurezza negli anni a venire, devono iniziare a considerare la cybersecurity come un problema globale e non locale, e far evolvere in questo senso le loro strategie. Solo allora potranno difendersi in un contesto di minacce che non conosce confini e non può essere fermato.