Lo dicono i primi risultati delle indagini di Microsoft. L’obiettivo degli attaccanti erano le risorse in cloud delle grandi agenzie pubbliche o delle multinazionali degli Stati Uniti
Microsoft ha scoperto a cosa miravano gli hacker del gruppo Cozy Bear, ritenuti responsabili dell’attacco informatico ai danni della catena d’approvvigionamento di SolarWinds che ha colpito agenzie governative e grandi aziende degli Stati Uniti. Secondo le indagini del team di Microsoft 365 Defender, gli hacker volevano compromettere l’infrastruttura cloud dei bersagli.
L’attacco è stato condotto utilizzando una tecnica sofisticata: attraverso una compromissione della catena di fornitura del software, gli aggressori sono riusciti a introdurre un codice malevolo nelle firme binarie sulla piattaforma SolarWinds Orion, un popolare software di gestione informatica utilizzato dalle principali agenzie federali negli Stati Unti.
Per riuscire nel loro intento i cybercriminali hanno cercato di implementare nei sistemi una backdoor, nota col nome di Solorigate o Sunburst. “Con questo punto d’appoggio iniziale, gli aggressori possono scegliere le organizzazioni specifiche all’interno delle quali desiderano continuare a operare (mentre le altre rimangono un’opzione in qualsiasi momento, fintantoché la backdoor è installata e non viene rilevata)”, spiega Microsoft. Grazie alla backdoor, gli hacker avrebbero potuto spostarsi nelle infrastrutture cloud delle vittime in maniera indisturbata.
Una volta installata la backdoor, gli aggressori l’hanno utilizzata per sottrarre credenziali, aumentare i privilegi d’accesso in loro possesso, ottenendo così la capacità di generare dei token Security assertion markup language (Saml) validi. Saml è uno standard informatico per lo scambio di dati di autenticazione e autorizzazione. Rubando o falsificando questi token gli aggressori hanno potuto accedere alle risorse cloud per esfiltrare email e dati sensibili.
“Questo attacco è una campagna avanzata e invisibile con la capacità di mimetizzarsi, che potrebbe consentire agli aggressori di rimanere fuori dai radar per lunghi periodi di tempo prima di essere rilevati”, afferma Microsoft spiegando come mai Cozy Bear ha agito indisturbato per oltre un anno prima che qualcuno si accorgesse dell’attacco in corso.
Microsoft spiega che, siccome la minaccia è ancora attiva e continua a evolversi, i risultati delle indagini rappresentano solo una piccola parte di quello che c’è ancora da sapere sull’attacco.
Leggi anche
Potrebbe interessarti anche