Maxi-attacco hacker all'America: Governo sotto controllo per mesi. Preparazione e infiltrazione
Sono stati colpiti i gangli vitali del governo americano e alcune tra le più importanti aziende del paese senza che nessuna delle diverse agenzie americane incaricate di vigilare sul cyberspazio americano si accorgesse di nulla
Lo scorso dicembre gli Stati Uniti hanno scoperto di essere stati oggetto di una vasta operazione di spionaggio, forse la maggiore di sempre. Sono stati colpiti i gangli vitali del governo americano e alcune tra le più importanti aziende del paese senza che nessuna delle diverse agenzie americane incaricate di vigilare sul cyberspazio americano si accorgesse di nulla. Un vero e proprio attacco all’America ricostruito e raccontato in tre puntate.
Il paradiso terrestre
Settembre del 2019, Stati Uniti. Ad Austin, capitale del Texas, fa caldo. Di giorno la temperatura arriva a 37 gradi e non scende sotto i 30. Ma è un caldo secco e si sopporta senza troppo patire. Le serate sono piacevoli e la notte si dorme bene. La città è vivace, dinamica, nota per i suoi murales, la sua vita notturna, la musica dal vivo e il suo tasso alcolico, grazie al quale è stata battezzata la “città più ubriaca degli Stati Uniti”. A sentire i suoi tassisti "è quanto di più vicino ci sia al paradiso in terra; l’unico problema è che intorno c’è il Texas". Negli anni il paradiso terrestre è anche diventato uno dei centri dell’industria tecnologica americana attraendo imprese e talenti dalla Silicon Valley. Vi si sono insediate aziende come Oracle, Dropbox, Google, Facebook, Apple e anche la Space X di Elon Musk. Il fenomeno è tale da aver fatto guadagnare alla città il nomignolo di “Silicon Hills”.
SolarWinds
Non lontano dal centro della città, a sud del fiume Colorado che la attraversa, c’è la riserva naturale di Barton Creek e poco distante, lungo la Southwest Parkway, al numero 7171, si erge la sede di una delle tante società di informatica di Austin, la SolarWinds. Fondata nel 1999 a Tulsa in Oklahoma dai fratelli Donald e David Yonce, a dispetto del nome così evocativo la società non si occupa di energia eolica o solare, ma di informatica. In particolare di produzione di software per la gestione delle reti aziendali e della pubblica amministrazione. La società ha tra i suoi clienti il cuore pulsante del potere americano. Delle 500 maggiori imprese statunitensi riportate nella lista USFortune 500, ben 499 sono sue clienti. Praticamente l’intero gotha del capitalismo d’oltreoceano. Sono clienti tutte e dieci le società statunitensi di telecomunicazioni, colossi del calibro di Microsoft, le cinque forze armate americane, il Pentagono, il Dipartimento di Stato, la NASA, la National Security Agency, il Servizio Postale, il Dipartimento di Giustizia, l’Ufficio del Presidente degli Stati Uniti, le cinque maggiori società americane di revisione, centinaia di università e college in tutto il mondo. Nel lungo elenco, ora eliminato dal sito ufficiale della società, ma recuperabile negli archivi di Internet, c’è anche la ex Telecom Italia, ora TIM.
Calma apparente
Mercoledì 4 settembre 2019 è una giornata calda come quelle precedenti e come quelle che seguiranno. Nella sede di SolarWinds i condizionatori delle sale dei server pompano aria gelida per evitare che questi ultimi si surriscaldino e vadano in tilt, generando il caos. Il rumore è quasi assordante, ma le stanze sono isolate e insonorizzate. Tutto procede come sempre. O almeno così pare. I software di sicurezza non rilevano minacce, i firewall, i muri di protezione virtuali posti a difesa dei server, non registrano anomalie. Eppure, nei sistemi della società è appena penetrato un intruso. Dà un’occhiata, probabilmente mappa la rete interna, poi, senza toccare nulla, esce e scompare nel cyberspazio.
Obiettivo: Orion
Passa poco più di una settimana, il 12 settembre quello stesso intruso si riaffaccia alla rete di SolarWinds e, invisibile ai sistemi che dovrebbero garantirne la sicurezza, entra e prova ad accedere a un server particolare. È quello che i programmatori chiamano il build server, la piattaforma che viene utilizzata per assemblare le singole componenti di un software in costruzione. Ogni gruppo di programmatori vi carica il suo pezzo di codice e il tutto viene poi messo insieme, reso organico e coerente e ripulito dagli errori. Il risultato finale del processo è il prodotto pronto per la consegna al cliente, interno o esterno che sia. Nel caso in questione sul build server della SolarWinds si sta lavorando, tra le altre cose, agli aggiornamenti della piattaforma Orion, uno dei prodotti di punta dell’azienda, utilizzata da oltre 33mila clienti sparsi nel mondo per gestire le risorse IT, le reti, i server. Senza che nessuno ne rilevi la presenza l’intruso comincia a installare nel build server un suo programma, un malware, al quale, a porte chiuse e cavalli ormai scappati dalla stalla, verrà poi attribuito il nome di “Sunspot”. Il malware, un software realizzato con intenti tutt’altro che commendevoli, ha un obiettivo particolare: individuare all’interno del build server componenti e comandi riguardanti Orion.
Sunspot
Le visite del misterioso intruso, quello che in cybersicurezza viene genericamente chiamato Threat Actor (TA), continuano per quasi due mesi. Otto settimane nelle quali il malware Sunspot viene piazzato nel server di SolarWinds e testato. Nel frattempo ad Austin la stagione cambia, le giornate si accorciano e si fanno più fredde. Il 4 novembre 2019, è però una bella giornata di sole, la temperatura arriva a 28 gradi, dieci gradi di più della settimana precedente. Quel giorno l’infiltrazione di Sunspot viene completata con successo. Funziona alla perfezione ed è pronto per eseguire il suo compito: cercare i file relativi a Orion e quando verrà il momento sostituirne uno.
Un piano sofisticato
A riprova della sofisticatezza dell’attacco, Sunspot è solo la mossa di apertura degli hacker. Il suo compito, infatti, è solo quello di preparare la strada ad un successivo malware. Sunspot è l’equivalente dei genieri che aprono la via agli esploratori che si infiltreranno nelle linee nemiche con il compito di mappare e segnalare i possibili obiettivi al quartier generale. L’equivalente degli esploratori è invece un malware che si chiama “Sunburst”. Il piano è originale, sofisticato, ma allo stesso tempo caratterizzato da una sua semplicità e linearità. Dopo essere stato installato, Sunspot, il primo malware, ha modificato uno dei file di aggiornamento della piattaforma Orion aggiungendo nuove istruzioni. Quando l’aggiornamento verrà reso disponibile, i clienti di Solar Winds che utilizzano Orion lo caricheranno nei loro sistemi insieme ad una serie di altri file. E il file modificato oltre a svolgere le sue funzioni “istituzionali” caricherà e installerà Sunburst, il secondo malware.
Sunburst
Una volta installato, Sunburst aprirà una porta sul retro, una “backdoor”, attraverso la quale invierà di nascosto agli hacker informazioni sul sistema che lo ospita. Nel caso quest’ultimo venisse ritenuto un obiettivo interessante la “porta sul retro” garantirà loro la possibilità di accesso. Sunburst però è ancora tutto da fare. O meglio, non tutto, alcuni pezzi ci sono già, blocchi di codici utilizzati in attacchi precedenti che vengono sempre buoni. Ma una parte consistente è ancora da mettere insieme. Dai primi di novembre e per i tre mesi successivi gli hacker ci lavorano su. Nel frattempo ad Austin è ormai arrivato l’inverno e le temperature si sono abbassate, per quanto si possano abbassare nel Texas del sud, circa la stessa latitudine di Agadir in Marocco e a soli 275 km dal Golfo del Messico. Il 20 febbraio 2020 però, nonostante la geografia, la giornata è fredda, piove. A est, oltre l’Oceano Atlantico, oltre il Reno e ancora più a est, fa decisamente più freddo. In una stanza ben riscaldata, davanti a uno schermo, qualcuno batte per l’ultima volta il tasto “invio”. Gli hacker sono finalmente pronti. Sunburst è completo e pronto a essere caricato in migliaia di sistemi.
Infiltrazione
Il piano scatta poco più di un mese dopo. Il 26 marzo 2020 SolarWinds rende disponibile ai suoi clienti l’aggiornamento “Hotfix5.dll”, all’interno del quale c’è il file modificato dagli hacker (SolarWinds.Orion.Core.BusinessLayer.dll). Nonostante la modifica il file appare originale e contrassegnato da un certificato digitale SolarWinds che ne attesta la legittimità. Mano a mano che gli aggiornamenti vengono scaricati Sunburst entra in migliaia di sistemi, alla fine se ne conteranno circa 18mila. Per le prime due settimane il malware rimane dormiente. Poi si attiva e comincia a osservare il traffico dati all’interno dei sistemi in cui è stato installato, raccoglie informazioni e le invia agli hacker mascherandole come normale traffico dati di Orion. Per minimizzare il rischio di essere individuato controlla che nel sistema non vi siano antivirus o programmi di ricerca malware e nel caso li blocca. Nelle settimane successive gli hacker raccolgono i dati inviati loro da migliaia di copie di Sunburst installate su altrettanti sistemi e cominciano a lavorarci su. Per il lavoro di individuazione e selezione degli obiettivi, infatti, non basta un software, ci vogliono gli esseri umani. Occorre che gli intrusi si mettano al lavoro, che le loro dita ticchettino sulle tastiere dei loro pc.
Minimizzare il rischio
Per tutti il mese di maggio, mentre ad Austin ricomincia a far caldo, essi si dedicano a scegliere possibili obiettivi e a preparare gli strumenti per attaccarli. E lo fanno dedicando un’attenzione maniacale a elaborare meccanismi per non essere scoperti. Fedeli al sempre valido principio della compartimentazione, lo stesso ai tempi utilizzato dalle Brigate Rosse per evitare che da una cellula si potesse risalire ad un’altra e poi all’intera colonna, fanno in modo che non vi siano collegamenti tra Sunburst e il software che verrà utilizzato per prendere il controllo dei sistemi. Così, se anche quest’ultimo venisse scoperto, il primo, che garantisce la porta d’accesso, potrebbe non essere individuato e continuare ad operare, fornendo la possibilità di condurre un nuovo attacco. Ogni volta che entrano in un sistema cambiano le procedure e le tecniche utilizzate adattandole all’ambiente in cui si trovano, mimetizzandosi nei file e nelle cartelle esistenti. Come in un classico dello spionaggio, per non farsi scoprire agiscono sempre in modo diverso e soppesano attentamente i rischi. Quando ritengono che il gioco non valga la candela, o perché l’obiettivo è poco rilevante o perché troppo rischioso, gli hacker danno istruzione a Sunburst di autocancellarsi.
Infiltrazione conclusa
Dopo un mese di lavoro, gli intrusi sono soddisfatti. Gli obiettivi che interessavano loro ormai li hanno nel mirino e decidono che non c’è bisogno di continuare l’opera di infiltrazione condotta attraverso l’aggiornamento di Orion. I sistemi ai quali hanno già guadagnato l’accesso bastano e avanzano. Continuare a infettarne di nuovi vorrebbe dire aumentare le possibilità di essere scoperti senza aver molto in più da guadagnare. Il 4 giugno 2020 gli hacker cancellano SunSpot nel build server, eliminando forse la traccia più pericolosa per loro, quella che poteva rivelare l’esistenza di un unico attacco condotto su migliaia di sistemi. Senza di essa essere individuati è molto più complicato. L’infiltrazione è conclusa. Ora è tempo di passare alla fase successiva.