L’attacco hacker contro gli Stati Uniti è un disastro
Il numero di agenzie governative e società private infiltrate è più alto di quello che si pensava, e sono stati trovati gravi problemi alle difese informatiche americane
Il grande attacco informatico contro gli Stati Uniti scoperto a dicembre, che ormai viene identificato con SolarWinds, l’azienda texana che è stata il principale punto d’ingresso degli hacker, sta diventando sempre più grave ed esteso mano a mano che gli esperti di sicurezza e le agenzie governative americane proseguono con le indagini e valutano i danni: potrebbero volerci mesi per capire quanto l’attacco sia andato in profondità, e potrebbero volerci anni per rimettere tutti i sistemi informatici in sicurezza, con grosse perdite economiche e danni politici. Negli Stati Uniti si sta anche cominciando a parlare delle responsabilità: non soltanto quelle dell’attacco, che secondo gli esperti è stato ordinato dall’intelligence russa, ma anche di chi avrebbe dovuto prevenirlo e non l’ha fatto.
Sulla base delle informazioni raccolte e dei precedenti, gli esperti di sicurezza informatica sono concordi nell’attribuire la responsabilità dell’attacco all’SVR, il Servizio di intelligence internazionale russo, una delle agenzie nate dal KGB di epoca sovietica. L’obiettivo principale dell’attacco sono gli Stati Uniti, dove sono state colpite molte agenzie governative e centinaia di società private, ma sono coinvolte anche centinaia di aziende in tutto il mondo. L’attacco, inoltre, era così complesso ed esteso che non è ancora chiaro quale sia stato lo scopo degli hacker russi, quale e quanto materiale sia stato rubato, e quanto tempo e quali misure saranno necessarie per eliminare gli hacker dalle reti colpite.
È stato un attacco alla «supply-chain»: significa che anziché prendere di mira direttamente un obiettivo gli hacker hanno agito alla lontana, colpendo i suoi fornitori. Il più famoso di questi fornitori è appunto SolarWinds, una società informatica texana che produce Orion, un software di gestione delle reti aziendali. Gli hacker hanno ottenuto l’accesso al sistema di aggiornamento di Orion e quando, nel marzo del 2020, SolarWinds ha pubblicato un aggiornamento di Orion, l’hanno sfruttato per installare una backdoor nelle reti interne dei clienti di SolarWinds. Le backdoor, letteralmente “porta di servizio”, sono programmi che consentono di entrare in un sistema informatico senza che il suo proprietario se ne accorga, ed eventualmente di prenderne il controllo.
Orion è un software diffusissimo. SolarWinds ha eliminato la pagina in cui elencava tutti i suoi clienti, ma ovviamente su internet è ancora reperibile: l’azienda sostiene di avere 300 mila clienti, tra cui tutti e cinque i settori della Forze armate americane (sarebbero sei ma l’ultima, la Space Force, è stata aggiunta da poco), il Pentagono, la NASA, l’NSA, vari ministeri americani e l’ufficio della presidenza degli Stati Uniti. Inoltre, tra i clienti privati di SolarWinds ci sono 425 delle aziende del Fortune 500 (la lista delle 500 aziende più grandi degli Stati Uniti, compilata dalla rivista Fortune), le dieci più grandi compagnie telefoniche americane, centinaia di università e ospedali in tutto il mondo e molti altri.
Non tutti questi clienti hanno scaricato l’aggiornamento che conteneva la backdoor. Secondo SolarWinds, l’hanno fatto in «meno di 18 mila». Questo significa comunque che più di 17 mila aziende ed enti governativi avevano dentro ai propri sistemi informatici una backdoor che poteva essere usata in qualsiasi momento.
Non sappiamo con certezza in quanti di questi oltre 17 mila sistemi gli hacker russi siano effettivamente entrati. A dicembre Microsoft aveva detto di aver individuato almeno 40 tra aziende ed enti governativi effettivamente infiltrati (in seguito ha detto che gli hacker erano entrati anche nei suoi sistemi). Il New York Times, in un articolo uscito il 2 gennaio e pieno di nuovi dettagli, ha scritto che secondo un’analisi più recente gli obiettivi violati potrebbero essere 250. Gli esperti, tuttavia, ritengono che SolarWinds sia soltanto uno dei fornitori usati dagli hacker, e dunque le vittime potrebbero essere di più. Tra questi ci sono vari dipartimenti americani, tra cui il Pentagono, il dipartimento del Tesoro, del Commercio, di Stato, dell’Energia (all’interno di quest’ultimo, sarebbero stati compromessi anche gli uffici che gestiscono l’arsenale nucleare).
Una volta dentro ai sistemi informatici di decine di obiettivi, cos’hanno fatto gli hacker? Secondo l’esperto di sicurezza informatica Bruce Schneier, hanno seguito il «manuale standard» per un attacco di questo tipo: si sono mossi per scovare altre vulnerabilità ed espandere la propria presenza all’interno del network, e soprattutto hanno quasi certamente creato un «accesso persistente». Significa che hanno inserito delle altre backdoor in maniera tale che anche se quella originale di SolarWinds sarà chiusa, gli hacker continueranno a poter accedere. Questo è un gran problema perché l’unico modo per avere qualche speranza di eliminare gli hacker dalla propria rete aziendale è «raderla al suolo e ricostruirla». È un procedimento lungo e costoso, e anche così non si ha la sicurezza assoluta di aver cacciato tutti gli intrusi. «L’attacco è molto, molto più grave di quanto temessi inizialmente», ha detto al New York Times Mark Warner, un senatore americano membro della commissione Intelligence, e uno dei politici locali più esperti sul tema.
Gli hacker, poi, hanno anche rubato documenti. Per ora non ci sono prove che abbiano avuto accesso a materiale “classificato”, cioè segreto e di importanza strategica, ma fonti del governo americano sentite dal New York Times temono per materiale non classificato ma comunque importantissimo, come per esempio “Black Start”, il piano dettagliato degli Stati Uniti per ripristinare la fornitura di energia in caso di un blackout catastrofico e generalizzato. Gli hacker hanno inoltre avuto accesso a molti account email di alti funzionari americani, per esempio al dipartimento del Tesoro.
– Leggi anche: Si sa qualcosa in più sull’attacco informatico contro il governo degli Stati Uniti
L’attacco è stato così grande e generalizzato che ancora non si sa esattamente quale fossero i suoi obiettivi strategici: se rubare documenti e altro materiale oppure se inserire backdoor nelle più importanti reti americane, cosa che costituirebbe una minaccia duratura e difficile da eliminare, che un’esperta ha paragonato a una «pistola puntata alla tempia».
I problemi di SolarWinds
Tutti gli esperti concordano sul fatto che l’attacco hacker è stato sofisticato, molto accurato e per certi versi senza precedenti (ci sono stati relativamente pochi attacchi alle supply-chain, finora, e nessuno così esteso). Gli hacker, però, hanno sfruttato alcune vulnerabilità evidenti che, se risolte, avrebbero probabilmente reso l’attacco molto più difficile. Una di queste è SolarWinds, che pur essendo un fornitore importante di tante aziende ed enti strategici aveva pratiche di sicurezza lasche. Reuters, a dicembre, aveva raccontato che la password del server degli aggiornamenti dell’azienda era “solarwinds123”. È probabile che non sia stato questo il modo in cui gli hacker sono entrati ma, come ha scritto il New York Times, per Kevin Thompson, il CEO dell’azienda dal 2009 (dopo l’attacco ha dato le dimissioni), la sicurezza non era la priorità.
Thompson, che per formazione è un ragioniere e non un informatico, ha ottenuto enormi successi per SolarWinds, triplicando i profitti dal 2010 al 2019. Ma per farlo ha tagliato il budget dei settori considerati improduttivi, tra cui la sicurezza. Inoltre, ha esternalizzato fuori dagli Stati Uniti gran parte del lavoro di programmazione, aprendo uffici in paesi dell’Europa dell’est come la Polonia, la Repubblica Ceca e la Bielorussia, dove la presenza dell’intelligence russa è molto forte. Nel 2017 Ian Thornton-Trump, un consulente di sicurezza informatica assunto dall’azienda, disse che senza contromisure importanti un eventuale attacco hacker a SolarWinds sarebbe stato «catastrofico». Le raccomandazioni furono ignorate, e Thornton-Trump si dimise poco dopo.
Matt Stoller, un membro del centro studi Open Markets Institute e un esperto di monopoli, ha scritto sulla sua newsletter che i problemi di SolarWinds derivano in parte dal fatto di essere un’azienda di proprietà di un private equity, cioè di una società finanziaria (in questo caso gestita da un miliardario portoricano) che ha come obiettivo la massimizzazione del profitto e non ha vero interesse nel settore economico in cui si trova a operare.
– Leggi anche: L’uomo che ha indovinato la password dell’account Twitter di Trump è stato prosciolto
Le mancanze dell’amministrazione americana
Diversi articoli che si sono occupati della questione hanno notato inoltre che ci sono stati molti problemi all’interno dell’amministrazione americana, a partire dal fatto che l’attacco non è stato individuato dagli esperti del governo ma da FireEye, una società privata di sicurezza informatica. Uno dei problemi riguarda complessivamente la strategia americana, che, come ha notato Bruce Schneier, privilegia l’attacco alla difesa, anche nella distribuzione dei fondi. Tra gli aspetti più citati c’è per esempio il fallimento di Einstein, un sistema di prevenzione degli attacchi informatici messo a punto dagli Stati Uniti che avrebbe dovuto evitare le intrusioni. Inoltre, secondo il New York Times, l’attenzione prestata quest’anno alla sicurezza delle elezioni potrebbe aver distolto da altre minacce.
La CNN ha scritto che l’amministrazione Trump è stata piuttosto inefficiente nel gestire la crisi. Le ragioni sono in parte strutturali: la Cybersecurity and Infrastructure Security Agency (CISA), che si dovrebbe occupare della questione, è nata soltanto da due anni e non ha l’esperienza necessaria. Le ragioni più gravi, però, sono politiche: a dicembre Donald Trump ha licenziato Christopher Krebs, il direttore della CISA, perché questo non ha assecondato le sue accuse di brogli elettorali. Inoltre Trump ha cercato di sminuire la portata dell’attacco, definendolo privatamente come una bufala e cercando di smentire che la responsabilità sia della Russia. Sempre secondo la CNN, all’interno di molte agenzie governative la prima preoccupazione dei funzionari di nomina politica sarebbe quella di ridurre il più possibile il danno d’immagine per il presidente.
Questa inefficienza potrebbe riflettersi anche sulla presidenza di Joe Biden. Il team del presidente eletto ha denunciato che l’amministrazione uscente starebbe facendo ostruzionismo nel processo di transizione, negando documenti e informazioni importanti, compresi quelli che riguardano l’attacco hacker.
La strategia della Russia
Dick Durbin, un senatore del Partito Democratico, a metà dicembre ha detto che l’attacco informatico SolarWinds «è virtualmente una dichiarazione di guerra della Russia contro gli Stati Uniti». Durbin è l’unico senatore ad aver fatto una dichiarazione di questo tipo, ma tra chi si occupa di sicurezza negli Stati Uniti si sta discutendo molto su come giudicare questo attacco. Per alcuni, come Schneier, si tratta di comune spionaggio. Brad Smith, il presidente di Microsoft, ha scritto invece che questo «non è “il solito spionaggio”», perché non si è limitato a rubare materiale segreto ma ha creato grandi vulnerabilità tecnologiche in tutto il mondo.
Il Wall Street Journal ha spiegato che per la Russia, la cui economia è più piccola di quella dell’Italia, gli attacchi hacker e di spionaggio come quello da poco scoperto sono un modo per bilanciare la grande disparità di risorse che la separa dagli Stati Uniti. Secondo esperti sentiti dal giornale americano, le operazioni russe nel corso degli anni si sono molto evolute sia in termini di abilità tecnica sia in termini di ambizione, e sono state usate in tutti i principali luoghi di interesse per il paese, dall’Estonia nel 2007 all’Ucraina in anni più recenti.
Questi attacchi hanno messo sempre più in difficoltà anche gli Stati Uniti, perché sembra che tutti i deterrenti impiegati finora, a partire dalle sanzioni economiche, abbiano avuto pochi effetti. La Russia ha negato ogni responsabilità nell’attacco. Dmitri Peskov, il portavoce del presidente russo Vladimir Putin, ha detto di recente che «le accuse nei confronti della Russia sono del tutto prive di fondamento e sembrano essere la continuazione di una cieca russofobia».