Anche Microsoft è stata colpita dagli hacker
Microsoft ammette di aver usato la versione infetta del software usato per spiare il Governo americano e FireEye, ma nega ogni fuga di dati.
Dopo la conferma dell’attacco hacker al Governo Americano, con molti Dipartimenti (cioè Ministeri) colpiti tra i quali anche quello del Tesoro, quello del Commercio e quello della Sicurezza interna, si scopre che il problema è molto più grande del previsto. E, forse, molto più grave: anche Microsoft ha ammesso di aver trovato “nel suo ambiente” la stessa versione infetta del software di SolarWinds che è stata usata per attaccare il Governo americano.
La nota emessa da Microsoft, infatti, dice: “Come altri clienti SolarWinds, abbiamo cercato attivamente indicatori di questo attore e possiamo confermare di aver rilevato file binari SolarWinds dannosi nel nostro ambiente, che abbiamo isolato e rimosso. Non abbiamo trovato prove di accesso ai servizi di produzione o ai dati dei clienti. Le nostre indagini, che sono in corso, non hanno trovato assolutamente alcuna indicazione che i nostri sistemi siano stati utilizzati per attaccare altri“. Microsoft, quindi, usava lo stesso software sfruttato dagli hacker per rubare una grossa mole di dati al Governo americano, comprese email riservate.
Il problema: SolarWinds Orion
A pochi giorni dalla notizia dell’attacco hacker al Governo americano ormai la dinamica è chiara: uno dei software usati per monitorare il traffico e le prestazioni di rete è stato modificato dagli hacker (che si presume siano legati alla Russia) con l’inserimento di un trojan per spiare il traffico.
Questo software è Orion di SolarWinds ed è lo stesso software alla base di un altro clamoroso attacco hacker, quello al gigante della cybersecurity FireEye. Orion è una piattaforma completa di monitoraggio del traffico di rete, che tra le altre cose serve anche a estrapolare statistiche sulla sicurezza della rete stessa e a monitorare gli scambi di email.
Chi usa i servizi di rete offerti da Microsoft può scegliere di acquistare la piattaforma di monitoraggio di tali servizi da SolarWinds. Il trucco usato dagli hacker è semplice: hanno sfruttato gli aggiornamenti automatici periodici di Orion per far scaricare al Governo americano, a FireEye e a Microsoft una versione infetta del software.
Sia chiaro: il problema non è nei software di Microsoft ma nella piattaforma di SolarWinds, che viene usata anche da Microsoft e da centinaia di altre aziende grandi e grandissime. SolarWinds afferma che i suoi clienti che usano Orion sono 18 mila. Ci sono quindi 18 mila reti aziendali potenzialmente infette nel mondo.
Non è il solito spionaggio
Microsoft, in un post sul suo blog ufficiale a firma del presidente Brad Smith, è stata molto chiara sulla gravità di questo attacco: “Questo non è il solito atto di spionaggio, persino nell’era digitale. Invece, rappresenta un atto di incoscienza che ha creato una grave vulnerabilità tecnologica per gli Stati Uniti e il mondo“.
Secondo quanto riporta Bloomberg, poi, anche l’agenzia statunitense per le armi nucleari e almeno tre Stati sovrani sono stati violati e questo rende l’attacco hacker tramite SolarWinds Orion “una delle più grandi violazioni della sicurezza informatica in memoria recente“.
Ancora Microsoft ha dichiarato che “ha identificato e ha informato questa settimana più di 40 clienti che sono stati presi di mira dagli aggressori in modo più specifico e sono stati compromessi attraverso tecniche aggiuntive e sofisticate“.
Cosa rischiamo
Microsoft afferma che nessun dato è stato sottratto tramite la versione infetta di Orion, trovata “nel nostro ambiente“. Nega anche che gli hacker abbiano potuto usare i server o le risorse di Microsoft per sferrare attacchi ai clienti.
Nel caso dell’attacco a FireEye, però, per ammissione della stessa azienda gli hacker hanno avuto accesso alle email gestite tramite Office 365, che venivano monitorate tramite SolarWinds Orion. Il rischio, quindi, è che Microsoft (e tutte le altre aziende che usano Orion) possano essere attaccate.
Microsoft assicura che, a partire dal 16 dicembre, l’antivirus Windows Defender integrato in tutte le copie di Windows 10 è in grado di trovare e bloccare il malware contenuto nella versione modificata di Orion.
