Gli hacker attaccano il software Microsoft e penetrano in decine di aziende in tutto il mondo

Secondo quanto riportato da autorità e ricercatori, nei giorni scorsi degli hacker hanno sfruttato una falla di sicurezza nel software Microsoft utilizzato in tutto il mondo per lanciare un'offensiva contro agenzie governative e aziende, irrompendo in agenzie federali e statali degli Stati Uniti, università (tra cui un'università brasiliana di cui non è stato reso noto il nome) e aziende.

Il governo degli Stati Uniti e i partner in Canada e Australia stanno indagando sulla compromissione dei server SharePoint locali, una piattaforma per la condivisione e la gestione di documenti nel cloud. Decine di migliaia di questi server sono a rischio, affermano gli esperti.

L'attacco è stato identificato venerdì (18) da Eye Security, un'azienda di sicurezza informatica con sede nei Paesi Bassi. Non ci sono ancora informazioni sull'organizzazione responsabile dell'attacco o sul suo obiettivo.

Sabato (19), Microsoft ha emesso un avviso sugli "attacchi attivi" al suo software, affermando che le vulnerabilità si applicano solo ai server SharePoint utilizzati all'interno delle organizzazioni. Ha inoltre affermato che SharePoint Online in Microsoft 365, che si trova nel cloud, non è stato interessato dagli attacchi.

Google, che monitora grandi volumi di traffico Internet, ha dichiarato lunedì (21) di aver collegato almeno alcuni degli attacchi a un attore della minaccia collegato alla Cina.

L'immagine mostra la silhouette di una persona su uno sfondo verde in codice binario. I numeri 0 e 1 sono disposti in uno schema che crea un effetto di movimento, dando l'impressione di profondità. La figura sembra concentrata su un'attività, forse sta digitando o interagendo con un dispositivo. — L'FBI indaga sull'attacco hacker al software Microsoft - Kacper Pempel/Reuters

Nell'avviso di sabato, Microsoft ha affermato che una vulnerabilità "consente a un aggressore autorizzato di falsificare una rete" e ha diffuso delle raccomandazioni per impedire agli aggressori di sfruttarla.

In un attacco di spoofing, un malintenzionato può manipolare i mercati o le agenzie finanziarie nascondendo la propria identità e fingendosi una persona, un'organizzazione o un sito web attendibile.

"Stiamo lavorando a stretto contatto con la CISA [l'Agenzia statunitense per la sicurezza informatica e delle infrastrutture], il Cyber Defense Command del Dipartimento della Difesa e i principali partner della sicurezza informatica in tutto il mondo per tutta la durata della nostra risposta", ha affermato un portavoce di Microsoft.

L'azienda afferma di aver rilasciato aggiornamenti di sicurezza e ha invitato i clienti a installarli immediatamente. Secondo Microsoft, gli utenti dovrebbero apportare modifiche ai programmi di SharePoint Server o semplicemente disconnetterli da Internet per contenere la violazione.

L'FBI ha dichiarato domenica (20) di essere a conoscenza degli attacchi e di stare lavorando a stretto contatto con i suoi partner federali e del settore privato, ma non ha fornito altri dettagli.

Secondo il Washington Post, il cosiddetto attacco "Zero Day" (chiamato così perché aveva come bersaglio una vulnerabilità sconosciuta) ha consentito alle spie di accedere ai server vulnerabili e potenzialmente creare una backdoor per garantire l'accesso continuo alle organizzazioni vittime.

Con l'accesso a questi server, che spesso si connettono alla posta elettronica di Outlook, a Teams e ad altri servizi essenziali, una violazione potrebbe portare al furto di dati sensibili e alla raccolta di password, ha osservato Eye Security.

I ricercatori hanno inoltre avvertito che gli hacker hanno ottenuto l'accesso a chiavi che potrebbero consentire loro di riottenere l'accesso anche dopo che un sistema è stato patchato.

Secondo gli esperti di sicurezza informatica, la falla potrebbe aver compromesso migliaia di dati. "Chiunque abbia un server SharePoint ospitato ha un problema", ha affermato Adam Meyers, vicepresidente senior dell'azienda di sicurezza informatica CrowdStrike. "Si tratta di una vulnerabilità significativa".

"Abbiamo identificato decine di organizzazioni compromesse nei settori commerciale e governativo", ha affermato Pete Renals, responsabile senior dell'Unità 42 di Palo Alto Networks.

Eye Security e la Shadowserver Foundation, due aziende di sicurezza informatica che hanno contribuito a identificare l'attacco, hanno affermato che il numero di organizzazioni colpite ha raggiunto quota 100. Shadowserver ha affermato che la maggior parte delle organizzazioni colpite si trovava negli Stati Uniti e in Germania.

Esperti di sicurezza informatica intervistati dal Washington Post hanno riferito che anche un'università in Brasile e un'agenzia governativa in Spagna sono state attaccate. L'identità delle organizzazioni colpite non è stata rivelata, ma entrambe le aziende hanno allertato le autorità di entrambi i Paesi.

Secondo Vaisha Bernard, responsabile degli attacchi informatici presso Eye Security, venerdì (18) è stata scoperta una campagna di hacking rivolta a uno dei suoi clienti. Sono state adottate misure per contenere l'attacco, ma l'azienda ha affermato di non sapere cosa sia stato fatto nel frattempo.

"Chissà cosa hanno fatto da allora altri avversari per installare altre backdoor", ha commentato Bernard in un'intervista all'agenzia di stampa Reuters. Un ricercatore intervistato dal Washington Post ha avvertito che il ritardo di Microsoft nel diffondere l'avviso potrebbe aver ulteriormente compromesso la situazione.

Gli hacker sono sfidati a cercare difetti nell'intelligenza artificiale

Secondo il Washington Post, non è chiaro chi abbia effettuato l'attacco o quale sia il suo obiettivo finale. Una società di ricerca privata ha scoperto che gli hacker avevano preso di mira server in Cina e un parlamento statale negli Stati Uniti orientali.

Eye Security ha dichiarato di aver monitorato circa 100 violazioni, tra cui quelle presso una società energetica di un importante stato degli Stati Uniti e diverse agenzie governative europee.

Secondo i ricercatori, i server di almeno due agenzie federali degli Stati Uniti sono stati violati e gli accordi di riservatezza stipulati con le vittime impediscono loro di rivelare i nomi degli obiettivi.

Un funzionario statale negli Stati Uniti orientali ha dichiarato che gli aggressori hanno sequestrato un archivio di documenti forniti al pubblico per aiutare i residenti a comprendere il funzionamento del loro governo. L'agenzia coinvolta non può più accedere al materiale, ma non è chiaro se sia stato cancellato.

Tali attacchi "wipe" sono rari e questo ha allarmato i funzionari di altri stati non appena la notizia si è diffusa. Alcune società di sicurezza hanno affermato di non aver riscontrato cancellazioni negli attacchi a SharePoint, ma solo il furto di chiavi crittografiche che avrebbero consentito agli hacker di rientrare nei server.

In Arizona, i responsabili della sicurezza informatica si sono incontrati con le autorità statali, locali e tribali per valutare potenziali vulnerabilità e condividere informazioni. Una fonte vicina alla questione ha dichiarato al Washington Post che in tutti gli Stati Uniti era in corso una "corsa folle" per affrontare la questione.

Le violazioni si sono verificate dopo che Microsoft ha corretto una falla di sicurezza questo mese. Gli hacker si sono resi conto di poter sfruttare una vulnerabilità simile, secondo la Cybersecurity and Infrastructure Security Agency (CISA) del Dipartimento per la Sicurezza Interna.

Marci McCarthy, portavoce della CISA, ha dichiarato che l'agenzia è stata informata del problema venerdì da una società di ricerca informatica e ha immediatamente contattato Microsoft.

In passato Microsoft è stata criticata per aver rilasciato patch progettate in modo molto restrittivo, lasciando aperte le stesse possibilità di attacco.

Il colosso della tecnologia, uno dei maggiori fornitori di tecnologia per i governi, ha dovuto affrontare altri gravi problemi negli ultimi due anni, tra cui violazioni delle proprie reti aziendali e delle email dei dirigenti. Una falla di programmazione nei suoi servizi cloud ha inoltre permesso ad hacker finanziati dalla Cina di rubare le email dei dipendenti federali.

Venerdì, Microsoft ha dichiarato che avrebbe smesso di utilizzare ingegneri con sede in Cina per supportare i programmi di cloud computing del Dipartimento della Difesa, dopo che un rapporto del sito investigativo ProPublica ha rivelato la pratica, spingendo il Segretario alla Difesa Pete Hegseth a ordinare una revisione degli accordi cloud del Pentagono.

L'organizzazione no-profit Center for Internet Safety, che gestisce un gruppo di condivisione di informazioni per le amministrazioni statali e locali degli Stati Uniti, ha segnalato circa 100 organizzazioni vulnerabili e potenzialmente compromesse, ha dichiarato Randy Rose, vicepresidente dell'organizzazione. Tra le organizzazioni allertate figurano scuole pubbliche e università.

Il processo è durato sei ore sabato sera, molto più a lungo del normale, perché i team addetti all'intelligence sulle minacce e alla risposta agli incidenti sono stati ridotti del 65 percento a causa del taglio dei finanziamenti da parte della CISA, ha affermato Rose.

Sebbene la CISA sia guidata da un direttore ad interim, dato che il candidato Sean Plankey non è stato ancora confermato, il personale dell'agenzia ha "lavorato 24 ore su 24" sulla questione, ha affermato una portavoce. "Nessuno ha dormito al volante".

Secondo i ricercatori di sicurezza informatica intervistati dal Washington Post, oltre alle aziende negli Stati Uniti, in Germania e all'università brasiliana, è stata presa di mira anche un'agenzia governativa in Spagna.

Il National Cyber Security Centre del Regno Unito ha dichiarato in una nota di essere a conoscenza di "un numero limitato" di obiettivi nel Regno Unito.

uol

Gli hacker attaccano il software Microsoft e penetrano in decine di aziende in tutto il mondo