L’attacco effettuato contro diverse aziende private e agenzie governative che utilizzano la piattaforma Orion di SolarWinds è stato attribuito ad un gruppo di cybercriminali legato al governo russo. Si scopre ora che il secondo attacco rilevato circa una settimana dopo è opera di cybercriminali cinesi. Ciò spiegherebbe le intenzioni “bellicose” degli Stati Uniti contro Russia e Cina.
Hack SolarWinds: Supernova è cinese
Il malware utilizzato nell’attacco originario, noto come Sunburst o Solorigate, ha consentito l’accesso alle reti gestite dal software Orion attraverso un aggiornamento contenente malware (distribuito tramite un server FTP protetto dalla password “solarwinds123”). Questo “supply chain attack” è stato attribuito al gruppo Cozy Bear legato all’intelligence russa.
Durante le indagini avviate da Microsoft (che ha subito il furto del codice sorgente di alcuni software) è stato individuato un secondo attacco tramite il malware Supernova. La software house Secureworks aveva già scoperto tracce di Supernova a novembre 2020, senza però riuscire ad attribuire la sua paternità.
L’attacco con Supernova è stato effettuato sfruttando una vulnerabilità nelle API del software Orion che consente di aggirare l’autenticazione e installare una web shell che funziona come una backdoor.
Dopo un’analisi approfondita del codice sono state rilevate diverse similitudini con un attacco eseguito ad agosto 2020 contro il software ManageEngine ServiceDesk. Secureworks ritiene quindi che le due intrusioni sono opera dello stesso gruppo di cybercriminali, ovvero Spiral che opera in Cina (non sono tuttavia noti eventuali legami con il governo).
Gli attacchi contro la piattaforma di SolarWinds non sono l’unico pericolo recente per le aziende. All’inizio di marzo sono stati rilevati attacchi anche contro i server Microsoft Exchange.