Una serie di cyber attacchi di origine cinese finalizzati a sottrarre gli interi contenuti degli account di posta elettronica aziendali e a compromettere il funzionamento della piattaforma ha colpito Microsoft Exchange, uno dei software più utilizzati per la collaborazione aziendale.
Una situazione resa nota dall’azienda di Redmond fin da gennaio ma che ha raggiunto il picco la scorsa settimana quando l’azienda, dopo aver subito l’ennesimo attacco, ha ritenuto opportuno rilasciare alcune patch per le vulnerabilità di Exchange.
L’allarme però non è del tutto cessato dato che sembra ci siano ancora gruppi impegnati a sfruttare attivamente le vulnerabilità non ancora patchate, installando botnet su reti aziendali.
Con impatti anche in Italia, che secondo Checkpoint è destinataria del 10% degli attacchi relativi.
È per questo motivo che Microsoft sta adottando misure d’urgenza volte a prevenire futuri abusi in tutto l’ecosistema.
Ricostruiamo l’accaduto.
Due mesi per isolare le minacce
È stata la società di sicurezza informatica cinese Devcore a trasmettere il primo segnale d’allarme, ma poco dopo sono arrivate altre segnalazioni da Volexity, Dubex e Trend Micro, altre società che si occupano di controllo nel settore delle IT operations.
Nel frattempo, i cyber criminali hanno operato indisturbati per tutto il mese di gennaio e febbraio agendo su alcune falle del sistema individuate nei server. Ciò significa che l’azienda di Redmond ha impiegato ben due mesi per isolare le minacce, proporre ai propri client delle soluzioni di firewall che fossero efficaci e dare avvio a un’attività di risk management strategy capillare.
Da quando le patch sono state rilasciate, il sito ufficiale di Microsoft ha pubblicato diversi articoli di approfondimento per aiutare i propri clienti a comprendere le tecniche utilizzate da Hafnium – questo il nome col quale è stato identificato il worm insediatosi nei server dell’azienda – per sfruttare queste vulnerabilità e consentire così una difesa più efficace contro eventuali attacchi futuri ai sistemi privi di patch.
L’origine indicata è cinese.
Il target
Il bersaglio scelto dal cyber offensore per questo tipo di minaccia è aziendale, e non fa che confermare il trend degli ultimi attacchi informatici rivolti alle infrastrutture critiche.
In questo caso, la scelta di Microsoft non è stata casuale. Non solo si mirava a una società di rilevanza mondiale nel settore ma, con ogni probabilità, la si voleva far ricadere su un brand che rientrasse nel novero dei “multiple targets”, espressione utilizzata nel gergo cyber per indicare “obiettivi molteplici”, spesso indifferenziati, che vengono colpiti a tappeto dalle organizzazioni di cyber criminali, secondo una logica industriale.
Secondo quanto dichiarato degli esperti di Yoroi, azienda italiana leader nella sicurezza informatica, in Italia vi sono numerose società che si servono di questo software. È il caso di ricordare che Microsoft è una delle più grandi produttrici al mondo di software per fatturato, nonché una delle più grandi per capitalizzazione azionaria (circa 1400 miliardi di dollari nel 2020). Le aziende che ne fanno uso, se dopo quanto accaduto non aggiornassero il server di Exchange, potrebbero essere esposte a potenziali nuovi attacchi informatici.
Il ritardo nel rilascio delle patch ha infatti permesso al gruppo di hacker di colpire ben oltre 250 mila organizzazioni in tutto il mondo, fra le quali si annovera anche l’EBA (European Bank Authority), la quale ha dichiarato, tramite un comunicato stampa ufficiale, di aver definitivamente messo offline i suoi sistemi di posta elettronica.
L’attribuzione alla Cina
Il Microsoft Threat Intelligence Center (MSTIC) attribuisce questa campagna a Hafnium, un gruppo di hacker che si ritiene sia sponsorizzato da Pechino e operante fuori dalla Cina – principalmente negli Stati Uniti – sulla base di vittimologia, tattiche e procedure osservate.
Si tratta di un’organizzazione altamente qualificata, con interessi nel settore della Difesa, dell’Industriale e della Ricerca.
La tattica attraverso cui il cracker è solito operare è quella dell’individuazione delle vulnerabilità e del contestuale utilizzo di framework open source di comando e controllo legittimi, come Covenant.
Una volta ottenuto l’accesso a una rete vittima, Hafnium esfiltra i dati su siti di condivisione di file a loro volta affidabili, che per la maggior parte fanno uso di sistemi di criptazione end to end, come Mega. Dati provenienti dal sito ufficiale di Microsoft riportano che Hafnium opera principalmente in VPS (Virtual Private Servers) in leasing negli Stati Uniti, tuttavia resta ugualmente alta l’attenzione.
Sono stati, infatti, identificati altri quattro gruppi di cyber offensori che stanno sfruttando attivamente le vulnerabilità non ancora patchate.
Bug Microsoft Exchange, l’impatto sull’Italia
Un rapporto di Checkpoint venerdì diceva che “i server compromessi potrebbero consentire a un aggressore non autorizzato di estrarre e-mail aziendali ed eseguire codice dannoso all’interno dell’organizzazione con accessi e privilegi elevati. Il Paese più attaccato è stato la Turchia (19% di tutti i tentativi di sfruttamento), seguita dagli Stati Uniti (18%). Al terzo posto, con una percentuale del 10% c’è l’Italia”, che poi nel weekend è calata al quarto posto.
Come scrive anche il giornale DDAY oggi, pochissimi ne stanno parlando nel nostro Paese e i dettagli sono molto confusi. Lo confermano anche alcuni esperti, come Paolo dal Checco, al nostro giornale. Bloomberg avrebbe messo le mani su un memo interno di WindTre, che riportava disservizi alla rete interna per questo attacco informatico, ma l’azienda ha smentito.
Continuiamo a monitorare il tema per verificare possibili conseguenze per il nostro Paese.
A.L.
L’azione
Il gruppo di cyber offensori che aveva scelto questa volta Microsoft come vittima della propria frode informatica, ha agito sfruttando le vulnerabilità zero-days per “bucare la rete”.
La segnalazione pubblicata da Microsoft a posteriori, ovvero ben due mesi dopo la serie di attacchi sferrati, indica quattro vulnerabilità, CVE-2021-26855, CVE-2021-26857, CVE-2021-26858, e CVE-2021-27065, di tipo RCE (Remote Code Execution).
La fattispecie in esame, che è la prima di esse nonchè oggetto dell’attacco, è stata individuata dal gruppo per compiere attacchi targettizzati col fine di sottrarre gli interi contenuti degli account di posta elettronica aziendali. Questa tipologia di attacchi è particolarmente insidiosa perché minaccia non solo le infrastrutture critiche, ma soprattutto gli asset intangibili o i beni immateriali come la reputazione del marchio e dell’azienda, la fidelizzazione dei clienti, i loro dati e la proprietà intellettuale, che rappresentano tra il 60% e l’80% del valore aziendale globale. Per ottenere una buona percentuale di successo, gli hacker scelgono quindi in maniera molto accurata le loro “vittime”.
Dopo aver sfruttato queste vulnerabilità per ottenere l’accesso iniziale, gli operatori Hafnium hanno infatti implementato le web shell sul server compromesso.
Una web shell è uno script che viene caricato su un server con lo scopo di dare a un hacker il controllo remoto della macchina. Potenzialmente, essa consente quindi agli aggressori di rubare dati ed eseguire ulteriori azioni dannose che portano a ulteriori compromissioni.
Di seguito è riportato un esempio di web shell distribuita da Hafnium, scritta in ASP (Active Server Pages):
Dopo la distribuzione della web shell, gli operatori Hafnium hanno eseguito la seguente attività di post-sfruttamento:
- Utilizzo di Procdump per eseguire il dump della memoria del processo LSASS:
- Utilizzo di 7-Zip per comprimere i dati rubati in file ZIP per l’esfiltrazione:
- Aggiunta e utilizzo di snap-in di Exchange PowerShell per esportare i dati della cassetta postale:
- Utilizzando la shell inversa Nishang Invoke-PowerShellTcpOneLine:
- Scaricare PowerCat da GitHub, quindi utilizzarlo per aprire una connessione a un server remoto:
La questione diventa ancor più spinosa allorché queste vulnerabilità vengono sfruttate come parte di una catena di attacchi: l’attacco iniziale richiede la capacità di stabilire una connessione non attendibile al server Exchange, mentre le successive intimidazioni possono essere attivate soltanto se l’aggressore ha già accesso o ottiene l’accesso tramite altri mezzi.
Ciò significa che attenuazioni come la limitazione delle connessioni non attendibili o la configurazione di una VPN (Virtual Private Network) proteggeranno il server solo durante la parte iniziale dell’attacco. Il risultato sarà quindi quello di mitigarlo parzialmente.
L’applicazione della patch è, invece, l’unico modo per mitigare completamente l’attacco.
Risk management strategy e ipotesi di soluzione
Oggi diversi progetti di ricerca – basta citare, a titolo di esempio, Horizon 2020 – dimostrano che alcuni metodi di attacco fra i più noti come il phishing, o lo spear phishing, rappresentano ancora dei vettori di diffusione dei malware altamente qualificati e usati con una certa frequenza.
Quando un server aziendale viene colpito mediante una di queste tecniche, regola aurea è quella di doversi difendere. Una buona tecnica di difesa, a sua volta, consiste nell’osservanza di alcune semplici accortezze dalle quali non si può prescindere:
- Controllare il link e il mittente della mail prima di cliccare su qualsiasi indirizzo o, in alternativa, non cliccare sul link ma copiarlo nella barra dove si inserisce l’indirizzo del browser;
- Prima di cliccare su qualsiasi link, dev’essere buona abitudine verificare che l’indirizzo mostrato sia lo stesso indirizzo al quale il link condurrà. Il controllo può essere effettuato in modo semplice, passando il mouse sopra il link stesso;
- Usare solo connessioni sicure, specie quando si accede a siti sensibili. Come precauzione minima, si consiglia di non sfruttare connessioni sconosciute né tantomeno i Wi-Fi pubblici, senza una password di protezione: i cracker possono facilmente insinuarsi reindirizzandoci a pagine di phishing;
- Controllare che la connessione sia HTTPS e verificare il nome del dominio all’apertura di una pagina. Questa precauzione è utile soprattutto quando si naviga all’interno di siti di online banking o di shopping online;
- Fondamentale è non condividere i propri dati sensibili con una terza parte. Le compagnie ufficiali, infatti, non chiedono mai informazioni del genere via email.
Per questa particolare tipologia di attacco, infine, può risultare opportuno tenere informata la propria clientela con una certa costanza, attuando ad esempio azioni di mitigazione o trasmettendo informative con i quali li si avvisa delle minacce in corso.
Un ultimo accorgimento, anch’esso non di poco momento, può essere quello di dotarsi di un team di esperti che definisca il perimetro “cyber” dell’azienda, che non necessariamente intervenga nel momento del ripristino del sistema quanto più in via preventiva, attraverso l’adozione di policies di Investment Risk adeguate.
Microsoft: un graduale passaggio dal closed all’open source
Una riflessione, infine, va fatta in merito alla trasformazione che Microsoft ha improntato al proprio componente logico, cioè il software, dando anche un nome alle ragioni di questo cambiamento.
Nata con una marcata opposizione al paradigma del software open source, la società informatica – con grande stupore della comunità di esperti – ne ha in seguito adottato l’approccio.
Dagli anni ’70 ai 2000, quando era sotto la gestione degli amministratori delegati Bill Gates e Steve Ballmer, Microsoft vedeva nella creazione e nella successiva condivisione di un codice comune, noto come “software gratuito e open source”, una sorta di minaccia per la propria attività, ragione che ha portato entrambi i dirigenti a non voler adottare questo pattern.
Ciò che, probabilmente, frenava la scelta di una tale acquisizione era la particolarità delle licenze open source: con esse gli autori, invece di vietare, permettono non solo di usare e copiare, ma anche di modificare, ampliare, elaborare e vendere i propri diritti. Ed il tutto avviene senza che incomba alcun obbligo di ricompensa economica da parte degli stessi.
Nel 2014, quando il settore si è orientato verso il cloud, l’embedded e il mobile computing, il nuovo CEO Satya Nadella ha puntato all’adozione dell’open source, sebbene il tradizionale business Windows di Microsoft abbia continuato a crescere fino ad oggi.
Dal 2017, Microsoft è uno dei maggiori contributori open source al mondo, misurato dal numero di dipendenti che contribuiscono attivamente a progetti open source su GitHub – il più grande host di codice sorgente al mondo. Lo si può evincere anche dalla circostanza per cui, negli ultimi anni, la società di Redmond è arrivata a rappresentare anche uno dei maggiori sostenitori di Linux che, se all’inizio appariva come una minaccia commerciale per Windows, adesso viene visto come un grande alleato.
Proprio negli ultimi tempi, infatti, Microsoft ha aperto le porte ad alcune applicazioni che fino ad oggi sono state ad esclusivo uso di sistemi chiusi come Windows e Mac.
Fra queste, vi è certamente Microsoft Teams, una piattaforma che, tramite la generazione e la condivisione di un codice pubblico, permette l’incontro di più utenti per le più svariate attività e funzionalità lavorative – nonché la condivisione di file – all’interno di una stanza virtuale.
Il colosso americano ha poi reso open source Visual Studio Code, uno degli strumenti di programmazione più utilizzati dagli sviluppatori.
Pertanto, rispetto al passato, la società non sente più il peso di una minaccia commerciale, ma guarda al mondo open source come ad un’opportunità di crescita resa possibile dall’utilizzo di uno strumento d’avanguardia.
