Microsoft comunica di aver trovato del “codice binario malevolo” nei propri sistemi a seguito dell’hack di SolarWinds Orion. L’azienda si aggiunge al gruppo di realtà violate dall’attacco hacker di portata epocale. Un attacco che riguarda direttamente la sicurezza degli Stati Uniti, come testimonia la nota rilasciata dall’NSA (National Security Agency) che fa esplicito riferimento a prodotti di Microsoft come Azure e Active Directory.
Microsoft colpita dall’hack a SolarWinds Orion
In un comunicato officiale, il gruppo di Redmon ha spiegato come abbia trovato del codice sospetto nei propri sistemi, riconducibile all’attacco subito da SolarWinds. Tuttavia l’azienda afferma di non aver trovato prova che gli hacker abbiamo avuto accesso a dati sensibili. Reuters riporta che gli hacker avevano utilizzato le risorse cloud di Microsoft per attaccare altre realtà. Ma l’azienda smentisce, dicendo di non aver trovato alcuna prova a sostegno di questa teoria.
Nel suo blog ufficiale, Microsoft afferma: “Come altri clienti SolarWinds, abbiamo cercato attivamente indicatori dell’hack e possiamo confermare di aver trovato del codice malevolo di Solarwinds nel nostro ambiente. Che abbiamo isolato e rimosso. Non abbiamo trovato prova che abbia avuto accesso ai servizi di produzione o ai dati dei clienti. Le nostre indagini, che continuano, non hanno trovato nessunissima prova che i nostri sistemi sia stati usati per attaccare altri”.
- Sottile e leggero, Surface Laptop 3 è facile da trasportare
- Livelli superiori di velocità e prestazioni, per fare tutto quello che vuoi tu, con i processori di ultima generazione
- Porte USB-C(tm) e USB-A per connettersi a schermi, Docking Station e altro ancora, e persino per ricaricare gli accessori
- Gli altoparlanti Omnisonic ancora avanzati, nascosti sotto la tastiera, offrono un incredibile suono omnidirezionale
- Tastiera layout QWERTY Italiano
L’analisi di Kaspersky
La società di sicurezza Kaspersky ha analizzato l’attacco perpetrato da questo attaccante non noto, denominatoUNC2452 o DarkHalo. Secondo l’analisi, 18.000 clienti di SolarWinds hanno scaricato la backdoor impiantata nel software Orion. Microsoft non è certo sola. I ricercatori di Kaspersky spiegano che si tratta di un modulo .NET con caratteristiche davvero uniche.
Il malware Sunburst passa attraverso questa backdoor ma può restare dormiente anche fino a due settimane. Kaspersky ha creato un tool per analizzare le richieste DNS generate da questo malware, trovandone oltre 1700 coinvolte. Dall’analisi, Kaspersky deduce che tre delle richieste DNS che hanno ricevuto risposte CNAME, indicate come obiettivo di alto valore, possono essere decodificate. Appartengono a un’organizzazione governativa e una società di telecomunicazione negli Stati Uniti. Per ragioni etiche, Kaspersky non diffonde i nomi delle aziende.
“Nei giorni scorsi abbiamo controllato la nostra telemetria alla ricerca di tracce di questo attacco, annotato ulteriori rilevamenti e assicurandoci che i nostri utenti fossero protetti. Ad oggi, abbiamo identificato circa 100 clienti che hanno scaricato il pacchetto trojan contenente la backdoor Sunburst. Sono in corso ulteriori indagini e continueremo ad approfondire le nostre scoperte” ha dichiarato Costin Raiu, capo del Global Research and Analysis Team di Kaspersky.
L’intera comunità della cybersecurity sta cercando di arginare questo hack. Potete leggere ulteriori informazioni a questo indirizzo.