Cyber security, Microsoft Exchange nel mirino anche in Italia: ecco cosa è successo e con quali effetti | Agenda Digitale

attacchi informatici

Cyber security, Microsoft Exchange nel mirino anche in Italia: ecco cosa è successo e con quali effetti

Microsoft Exchange nel mirino da gennaio. Le patch rilasciate due mesi dopo, ma con alcuni gruppi che ancora continuano a sfruttare alcune vulnerabilità non coperte dai correttivi. L’attacco è stato attribuito a un gruppo – Hafnium – probabilmente sponsorizzato dalla Cina. Le ragioni e le conseguenze della campagna

15 Mar 2021
Giulia Guastella

Vicepresidente - Responsabile Tirocini Istituto Mediterraneo di Studi Internazionali

Una serie di cyber attacchi di origine cinese finalizzati a sottrarre gli interi contenuti degli account di posta elettronica aziendali e a compromettere il funzionamento della piattaforma ha colpito Microsoft Exchange, uno dei software più utilizzati per la collaborazione aziendale.

Una situazione resa nota dall’azienda di Redmond fin da gennaio ma che ha raggiunto il picco la scorsa settimana quando l’azienda, dopo aver subito l’ennesimo attacco, ha ritenuto opportuno rilasciare alcune patch per le vulnerabilità di Exchange.

L’allarme però non è del tutto cessato dato che sembra ci siano ancora gruppi impegnati a sfruttare attivamente le vulnerabilità non ancora patchate, installando botnet su reti aziendali.

Con impatti anche in Italia, che secondo Checkpoint è destinataria del 10% degli attacchi relativi.

È per questo motivo che Microsoft sta adottando misure d’urgenza volte a prevenire futuri abusi in tutto l’ecosistema.

Ricostruiamo l’accaduto.

Due mesi per isolare le minacce

È stata la società di sicurezza informatica cinese Devcore a trasmettere il primo segnale d’allarme, ma poco dopo sono arrivate altre segnalazioni da Volexity, Dubex e Trend Micro, altre società che si occupano di controllo nel settore delle IT operations.

WEBINAR
23 Settembre 2021 - 12:00
Modernizzare le applicazioni tra open source, cloud e integrazione
Cloud
Software

Nel frattempo, i cyber criminali hanno operato indisturbati per tutto il mese di gennaio e febbraio agendo su alcune falle del sistema individuate nei server. Ciò significa che l’azienda di Redmond ha impiegato ben due mesi per isolare le minacce, proporre ai propri client delle soluzioni di firewall che fossero efficaci e dare avvio a un’attività di risk management strategy capillare.

Da quando le patch sono state rilasciate, il sito ufficiale di Microsoft ha pubblicato diversi articoli di approfondimento per aiutare i propri clienti a comprendere le tecniche utilizzate da Hafnium – questo il nome col quale è stato identificato il worm insediatosi nei server dell’azienda – per sfruttare queste vulnerabilità e consentire così una difesa più efficace contro eventuali attacchi futuri ai sistemi privi di patch.

L’origine indicata è cinese.

Il target

Il bersaglio scelto dal cyber offensore per questo tipo di minaccia è aziendale, e non fa che confermare il trend degli ultimi attacchi informatici rivolti alle infrastrutture critiche.

In questo caso, la scelta di Microsoft non è stata casuale. Non solo si mirava a una società di rilevanza mondiale nel settore ma, con ogni probabilità, la si voleva far ricadere su un brand che rientrasse nel novero dei “multiple targets, espressione utilizzata nel gergo cyber per indicare “obiettivi molteplici”, spesso indifferenziati, che vengono colpiti a tappeto dalle organizzazioni di cyber criminali, secondo una logica industriale.

Secondo quanto dichiarato degli esperti di Yoroi, azienda italiana leader nella sicurezza informatica, in Italia vi sono numerose società che si servono di questo software. È il caso di ricordare che Microsoft è una delle più grandi produttrici al mondo di software per fatturato, nonché una delle più grandi per capitalizzazione azionaria (circa 1400 miliardi di dollari nel 2020). Le aziende che ne fanno uso, se dopo quanto accaduto non aggiornassero il server di Exchange, potrebbero essere esposte a potenziali nuovi attacchi informatici.

Il ritardo nel rilascio delle patch ha infatti permesso al gruppo di hacker di colpire ben oltre 250 mila organizzazioni in tutto il mondo, fra le quali si annovera anche l’EBA (European Bank Authority), la quale ha dichiarato, tramite un comunicato stampa ufficiale, di aver definitivamente messo offline i suoi sistemi di posta elettronica.

L’attribuzione alla Cina

Il Microsoft Threat Intelligence Center (MSTIC) attribuisce questa campagna a Hafnium, un gruppo di hacker che si ritiene sia sponsorizzato da Pechino e operante fuori dalla Cina – principalmente negli Stati Uniti – sulla base di vittimologia, tattiche e procedure osservate.

Si tratta di un’organizzazione altamente qualificata, con interessi nel settore della Difesa, dell’Industriale e della Ricerca.

La tattica attraverso cui il cracker è solito operare è quella dell’individuazione delle vulnerabilità e del contestuale utilizzo di framework open source di comando e controllo legittimi, come Covenant.

Una volta ottenuto l’accesso a una rete vittima, Hafnium esfiltra i dati su siti di condivisione di file a loro volta affidabili, che per la maggior parte fanno uso di sistemi di criptazione end to end, come Mega. Dati provenienti dal sito ufficiale di Microsoft riportano che Hafnium opera principalmente in VPS (Virtual Private Servers) in leasing negli Stati Uniti, tuttavia resta ugualmente alta l’attenzione.

Sono stati, infatti, identificati altri quattro gruppi di cyber offensori che stanno sfruttando attivamente le vulnerabilità non ancora patchate.

L’azione

Il gruppo di cyber offensori che aveva scelto questa volta Microsoft come vittima della propria frode informatica, ha agito sfruttando le vulnerabilità zero-days per “bucare la rete”.

La segnalazione pubblicata da Microsoft a posteriori, ovvero ben due mesi dopo la serie di attacchi sferrati, indica quattro vulnerabilità, CVE-2021-26855, CVE-2021-26857, CVE-2021-26858, e CVE-2021-27065, di tipo RCE (Remote Code Execution).

La fattispecie in esame, che è la prima di esse nonchè oggetto dell’attacco, è stata individuata dal gruppo per compiere attacchi targettizzati col fine di sottrarre gli interi contenuti degli account di posta elettronica aziendali. Questa tipologia di attacchi è particolarmente insidiosa perché minaccia non solo le infrastrutture critiche, ma soprattutto gli asset intangibili o i beni immateriali come la reputazione del marchio e dell’azienda, la fidelizzazione dei clienti, i loro dati e la proprietà intellettuale, che rappresentano tra il 60% e l’80% del valore aziendale globale. Per ottenere una buona percentuale di successo, gli hacker scelgono quindi in maniera molto accurata le loro “vittime”.

Dopo aver sfruttato queste vulnerabilità per ottenere l’accesso iniziale, gli operatori Hafnium hanno infatti implementato le web shell sul server compromesso.

Una web shell è uno script che viene caricato su un server con lo scopo di dare a un hacker il controllo remoto della macchina. Potenzialmente, essa consente quindi agli aggressori di rubare dati ed eseguire ulteriori azioni dannose che portano a ulteriori compromissioni.

Di seguito è riportato un esempio di web shell distribuita da Hafnium, scritta in ASP (Active Server Pages):

Screenshot del codice della shell web

Dopo la distribuzione della web shell, gli operatori Hafnium hanno eseguito la seguente attività di post-sfruttamento:

  • Utilizzo di Procdump per eseguire il dump della memoria del processo LSASS:

  • Utilizzo di 7-Zip per comprimere i dati rubati in file ZIP per l’esfiltrazione:

  • Aggiunta e utilizzo di snap-in di Exchange PowerShell per esportare i dati della cassetta postale:

Immagine che contiene testo Descrizione generata automaticamente
  • Utilizzando la shell inversa Nishang Invoke-PowerShellTcpOneLine:

  • Scaricare PowerCat da GitHub, quindi utilizzarlo per aprire una connessione a un server remoto:

La questione diventa ancor più spinosa allorché queste vulnerabilità vengono sfruttate come parte di una catena di attacchi: l’attacco iniziale richiede la capacità di stabilire una connessione non attendibile al server Exchange, mentre le successive intimidazioni possono essere attivate soltanto se l’aggressore ha già accesso o ottiene l’accesso tramite altri mezzi.

Ciò significa che attenuazioni come la limitazione delle connessioni non attendibili o la configurazione di una VPN (Virtual Private Network) proteggeranno il server solo durante la parte iniziale dell’attacco. Il risultato sarà quindi quello di mitigarlo parzialmente.

L’applicazione della patch è, invece, l’unico modo per mitigare completamente l’attacco.

Microsoft: un graduale passaggio dal closed all’open source

Una riflessione, infine, va fatta in merito alla trasformazione che Microsoft ha improntato al proprio componente logico, cioè il software, dando anche un nome alle ragioni di questo cambiamento.

Nata con una marcata opposizione al paradigma del software open source, la società informatica – con grande stupore della comunità di esperti – ne ha in seguito adottato l’approccio.

Dagli anni ’70 ai 2000, quando era sotto la gestione degli amministratori delegati Bill Gates e Steve Ballmer, Microsoft vedeva nella creazione e nella successiva condivisione di un codice comune, noto come “software gratuito e open source”, una sorta di minaccia per la propria attività, ragione che ha portato entrambi i dirigenti a non voler adottare questo pattern.

Ciò che, probabilmente, frenava la scelta di una tale acquisizione era la particolarità delle licenze open source: con esse gli autori, invece di vietare, permettono non solo di usare e copiare, ma anche di modificare, ampliare, elaborare e vendere i propri diritti. Ed il tutto avviene senza che incomba alcun obbligo di ricompensa economica da parte degli stessi.

Nel 2014, quando il settore si è orientato verso il cloud, l’embedded e il mobile computing, il nuovo CEO Satya Nadella ha puntato all’adozione dell’open source, sebbene il tradizionale business Windows di Microsoft abbia continuato a crescere fino ad oggi.

Dal 2017, Microsoft è uno dei maggiori contributori open source al mondo, misurato dal numero di dipendenti che contribuiscono attivamente a progetti open source su GitHub – il più grande host di codice sorgente al mondo. Lo si può evincere anche dalla circostanza per cui, negli ultimi anni, la società di Redmond è arrivata a rappresentare anche uno dei maggiori sostenitori di Linux che, se all’inizio appariva come una minaccia commerciale per Windows, adesso viene visto come un grande alleato.

Proprio negli ultimi tempi, infatti, Microsoft ha aperto le porte ad alcune applicazioni che fino ad oggi sono state ad esclusivo uso di sistemi chiusi come Windows e Mac.

Fra queste, vi è certamente Microsoft Teams, una piattaforma che, tramite la generazione e la condivisione di un codice pubblico, permette l’incontro di più utenti per le più svariate attività e funzionalità lavorative – nonché la condivisione di file – all’interno di una stanza virtuale.

Il colosso americano ha poi reso open source Visual Studio Code, uno degli strumenti di programmazione più utilizzati dagli sviluppatori.

Pertanto, rispetto al passato, la società non sente più il peso di una minaccia commerciale, ma guarda al mondo open source come ad un’opportunità di crescita resa possibile dall’utilizzo di uno strumento d’avanguardia.

WHITEPAPER
Cosa fare per mettere davvero in sicurezza il cloud pubblico, privato e ibrido?
Cloud
@RIPRODUZIONE RISERVATA

Articoli correlati