WASHINGTON – giovedì i funzionari federali hanno emesso un avvertimento urgente che gli hacker che stavano lavorando per un governo straniero e penetrati in profondità nei sistemi governativi avevano utilizzato una più ampia varietà di tecniche nella loro cyberoffensiva – e hanno avvertito che l’hacking era “un grave rischio per il governo federale governo.”
Tutte le novità sugli attacchi degli hacker ai danni del governo americano
La scoperta complica enormemente la sfida per gli investigatori federali mentre cercano attraverso le reti di computer utilizzate dai dipartimenti del Tesoro, della difesa e del commercio, nonché dai laboratori nucleari, cercando di valutare i danni e capire cosa avevano rubato gli attori russi.
Sebbene l’avvertimento del governo non facesse alcun riferimento specifico all’origine dell’hacking, le agenzie di intelligence hanno detto al Congresso che ritengono che sia stato effettuato da un’agenzia di intelligence russa d’élite.
Pochi minuti dopo la dichiarazione del braccio di sicurezza informatica del Dipartimento per la sicurezza interna, il presidente eletto Joseph R. Biden Jr., nei suoi primi commenti sull’ampliamento dell’attacco informatico, ha avvertito che la sua amministrazione avrebbe imposto “costi sostanziali” ai responsabili.
“Una buona difesa non è sufficiente; dobbiamo interrompere e dissuadere i nostri avversari dall’intraprendere attacchi informatici significativi in primo luogo “, ha detto Biden, aggiungendo:” Non starò a guardare di fronte agli attacchi informatici sulla nostra nazione “.
Il presidente Trump non ha detto nulla sugli attacchi da quando sono stati rivelati per la prima volta domenica.
L’avvertimento del governo, emesso dalla Cybersecurity and Infrastructure Security Agency, non ha fornito dettagli. Ma ha confermato i sospetti espressi questa settimana da FireEye, una società di sicurezza informatica, che quasi certamente c’erano altri percorsi che erano stati trovati per l’attacco.
FireEye è stata la prima a informare il governo che gli hacker di un’agenzia di intelligence russa, da questa primavera, sono entrati nel software di monitoraggio della rete critico utilizzato dal governo, da centinaia di società Fortune 500 e società che sovrintendono alle infrastrutture critiche, compresa la rete elettrica.
Gli investigatori e altri funzionari affermano di ritenere che l’obiettivo dell’attacco russo fosse lo spionaggio tradizionale, del tipo che l’Agenzia per la sicurezza nazionale e altre agenzie conducono regolarmente sulle reti straniere.
Ma la portata e la profondità dell’hacking solleva la preoccupazione che gli hacker possano in ultima analisi utilizzare il loro accesso per bloccare i sistemi americani, corrompere o distruggere i dati o assumere il comando di sistemi informatici che eseguono processi industriali. Finora, tuttavia, non ci sono state prove di ciò.
L’allarme ha anche aumentato l’urgenza degli avvertimenti del governo. Dopo aver minimizzato l’episodio – oltre al silenzio di Trump, il Segretario di Stato Mike Pompeo ha deviato l’hacking come uno dei tanti attacchi quotidiani al governo federale, suggerendo che la Cina fosse il più grande colpevole – il nuovo avviso del governo non ha lasciato dubbi sul la valutazione era cambiata.
“Questo avversario ha dimostrato la capacità di sfruttare le catene di fornitura del software e ha mostrato una conoscenza significativa delle reti Windows”, afferma l’avviso. “È probabile che l’avversario abbia ulteriori vettori di accesso iniziale e tattiche, tecniche e procedure”, che, ha detto, “non sono ancora stati scoperti”.
“Prese insieme, queste tecniche osservate indicano un avversario che è abile, furtivo con la sicurezza operativa ed è disposto a spendere risorse significative per mantenere la presenza segreta”, ha detto l’avvertimento. Di conseguenza, potrebbero volerci mesi, dicono gli investigatori, per svelare la misura in cui le reti americane sono compromesse.
I funzionari affermano che con un solo mese rimasto nel suo mandato, l’amministrazione Trump sta pianificando di consegnare quella che sembra essere la più grande violazione della sicurezza informatica delle reti federali in più di due decenni.
La dichiarazione di Biden afferma di aver incaricato il suo team di transizione di imparare il più possibile su “quella che sembra essere una massiccia violazione della sicurezza informatica che colpisce potenzialmente migliaia di vittime”.
“Voglio essere chiaro: la mia amministrazione renderà la sicurezza informatica una priorità assoluta a tutti i livelli di governo – e faremo del trattamento di questa violazione una priorità assoluta dal momento in cui entreremo in carica”, ha affermato Biden, aggiungendo che intende imporre “costi sostanziali ai responsabili”.
L’avvertimento della Cybersecurity and Infrastructure Security Agency è arrivato pochi giorni dopo che Microsoft, che produce software Windows e monitora la rete globale di computer che utilizzano Windows, ha intrapreso un’azione di emergenza insieme a FireEye per interrompere la comunicazione tra il software di gestione della rete SolarWinds e un comando e -centro di controllo che i russi usavano per inviare istruzioni al loro malware utilizzando un cosiddetto kill switch.
Ciò interrompe l’ulteriore penetrazione. Ma non è di alcun aiuto alle organizzazioni che sono già state penetrate perché il primo software è stato danneggiato a marzo. E la linea chiave nell’avvertimento diceva che il SolarWinds “compromissione della catena di fornitura non è l’unico vettore di infezione iniziale” utilizzato per entrare nei sistemi federali. Ciò suggerisce che altro software, utilizzato anche dal governo, è stato infettato e utilizzato per l’accesso da spie straniere.
In tutte le agenzie federali, nel settore privato e nelle società di servizi che sovrintendono alla rete elettrica, gli investigatori forensi stavano ancora cercando di svelare la portata del compromesso. Ma i team di sicurezza affermano che il sollievo che alcuni hanno ritenuto di non utilizzare i sistemi compromessi si è trasformato in panico giovedì, poiché hanno appreso che altre applicazioni di terze parti potrebbero essere state compromesse.
Due esperti di sicurezza che lavorano con le società di servizi pubblici hanno affermato che le aziende stavano chiudendo le applicazioni di terze parti che hanno accesso profondo ai sistemi operativi per precauzione e cercando nel loro codice segni di compromissione. Ma fino ad oggi, hanno detto, non era chiaro che i gestori di rete fossero stati compromessi dagli hacker.
In un’intervista di questa settimana, i funzionari di FireEye hanno affermato di ritenere che il numero effettivo di obiettivi potrebbe essere limitato a “dozzine” delle 18.000 organizzazioni che hanno utilizzato il software SolarWinds. Ma dopo l’allerta di giovedì su altri punti di ingresso russi, gli esperti di sicurezza hanno affermato di aspettarsi un aumento del numero delle vittime.