FireEye ha scoperto una vasta campagna, che sta monitorando come UNC2452. Gli hacker dietro questa campagna hanno avuto accesso a numerose organizzazioni pubbliche e private in tutto il mondo attraverso un aggiornamento contenente un trojan nel software di monitoraggio e gestione IT Orion di SolarWind. L’attacco potrebbe essere iniziato già nella primavera del 2020 ed è attualmente in corso. L’operazione è opera di un attore altamente qualificato ed è stata condotta con notevole sicurezza operativa.
A quanto pare l’attacco non è stato individuato né dall’Nsa, né dal Cyber Command, né tantomeno dalla Homeland Security. In poche parole questa azienda che offre servizi di sicurezza IT, SolarWinds, ha fra i suoi prodotti più famosi e popolari la piattaforma Orion.
La suite Orion include sei strumenti:
- Network Performance Manager (NPM)
- Netflow Traffic Analyzer (NTA)
- Network Configuration Manager (NCM)
- Virtualization Manager (VM)
- Server and Application Monitor (SAM)
- Storage Resource Monitor (SRM).
Tali strumenti, assieme, dovrebbero fornire una supervisione completa delle risorse di rete, delle applicazioni e degli storage.
Tali prodotti sono utilizzati, nel mondo, da più di 300.000 clienti. E guardate un pò chi ci sta in mezzo:
- Gartner
- Harvard University
- ING Direct <=========
- Korea Telecom
- MasterCard
- McDonald’s
- Microsoft <===========
- New York Times
- Airport
- Symantec
- Telecom Italia <========
- U.S. Air Force
- US Dept. Of Defense
- US Postal Service
- US Secret Service
- Volvo
- US Pentagon
- US Telecom
- State Department
- NASA
- NSA
- Postal Service
- NOAA
- Dipartimento di Giustizia
- Ufficio del Presidente degli Stati Uniti d’America
E mò come la mettiamo, sicurezza informatica a quanto la capiremo?