L’attacco SolarWinds del 2020 è stato un umiliante assalto a tutto campo alla sicurezza informatica del governo degli Stati Uniti, ed è probabile che uno dei motivi principali per cui non è più famoso sia che sappiamo ancora molto poco di ciò che gli hacker hanno ottenuto. Ma ora abbiamo qualche briciola in più su cui lavorare, perché nuove rivelazioni da Bloomberg hanno rivelato che gli hacker si trovavano negli account di posta elettronica del Dipartimento del Tesoro, facendo essenzialmente quello che volevano.
Il rapporto di Bloomberg deriva da una causa legale del Freedom of Info Act, che ha portato alla pubblicazione di un rapporto di indagine redatto dall’ispettore generale del Tesoro.
Per rinfrescarvi la memoria, SolarWinds è una società di gestione delle informazioni con sede in Texas che è una parte poco conosciuta della catena di fornitura del software program, ma è anche onnipresente ed essenziale. All’inizio del 2020 SolarWinds è stata presa di mira da un’élite, possibilmente entità affiliata alla Russiae si è infiltrato attraverso una combinazione di ingegneria sociale e hacking, trasformando essenzialmente una parte chiave del suo software program chiamato Orion Platform in un distributore di malware, diffondendo i suoi strumenti di spionaggio su tutti i sistemi appartenenti ai clienti di SolarWinds. Quella lista di clienti includeva organizzazioni sensibili ai massimi livelli come la Casa Bianca e la NSA, esponendo gli hacker a reti di comunicazione che elaborano informazioni riservate.
L’informazione più scioccante riportata poco dopo la scoperta dell’hacking è stata la durata dell’esposizione: circa nove mesi, la maggior parte del 2020. Ora sappiamo qualcosa di circa quattro di quei nove mesi.
Bloomberg afferma che l’infiltrazione nell’account SolarWinds del Dipartimento del Tesoro è avvenuta il 6 luglio 2020 quando l’account amministrativo di livello più alto per il software program SolarWinds del Tesoro è stato compromesso. A quanto pare gli hacker hanno utilizzato quell’account per modificare un’applicazione chiamata in modo esilarante Safe Mail, che a sua volta “potenzialmente consentiva l’accesso a tutti gli indirizzi di posta elettronica che terminano con ‘treasury.gov'”, secondo il rapporto dell’ispettore generale.
L’infiltrazione nel sistema di posta elettronica del Tesoro apparentemente è durata fino al 12 ottobre 2020, quando il Tesoro, apparentemente accidentalmente, ha posto high-quality al get together degli hacker con una sorta di modifica del sistema. L’utente dell’account amministratore compromesso afferma nel rapporto di non sapere quali e-mail specifiche siano state prese di mira o se qualcosa sia stato effettivamente rubato o meno.
