Microsoft contro SVR. Perché l'open source dovrebbe essere la norma

Diego Germán González

6 minuti

Microsoft contro SVR

Avrebbe potuto essere un romanzo di Tom Clancy della serie NetForce, ma è un libro scritto dal presidente di Microsoft Brad Smith in omaggio a se stesso e alla sua azienda. Comunque, se si legge tra le righe (almeno in l'estratto a cui aveva accesso un portale) e separa le pacche sulle spalle e le bacchette ai concorrenti, quello che rimane è molto interessante e istruttivo. E, a mio modesto parere, un esempio dei vantaggi del software libero e del modello open source.

I personaggi

Ogni romanzo di spionaggio ha bisogno di un "cattivo ragazzo" e, in questo caso non abbiamo niente di meno che l'SVR, una delle organizzazioni che sono succedute al KGB dopo il crollo dell'URSS. L'SVR si occupa di tutti i compiti di intelligence svolti al di fuori del confine della Federazione Russa. La "vittima innocente" era SolarWinds, un'azienda che sviluppa software di gestione della rete.È utilizzato da grandi aziende, gestori di infrastrutture critiche e agenzie governative statunitensi. Certo, abbiamo bisogno di un eroe. In questo caso, secondo loro, è il Threat Intelligence Department di Microsoft.

Come potrebbe essere altrimenti, in una storia di hacker, il "cattivo" e il "buono" hanno uno pseudonimo. L'SVR è l'ittrio (ittrio). In Microsoft, usano gli elementi meno comuni della tavola periodica come nome in codice per possibili fonti di minacce. Il dipartimento di intelligence sulle minacce è MSTIC per il suo acronimo in inglese, anche se internamente lo pronunciano mystic (mistico) per la somiglianza fonetica. Di seguito, per comodità, utilizzerò questi termini.

Microsoft contro SVR. I fatti

Il 30 novembre 2020, FireEye, una delle principali società di sicurezza informatica negli Stati Uniti, scopre di aver subito una violazione della sicurezza nei propri server. Poiché non sono stati in grado di ripararlo da soli (mi dispiace, ma non riesco a smettere di dire "casa del fabbro, coltello di legno"), hanno deciso di chiedere aiuto agli specialisti di Microsoft. Dal momento che MSTIC aveva seguito le orme dell'ittrio, eErano subito sospettosi dei russi, diagnosi poi confermata dai servizi di intelligence ufficiali statunitensi.

Con il passare dei giorni, si scoprì che gli attacchi erano diretti a reti di computer sensibili in tutto il mondo, inclusa la stessa Microsoft. Secondo i media, il governo degli Stati Uniti era chiaramente l'obiettivo principale dell'attacco, con il Dipartimento del Tesoro, il Dipartimento di Stato, il Dipartimento del Commercio, il Dipartimento dell'Energia e parti del Pentagono, decine di organizzazioni colpite nell'elenco delle vittime. Questi includono altre società tecnologiche, appaltatori governativi, gruppi di riflessione e un'università. Gli attacchi non erano diretti solo contro gli Stati Uniti, poiché hanno colpito Canada, Regno Unito, Belgio, Spagna, Israele ed Emirati Arabi Uniti. In alcuni casi, le penetrazioni nella rete sono durate diversi mesi.

L'origine

Tutto è iniziato con un software di gestione della rete chiamato Orion e sviluppato da una società chiamata SolarWinds. Con oltre 38000 clienti aziendali di alto livello, gli aggressori dovevano solo inserire malware in un aggiornamento.

Una volta installato, il malware si è connesso a quello che è tecnicamente noto come server di comando e controllo (C2). Il C2 e serverÈ stato programmato per fornire al computer connesso attività come la possibilità di trasferire file, eseguire comandi, riavviare una macchina e disabilitare i servizi di sistema. In altre parole, gli agenti di Yttrium hanno avuto pieno accesso alla rete di coloro che avevano installato l'aggiornamento del programma Orion.

Prossimamente citerò un paragrafo letterale dall'articolo di Smith

Non ci è voluto molto per rendercene conto

l'importanza del lavoro di squadra tecnico nell'industria e con il governo
dagli Stati Uniti. Gli ingegneri di SolarWinds, FireEye e Microsoft hanno iniziato a lavorare insieme immediatamente. I team FireEye e Microsoft si conoscevano bene, ma SolarWinds era un'azienda più piccola che stava affrontando una grave crisi e i team dovevano creare rapidamente fiducia se volevano essere efficaci.
Gli ingegneri di SolarWinds hanno condiviso il codice sorgente del loro aggiornamento con i team di sicurezza delle altre due società,
che ha rivelato il codice sorgente del malware stesso. I team tecnici del governo degli Stati Uniti sono rapidamente entrati in azione, in particolare presso la National Security Agency (NSA) e la Cybersecurity and Infrastructure Security Agency (CISA) del Department of Homeland Security.

I punti salienti sono miei. Quello del lavoro di squadra e della condivisione del codice sorgente, non ti sembra qualcosa?

Dopo aver aperto la porta sul retro, il malware è rimasto inattivo per due settimane, per evitare di creare voci di registro di rete che avviseranno gli amministratori. PDurante questo periodo, ha inviato informazioni sulla rete che aveva infettato un server di comando e controllo. che gli aggressori avevano con il provider di hosting GoDaddy.

Se il contenuto era interessante per l'ittrio, gli aggressori sono entrati dalla porta sul retro e hanno installato codice aggiuntivo sul server attaccato per connettersi a un secondo server di comando e controllo. Questo secondo server, unico per ogni vittima per evitare il rilevamento, è stato registrato e ospitato in un secondo data center, spesso nel cloud di Amazon Web Services (AWS).

Microsoft contro SVR. Il morale

Se sei interessato a sapere come i nostri eroi hanno dato il dovuto ai loro cattivi, nei primi paragrafi hai i link alle fonti. Passerò direttamente al motivo per cui scrivo di questo su un blog Linux. Il confronto di Microsoft con l'SVR dimostra l'importanza che il codice sia disponibile per essere analizzato e che la conoscenza è collettiva.

È vero, come mi ha ricordato stamattina un prestigioso specialista in sicurezza informatica, che è inutile che il codice sia aperto se nessuno si prende la briga di analizzarlo. C'è il caso Heartbleed a dimostrarlo. Ma, ricapitoliamo. 38000 clienti di fascia alta si sono registrati per software proprietario. Molti di loro hanno installato un aggiornamento malware che ha esposto informazioni sensibili e ha dato il controllo a elementi ostili dell'infrastruttura critica. L'azienda responsabile Ha reso disponibile il codice agli specialisti solo quando era con l'acqua intorno al collo. Se fossero necessari fornitori di software per infrastrutture critiche e clienti sensibili Rilasciando il tuo software con licenze aperte, poiché avendo un revisore del codice residente (o un'agenzia esterna che lavora per diversi) il rischio di attacchi come SolarWinds sarebbe molto più basso.


Lascia un tuo commento

L'indirizzo email non verrà pubblicato. I campi obbligatori sono contrassegnati con *

*

*

  1. Responsabile del trattamento: AB Internet Networks 2008 SL
  2. Scopo dei dati: controllo SPAM, gestione commenti.
  3. Legittimazione: il tuo consenso
  4. Comunicazione dei dati: I dati non saranno oggetto di comunicazione a terzi se non per obbligo di legge.
  5. Archiviazione dati: database ospitato da Occentus Networks (UE)
  6. Diritti: in qualsiasi momento puoi limitare, recuperare ed eliminare le tue informazioni.

  1.   Immagine segnaposto Diego Vallejo suddetto
    fa 3 anni

    Non molto tempo fa, M$ accusava tutti coloro che usavano software libero dei comunisti, come nel peggiore del maccartismo.

    Rispondi a Diego Vallejo