Cosa hanno rivelato i documenti FOIA recentemente ottenuti sull'attacco SolarWinds al Dipartimento del Tesoro?

Hanno rivelato che gli aggressori hanno ottenuto una visibilità a livello amministrativo sull'infrastruttura email del Tesoro, potenzialmente esponendo ogni singolo indirizzo email treasury.gov.

Chi è stato ritenuto responsabile della violazione SolarWinds?

L'attacco è ampiamente attribuito al Servizio di intelligence estero russo (SVR).

Come hanno fatto gli hacker a ottenere un accesso così profondo alle email del Tesoro?

Hanno ottenuto un accesso a livello amministrativo all'ambiente email, che ha permesso loro di identificare ogni account e probabilmente visualizzare i contenuti di tutti gli indirizzi treasury.gov.

Cosa ha reso l'intrusione SolarWinds diversa da un normale exploit software o da un attacco di phishing?

È stato un attacco alla catena di fornitura in cui il codice malevolo era nascosto all'interno di un aggiornamento software fidato e firmato per lo strumento Orion di SolarWinds, quindi gli strumenti di sicurezza non hanno segnalato l'attività.

Perché l'esposizione di tutti gli indirizzi email treasury.gov è una seria preoccupazione al di là della semplice lettura dei messaggi?

Le directory email possono rivelare strutture organizzative, identificare personale chiave e fornire una mappa per successive campagne di phishing o raccolta mirata di intelligence.

Documenti FOIA rivelano che l'attacco SolarWinds ha esposto tutte le email di Treasury.gov

Documenti ottenuti tramite una causa basata sul Freedom of Information Act hanno aggiunto un nuovo, preoccupante capitolo alla vicenda dell'attacco SolarWinds del 2020. Secondo i documenti recentemente emersi, gli aggressori non si sono limitati a infiltrarsi in una manciata di account del Dipartimento del Tesoro degli Stati Uniti. Sono riusciti a ottenere un accesso così profondo da poter potenzialmente esporre ogni singolo indirizzo email che termina con treasury.gov. La portata completa dell'esposizione dei dati governativi nell'attacco SolarWinds, a quanto pare, era ancora più ampia di quanto le autorità avessero riconosciuto pubblicamente.

Cosa hanno effettivamente rivelato i documenti FOIA sull'accesso al Tesoro

Quando la violazione SolarWinds venne alla luce per la prima volta alla fine del 2020, le dichiarazioni del governo riconobbero l'intrusione in termini generici, senza precisare esattamente quanto a fondo gli aggressori si fossero insinuati nei sistemi federali. I nuovi documenti FOIA cambiano significativamente questo quadro.

I documenti indicano che gli hacker, ampiamente attribuiti al Servizio di intelligence estero russo (SVR), raggiunsero un livello di accesso all'infrastruttura email del Dipartimento del Tesoro che avrebbe consentito loro di visualizzare o raccogliere tutti gli indirizzi operanti sotto il dominio treasury.gov. Questo va oltre la compromissione di un sottoinsieme di caselle di posta. Suggerisce che gli aggressori avessero una visibilità a livello amministrativo sull'ambiente email del dipartimento, il che significa che potevano identificare ogni account, e probabilmente il suo contenuto, in una delle agenzie più sensibili del governo statunitense.

Questo tipo di accesso ha implicazioni che vanno ben oltre la corrispondenza rubata. Le directory email possono rivelare strutture organizzative, identificare personale chiave e fungere da mappa per successive campagne di phishing o raccolta mirata di intelligence.

Perché un attacco alla catena di fornitura è diverso da una violazione standard

Per capire perché questa violazione sia stata così difficile da rilevare e così dannosa per portata, è utile comprendere il metodo di attacco. Non si è trattato di hacker che indovinavano password deboli o sfruttavano un server non aggiornato. L'attacco SolarWinds è stato un classico attacco alla catena di fornitura, il che significa che gli avversari hanno compromesso un fornitore di software fidato e hanno utilizzato il legittimo meccanismo di aggiornamento di quel fornitore per inviare codice malevolo direttamente ai clienti.

SolarWinds produceva un software di gestione di rete chiamato Orion, ampiamente utilizzato sia dalle agenzie federali che dalle aziende del settore privato. Quando gli aggressori hanno inserito il loro malware in un normale aggiornamento software di Orion, ogni organizzazione che ha installato quell'aggiornamento ha di fatto invitato l'intrusione a entrare dalla porta principale. Gli strumenti di sicurezza che normalmente segnalerebbero attività sospette non avevano motivo di lanciare un allarme perché il codice malevolo arrivava confezionato in un pacchetto software affidabile e firmato.

Questo è precisamente ciò che rende gli attacchi alla catena di fornitura così pericolosi rispetto alle violazioni convenzionali. Il punto d'appoggio dell'aggressore non viene stabilito attraverso una crepa nelle difese del bersaglio, ma attraverso una terza parte fidata di cui il bersaglio non ha alcuna ragione pratica per diffidare.

Come i sistemi governativi compromessi mettono a rischio i dati dei cittadini

La reazione istintiva a una violazione del Dipartimento del Tesoro potrebbe essere quella di considerarla un problema governativo, separato dalla privacy personale quotidiana. Questa interpretazione sottovaluta l'esposizione.

Le agenzie federali detengono enormi quantità di dati sui cittadini: documenti fiscali, dichiarazioni finanziarie, informazioni sull'occupazione, domande di sussidi e altro ancora. Quando gli aggressori ottengono un accesso a livello amministrativo all'ambiente email di un'agenzia come il Tesoro, sono in grado di intercettare comunicazioni interne su audit, indagini e decisioni politiche. Possono identificare quali funzionari sovrintendono a quali programmi, informazioni che possono essere utilizzate per creare email di spear-phishing altamente convincenti indirizzate ad altre agenzie o persino a privati cittadini collegati a questioni governative in corso.

Oltre agli attacchi successivi mirati, c'è la questione del valore di intelligence. Sapere chi lavora al Tesoro, quali programmi supervisiona e chi comunica con chi è genuinamente utile per un servizio di intelligence straniero, e questo valore non richiede che gli aggressori decifrino mai un singolo file crittografato.

Cosa possono e non possono fare gli utenti attenti alla privacy per proteggersi

È qui che l'esposizione dei dati governativi nell'attacco SolarWinds mette i singoli utenti di fronte a una realtà scomoda. Non c'è essenzialmente nulla che un privato cittadino possa fare per impedire a un servizio di intelligence straniero di compromettere l'infrastruttura email interna di un'agenzia federale.

Usare una VPN protegge il proprio traffico. Password robuste e autenticazione a due fattori proteggono i propri account personali. La messaggistica crittografata end-to-end protegge le proprie conversazioni private. Nessuna di queste misure ha alcuna influenza sul fatto che un fornitore di software di cui il governo federale si fida sia stato compromesso, o sul fatto che un'agenzia governativa che conserva dati su di te sia stata infiltrata attraverso il canale di aggiornamento di quel fornitore.

Questo non è un argomento a favore del fatalismo. È un argomento a favore della chiarezza su ciò che i diversi strumenti sono effettivamente progettati per fare. Gli strumenti per la privacy personale affrontano le superfici d'attacco personali. Le vulnerabilità sistemiche nell'infrastruttura governativa o aziendale richiedono risposte sistemiche: rigorosi audit di sicurezza dei fornitori, architetture di rete a fiducia zero, tempi obbligatori di divulgazione delle violazioni e una supervisione legislativa con veri poteri coercitivi.

Per i singoli individui, la risposta più utile è rimanere informati su quali dati le agenzie governative detengono, prestare attenzione alle notifiche di violazione quando arrivano ed essere particolarmente scettici riguardo alle comunicazioni non sollecitate che sembrano provenire da fonti governative all'indomani di qualsiasi violazione segnalata.

Cosa significa questo per te

La portata appena rivelata della violazione del Tesoro ricorda che la protezione dei dati personali esiste all'interno di un ecosistema più ampio che gli individui non controllano. Le proprie pratiche di sicurezza contano. Ma conta anche la postura di sicurezza di ogni istituzione che detiene dati su di te.

L'attacco SolarWinds non è stato un'anomalia isolata. Ha messo in luce una debolezza strutturale nel modo in cui ci si fida delle catene di fornitura del software e nel modo in cui le violazioni vengono divulgate. Comprendere questo contesto è essenziale per chiunque tenga traccia di come le minacce a livello statale si traducono in rischi reali per la privacy. Inizia costruendo una solida comprensione di come funzionano gli attacchi alla catena di fornitura e perché sono così difficili da cui difendersi a livello individuale. Queste conoscenze di base affineranno la tua lettura di ogni storia simile che seguirà.