Attacco Cinese Ai Server Exchange È Gravissimo Ma Ne Parlano in Pochi
Total Page:16
File Type:pdf, Size:1020Kb
n.240 / 21 22 MARZO 2021 MAGAZINE Datacenter OVH Shopping extra UE: sui Galaxy A52 e A72: Nuovi TV LG 2021, distrutto: il cloud è marketplace cinesi hanno tutto, modelli e prezzi. Il 77” veramente sicuro? 06 si pagherà di più 08 al giusto prezzo 15 scende a 3.899 euro 18 Attacco cinese ai server Exchange È gravissimo ma ne parlano in pochi Un attacco hacker cinese, sfruttando vulnerabilità di Exchange, ha colpito migliaia di aziende italiane. È una bomba a orologeria, ma tutti fanno finta di niente 02 Find X3 Pro, primo contatto 26 Oppo mantiene le promesse? Il nuovo top di gamma Oppo è un concentrato di innovazione. Abbiamo analizzato tutti i punti Sonos Roam, Wi-Fi di forza, dal miliardo di colori alle foto a 10 bit e multiroom ma 11 anche super-portatile Netflix blocca condivisione account 43 Per ora è un test, ma in futuro? La nuova versione dell’app, che blocca la condivisione dell’account tra amici e conoscenti, è Dacia Spring già stata distribuita ad alcuni utenti in alcuni Paesi, La spacca-mercato elettrica a 9.460 € 17 ma non è detto che non venga estesa altrove IN PROVA IN QUESTO NUMERO 30 34 38 40 Xiaomi Mi 11 5G Fujifilm X-E4 Radio-microfono Sony IP Cam EZVIZ C8C Quasi perfetto Mirrorless per tutti Gioia per videomaker Sorveglianza a 360° n.240 / 21 22 MARZO 2021 MAGAZINE MERCATO Un gruppo di hacker cinesi, sfruttando vulnerabilità di Exchange, sta installando da mesi backdoor sui server aziendali Attacco cinese ha toccato migliaia di aziende italiane Può causare danni enormi ma ne parlano in pochi L’attacco è uno dei più devastanti degli ultimi anni, eppure tutti fanno finta di niente. Italia tra le più colpite dopo USA e Turchia TIM è intervenuta subito, ma ha riscontrato tracce di possibili accessi non autorizzati. Appaiono anche i primi ransomware di Roberto PEZZALI ta succedendo qualcosa di terribile, eppure nes- suno in Italia ne parla. Ad inizio gennaio un grup- Spo hacker cinese, sfruttando una falla zero day di Exchange, ha iniziato ad infettare server di posta in tutto il mondo e quando Microsoft ha scoperto la cosa, rila- sciando la patch, l’attacco si è fatto ancora più aggres- sivo, aumentando come intensità ora dopo ora. L’Italia, secondo i primi dati raccolti, sarebbe uno dei paesi più colpiti dopo Stati Uniti e Turchia, con una serie di con- seguenze che ancora non possono essere calcolate. Il bersaglio più grande dovrebbe essere Wind Tre: la com- pagnia di telecomunicazioni lo scorso weekend avuto diversi problemi sulla rete interna, con limitato accesso ad alcune app, e la causa sarebbe proprio questa. hanno iniziato a colpire una serie di aziende in tutto il ne a tappeto sulla rete, ha stimato che ancora oggi ci Da noi contattata la scorsa settimana Wind Tre ha nega- mondo, ma soprattutto in Usa: università, aziende di ri- possano essere circa 125.000 server in tutto il mondo to che si sia trattato di un attacco informatico, “normale cerca, enti governativi. vulnerabili perché ancora le patch di Microsoft non sono manutenzione” ci è stato detto, eppure anche secondo state applicate. Come ricordano in molti, in ambito en- Bloomberg, che avrebbe visionato un memorandum Quando tutto esce allo scoperto terprise applicare una patch non è come aggiornare il interno, l’infrastruttura informatica di Wind Tre sarebbe gli attacchi si intensificano sistema di un telefono: in molti casi, quando vengono stata toccata dagli hacker e non si può sapere, ad oggi, Quando i problemi sono stati individuati, e Microsoft ha usate soluzioni personalizzate con plug-in esterni, prima con quali conseguenze. Si tratta, lo specifichiamo, di una iniziato a lavorare alle patch correttive, gli attacchi del di effettuare un aggiornamento ad un componente criti- pura questione di rete aziendale, che non ha nulla a che gruppo cinese si sono intensificati. Prima si attaccavano co vengono fatti diversi test. fare con la rete di telecomunicazioni e i dati dei clienti solo obiettivi mirati, poi, utilizzando una botnet, hanno L’attacco si è così propagato in tutto il mondo e vista la o dei servizi ad essi associati. L’attacco messo a pun- iniziato ad attaccare ogni server esposto sulla rete uti- gravità della cosa il neo-presidente americano Biden to dai cinesi è uno dei più devastanti degli ultimi anni, lizzando la Outlook Web Authentication page, ovvero ha istituito una task force per capire i legami e i colle- tanto grave che negli Stati Uniti se ne sta interessando la pagina web dalla quale un dipendente di una azien- gamenti con la Cina e intervenire per proteggere le direttamente il presidente Biden: le conseguenze per da può collegarsi per leggere la sua posta su server aziende americane. Sembra infatti che da marzo, quan- molte aziende americane (e non) potrebbero essere Exchange. do Microsoft ha rilasciato le patch, al gruppo Hafnium si drammatiche. L’esperto di cybersicurezza Brian Krebs, insieme ad siano affiancati anche altri gruppi di hacker cinesi. Sulla alte organizzazioni, ha iniziato a delineare il perimetro questione sta indagando anche l'FBI. Gli attacchi iniziano a gennaio. dell’attacco: in pochi giorni si è passati dai 30.000 ser- E proseguono indisturbati ver compromessi ai 150.000 server compromessi in tutti Una bomba a orologeria: tutti i rischi Il 5 gennaio del 2021 un ricercatore di DevCore, su Twit- il mondo. Palo Alto Networks, effettuando una scansio- Abbiamo parlato di attacco, ma molti esperti hanno par- ter, scrive di aver segnalato ad un vendor quello che lato di una vera bomba a orologeria che deve ancora può essere considerato uno dei bug si sicurezza più esplodere e per capire il motivo si deve analizzare quel- devastanti che siano mai stati trovati. Il vendor è Micro- le che sono le singole conseguenze di ogni attacco. Sui soft, e i bug segnalati si riferiscono a due falle “zero day”, server colpiti sono state installate una o più backdoor quindi sconosciute, legate ai server di posta Exchange. che permettono ai malintenzionati il controllo totale del In totale le vulnerabilità sono quattro, e Microsoft le chiu- server, dalla lettura delle email dell’intera rete aziendale de d’urgenza con una patch cumulativa il 2 marzo del all’accesso di computer sulla stessa rete del server. 2021. Due mesi dopo. Secondo molti esperti quella a cui abbiamo assistito è Microsoft, nel report relativo al problema, aggiun- solo la fase uno: si è piantato un seme, e ora si aspetta ge che secondo l’analisi questi exploit sono stati usati che germogli per tornare a raccogliere il frutto. I malin- solo per alcuni attacchi sporadici. Solo più tardi, men- tenzionati potrebbero infatti accedere ai server attaccati, tre cercava di capire come era possible che qualcuno avendo installato una backdoor di accesso, per termina- sia riuscito a ottenere l’accesso completo ad un server re l’attacco. L’ipotesi più probabile è il furto di dati per Exchange, si è resa conto che la cosa era ben più grave. alcune aziende specifiche, quelle di importanza strate- Le indagini hanno portato ad un gruppo di hacker cinesi gica, accompagnato dall'installazione di ransomware legati al Governo, Hafnium, un team organizzato di altis- o di strumenti per il mining di criptovalute per tutti gli simo livello che prende di mira obiettivi strategici. Utiliz- altri server. Nel primo caso si tratterebbe di un attacco zando decine di server privati virtuali ubicati in America, per non destare sospetti legati ad IP cinesi, gli hacker segue a pagina 03 torna al sommario 2 n.240 / 21 22 MARZO 2021 MAGAZINE MERCATO Attacco cinese ad Exchange segue Da pagina 02 manuale, nel secondo caso di un attacco a tappeto, per guadagnare soldi con il riscatto o con la vendita delle valute minate. Alcuni server analizzati, colpiti dall'attacco, avevano più di tre backdoor installate, e la bonifica ha richiesto giorni. Dall’analisi dei log di traffico ricevuti da molti ISP ameri- cani, e da coloro che avevano senza saperlo affittato i server americani ai cinesi per gli attacchi, alcune agen- zie di cybersecurity sono riuscite a risalire agli indirizzi IP dei server attaccati e stanno avvisando tutti: "fate subi- to un backup e tenetelo scollegato dalla rete”. Il rischio che, da un momento all’altro, l’intera rete aziendale pos- sa essere criptata da un ransomware è altissimo. L’Italia era ed è una delle più colpite La situazione venerdì 12 marzo. La situazione al 15 marzo. Venerdì, secondo i dati di CheckPoint Security, l’Italia risultava uno dei paesi più colpiti dall’attacco. "Check Point Research sta notando centinaia di tentativi di sfrut- documenti archiviati nel sistema di file sharing dell'a- stati riscontrati possibili accessi non autorizzati ad alcuni tamento contro organizzazioni sparse in tutto il mondo; zienda non sono al momento disponibili”. server di posta. In attesa che vengano completate le ve- tentativi collegati alle quattro vulnerabilità zero-day che rifiche per capire se c’è stata una effettiva compromis- attualmente colpiscono Microsoft Exchange Server. CPR Cosa può succedere adesso sione del sistema, con eventuale furto di dati, TIM sug- ha osservato che, solo nelle ultime 24 ore, il numero di Le quattro falle di Exchange hanno conseguenze ad gerisce di cambiare le password. TIM, è bene ricordarlo, tentativi è raddoppiato ogni due o tre ore. Nel caso in cui oggi incalcolabili. L'impatto sarà maggiore, secondo i non ha nessuna colpa in tutto questo: gli hacker hanno un’organizzazione con Microsoft Exchange Server non consulenti Usa che stanno seguendo la cosa per la Casa sfruttato quattro vulnerabilità zero-day di Microsoft e abbia patchato la versione all’ultima disponibile è da Bianca, del già terribile hack di SolarWind.