Attacco informatico a SharePoint: un allerta globale
Microsoft ha recentemente lanciato un allerta di massima importanza riguardo a un attacco informatico orchestrato da gruppi di hacker sostenuti dallo stato cinese. Questi gruppi hanno sfruttato vulnerabilità critiche nel software SharePoint, compromettendo un numero crescente di agenzie governative e organizzazioni private a livello globale. Tra le vittime si trova l’Amministrazione Nazionale per la Sicurezza Nucleare degli Stati Uniti (NNSA). In un post dettagliato sul proprio blog, Microsoft ha identificato tre distinti gruppi di hacker con legami diretti con la Cina: Linen Typhoon, Violet Typhoon e Storm-2603. Questi gruppi hanno approfittato delle debolezze di SharePoint, in particolare quelle che colpiscono i clienti che gestiscono il software sui propri server interni, piuttosto che attraverso i servizi cloud offerti da Microsoft. È fondamentale che le organizzazioni adottino misure di sicurezza adeguate per proteggere i propri sistemi.
La portata degli attacchi e le conseguenze
Gli attacchi informatici non solo evidenziano la crescente sofisticazione delle minacce, ma anche la loro portata globale. Microsoft ha confermato che le indagini sono ancora in corso e ha espresso forte preoccupazione per il fatto che gli hacker continueranno a integrare queste vulnerabilità nei loro attacchi futuri. Secondo esperti di cybersecurity, le violazioni sono iniziate nei primi giorni di luglio. Adam Meyers, vicepresidente senior di CrowdStrike, ha dichiarato che i primi sfruttamenti sembravano essere attività sponsorizzate dal governo, ma che successivamente si sono ampliate, includendo hacking che sembrano provenire dalla Cina. CrowdStrike sta attualmente analizzando l’estensione di questa campagna, che ha già colpito numerose organizzazioni in vari settori.
Settori colpiti e impatti significativi
Tra le violazioni più allarmanti si trova quella che ha colpito la NNSA, l’agenzia responsabile della progettazione e manutenzione delle armi nucleari statunitensi. Una fonte informata ha confermato che non sono state sottratte informazioni classificate, ma altri settori del Dipartimento dell’Energia degli Stati Uniti hanno subito attacchi. Un portavoce ha rivelato che lo sfruttamento è iniziato il 18 luglio, rassicurando che i danni sono stati contenuti grazie all’adozione dei servizi cloud di Microsoft. I sistemi sono progettati con molteplici livelli di sicurezza, ma la minaccia rimane elevata. È essenziale che le agenzie governative e le organizzazioni private rafforzino le loro difese informatiche.
Infiltrazioni in vari settori governativi
Tuttavia, gli attacchi non si sono limitati alle agenzie energetiche. Secondo quanto riportato, i gruppi di hacker hanno infiltrato i sistemi del Dipartimento dell’Istruzione degli Stati Uniti, del Dipartimento delle Entrate della Florida e dell’Assemblea Generale del Rhode Island. Nonostante le richieste di commento da parte dei media, queste entità non hanno fornito risposte. Un portavoce della Florida ha dichiarato che i problemi legati a SharePoint sono “oggetto di indagine a più livelli di governo”. È fondamentale che le autorità competenti collaborino per affrontare questa minaccia in modo efficace e tempestivo.
Estensione delle violazioni e vulnerabilità persistenti
I ricercatori di cybersecurity hanno identificato violazioni su oltre 100 server appartenenti a 60 diverse organizzazioni, che spaziano da aziende energetiche a società di consulenza e università. Una fonte a conoscenza dell’indagine ha confermato che anche governi di diverse nazioni, dall’Europa al Medio Oriente, sono stati presi di mira. Nonostante Microsoft avesse rilasciato patch software a luglio per risolvere le vulnerabilità, gli attaccanti hanno trovato modi per aggirarle. Vaisha Bernard, chief hacker e co-proprietaria di Eye Security, ha dichiarato che le vulnerabilità hanno consentito agli aggressori di rubare chiavi di autenticazione, impersonare utenti e mantenere l’accesso ai sistemi anche dopo aggiornamenti e riavvii. È cruciale che le organizzazioni implementino misure di sicurezza più robuste per prevenire futuri attacchi.
Impatto globale e necessità di protezione
Eye Security ha registrato server compromessi su più continenti, con vittime in paesi come Arabia Saudita, Vietnam, Oman, Emirati Arabi Uniti, Sudafrica, Unione Europea e Americhe. Sebbene la società abbia scelto di non rivelare i nomi delle organizzazioni colpite, ha confermato che l’elenco include sia enti governativi che multinazionali. Gli hacker avrebbero sottratto credenziali di accesso, tra cui nomi utente, password, codici hash e token di sicurezza. Secondo gli esperti di cybersecurity, tali dati potrebbero essere utilizzati per condurre ulteriori attacchi o per impersonare utenti legittimi per periodi prolungati. È fondamentale che le organizzazioni adottino pratiche di sicurezza informatica più rigorose per proteggere i propri dati sensibili.
Critiche a Microsoft e misure di riforma
Un rapporto separato sulla cybersecurity ha riportato che una delle organizzazioni compromesse è un fornitore di servizi sanitari con sede negli Stati Uniti, mentre un’altra vittima è un’università pubblica situata nel sud-est asiatico. Gli hacker hanno tentato di violare i server SharePoint in almeno dieci paesi, tra cui Brasile, Canada, Indonesia, Spagna, Sudafrica, Svizzera, Regno Unito e Stati Uniti. Microsoft ha affrontato crescenti critiche riguardo alle sue pratiche di cybersecurity. Un rapporto del governo degli Stati Uniti del 2024 ha messo in evidenza la necessità di una riforma urgente nella cultura della sicurezza dell’azienda. In risposta a queste preoccupazioni, Microsoft ha annunciato di tenere riunioni settimanali con dirigenti di alto livello e di assumere esperti di sicurezza, inclusi ex funzionari del governo statunitense, per rafforzare le proprie difese.
Risposta della Cina e implicazioni geopolitiche
L’Ambasciata cinese a Washington ha respinto le accuse, affermando che “la Cina si oppone fermamente a tutte le forme di attacchi informatici e crimine informatico”. Gli esperti di cybersecurity ritengono che questi attacchi facciano parte di una strategia più ampia per utilizzare le violazioni del software aziendale a fini politici o economici. Microsoft continua a esortare le organizzazioni a implementare tutti gli aggiornamenti disponibili, a passare a sistemi basati su cloud quando possibile e a utilizzare più livelli di sicurezza per individuare attività sospette. È essenziale che le aziende e le istituzioni pubbliche collaborino per affrontare queste minacce in modo efficace e proattivo.
