Mandiant e Microsoft hanno rilevato una nuova ondata intrusioni, effettuate dall’autore degli attacchi alla catena di supply chain di SolarWinds. Anche se su scala minore rispetto a quanto osservato alla fine dello scorso anno, il gruppo sta utilizzando la community di reseller per colpire gli obiettivi desiderati.
Al momento, sono state rilevate vittime in Nord America e in Europa e l’attività di intrusione è tutt’ora in corso.
Charles Carmakal, SVP and CTO di Mandiant dichiara: “Mandiant, nel corso della sua attività, ha indagato su molteplici intrusioni nel corso del 2021, in cui sospetti attori russi della minaccia hanno sfruttato le relazioni presenti all’interno della supply chain tra aziende tecnologiche e clienti. Mentre l’attacco alla supply chain di SolarWinds ha visto l’utilizzo di un codice malevolo inserito in un software legittimo, la maggior parte di questa recente attività di intrusione rilevata ha sfruttato identità rubate e i network di soluzioni, servizi e aziende tecnologiche in Nord America e in Europa per accedere agli ambienti delle organizzazioni che sono l’obiettivo del governo russo. Questo percorso di attacco rende molto difficile per le vittime scoprire di essere state compromesse e indagare sulle azioni intraprese dall’attore della minaccia. Questo è particolarmente importante per l’attore della minaccia per una duplice motivazione: in primo luogo sposta l’intrusione iniziale dagli obiettivi finali, che in alcune situazioni sono organizzazioni che possiedono difese informatiche più efficienti. In secondo luogo indagare queste intrusioni richiede la collaborazione e la condivisione delle informazioni tra più organizzazioni vittime, il che è impegnativo a causa di preoccupazioni su privacy e sensibilità organizzative. Abbiamo osservato che questo percorso di attacco è utilizzato per ottenere l’accesso agli ambienti delle vittime on-premise e cloud. Simili alla tipologia usata durante la campagna 2020, gli obiettivi di questa attività di intrusione sembrano essere in definitiva organizzazioni governative e altre organi che si occupano di questioni di interesse per la Russia. L’attività di intrusione è tutt’ora in corso e Mandiant sta lavorando attivamente con le organizzazioni colpite”.
Maggiori dettagli sono presenti nel blog di Microsoft.
