La U.S. Securities and Exchange Commission (SEC) ha accusato SolarWinds di frode ai danni degli investitori, sostenendo che l’azienda avesse nascosto problemi legati alla difesa dalla cybersecurity prima di un attacco avvenuto nel dicembre 2020, collegato ad APT29, la divisione di hacking del Servizio di Intelligence Estero Russo (SVR).
Dettagli dell’accusa
Questo gruppo di minacce ha orchestrato l’attacco alla catena di approvvigionamento di SolarWinds, che ha portato alla violazione di molteplici agenzie federali statunitensi tre anni fa. La SEC sostiene che SolarWinds non abbia informato gli investitori sui rischi di cybersecurity e sulle cattive prassi che il suo Chief Information Security Officer, Timothy G. Brown (anch’esso oggetto di azioni legali da parte delle autorità di regolamentazione), conosceva. Invece, l’azienda avrebbe divulgato solo rischi teorici e generici ai suoi investitori.
Reazioni di SolarWinds
In risposta alle accuse della SEC, il Presidente e CEO di SolarWinds, Sudhakar Ramakrishna, ha dichiarato: “È allarmante che la SEC abbia ora presentato quello che riteniamo essere un’azione di enforcement fuorviante e impropria contro di noi”. Ha inoltre sottolineato che l’azienda ha scelto di parlare apertamente e frequentemente, con l’obiettivo di condividere ciò che ha imparato per aiutare gli altri a diventare più sicuri.
Antefatti dell’attacco
Il gruppo di minacce russo APT29 ha violato i sistemi interni di SolarWinds e ha introdotto un trojan nel software di amministrazione IT SolarWinds Orion e nelle versioni successive rilasciate tra marzo 2020 e giugno 2020. Queste versioni malevole sono state utilizzate per inserire il backdoor Sunburst nei sistemi di “meno di 18.000” vittime. Tuttavia, gli aggressori hanno selezionato un numero notevolmente inferiore di obiettivi per l’exploit di seconda fase.
Impatto sull’industria
SolarWinds afferma di avere più di 300.000 clienti in tutto il mondo e il 96% delle aziende Fortune 500, tra cui tutte le prime dieci aziende di telecomunicazioni statunitensi, Apple, Google, Amazon e molte agenzie governative. Molte di queste agenzie governative hanno successivamente confermato di essere state violate.
Dichiarazione di SolarWinds
Un portavoce di SolarWinds ha rilasciato una dichiarazione in cui esprime la delusione per le accuse infondate della SEC relative a un cyberattacco russo su un’azienda americana e sottolinea la preoccupazione che questa azione possa mettere a rischio la sicurezza nazionale.