Non solo una battaglia sul campo, ma anche nello spazio cibernetico. Si registrano tensioni tra Stati Uniti e Russia su Ucraina e Kazakistan e proprio martedì le agenzie di sicurezza informatica e di intelligence americane hanno rilasciato un avviso congiunto su come rilevare, rispondere e mitigare gli attacchi informatici orchestrati da attori sponsorizzati dallo stato russo.
A tal fine, la Cybersecurity and Infrastructure Security Agency (CISA), il Federal Bureau of Investigation (FBI) e la National Security Agency (NSA) hanno messo a nudo le tattiche, le tecniche e le procedure (TTP) adottate dagli avversari, compreso il phishing, forza bruta e sfruttamento di vulnerabilità note per ottenere l’accesso iniziale alle reti di destinazione.
Di seguito è riportato l’elenco dei difetti sfruttati dai gruppi di hacker russi per ottenere un punto d’appoggio iniziale, che le agenzie hanno definito “comuni ma efficaci“:
CVE-2018-13379 (FortiGate VPNs)
CVE-2019-1653 (Cisco router)
CVE-2019-2725 (Oracle WebLogic Server)
CVE-2019-7609 (Kibana)
CVE-2019-9670 (Zimbra software)
CVE-2019-10149 (Exim Simple Mail Transfer Protocol)
CVE-2019-11510 (Pulse Secure)
CVE-2019-19781 (Citrix)
CVE-2020-0688 (Microsoft Exchange)
CVE-2020-4006 (VMWare)
CVE-2020-5902 (F5 Big-IP)
CVE-2020-14882 (Oracle WebLogic)
CVE-2021-26855 (Microsoft Exchange, exploited frequently alongside CVE-2021-26857, CVE-2021-26858, and CVE-2021-27065)
“Gli attori dell’APT sponsorizzati dallo stato russo hanno anche dimostrato sofisticate capacità commerciali e informatiche compromettendo l’infrastruttura di terze parti, compromettendo software di terze parti o sviluppando e implementando malware personalizzato“, hanno affermato le agenzie .
“Gli attori hanno anche dimostrato la capacità di mantenere un accesso persistente, non rilevato e a lungo termine in ambienti compromessi, inclusi gli ambienti cloud, utilizzando credenziali legittime“.
I gruppi APT russi sono stati storicamente osservati mentre fissavano gli occhi sulla tecnologia operativa (OT) e sui sistemi di controllo industriale (ICS) con l’obiettivo di distribuire malware distruttivo, tra cui il principale è le campagna di intrusione contro l’Ucraina e il settore energetico statunitense, nonché gli attacchi che sfruttano ha trojanizzato gli aggiornamenti di SolarWinds Orion per violare le reti delle agenzie governative statunitensi.
Per aumentare la resilienza informatica contro questa minaccia, le agenzie raccomandano di imporre l’autenticazione a più fattori per tutti gli utenti, prestando attenzione ai segni di attività anormali che implicano movimenti laterali, imporre la segmentazione della rete e mantenere aggiornati i sistemi operativi, le applicazioni e il firmware.
Altre best practice consigliate sono le seguenti:
- Implementa una solida raccolta e conservazione dei registri
- Richiedi agli account di avere password complesse
- Abilita potenti filtri antispam per impedire alle e-mail di phishing di raggiungere gli utenti finali
- Implementare rigorosi programmi di gestione della configurazione
- Disabilita tutte le porte e i protocolli non necessari
- Assicurarsi che l’hardware OT sia in modalità di sola lettura
