I pirati informatici hanno approfittato di una falla di sicurezza non ancora corretta, un cosiddetto ‘attacco zero-day’. Ecco chi rischia
Un attacco hacker nel software SharePoint di Microsoft, ha compromesso agenzie governative, università, aziende energetiche e istituzioni pubbliche in diversi Paesi, tra cui gli Stati Uniti. Lo hanno confermato funzionari statali e ricercatori privati, che parlano di una campagna globale in corso contro uno dei prodotti più diffusi per la condivisione di documenti. SharePoint è utilizzato per condividere file e comunicazioni interne.
Non è chiaro chi ci sia dietro gli attacchi e quale sia il loro obiettivo finale, afferma il Washington Post. Secondo una società di ricerca privata, gli hacker hanno preso di mira server in Cina. Gli attacchi si sono verificati dopo che Microsoft ha corretto una falla di sicurezza nelle scorse settimana. Gli hacker, mette in evidenza il Post citando alcune fonti del Dipartimento della sicurezza interna, hanno approfittato di una falla di sicurezza non ancora corretta – un cosiddetto “attacco zero-day”.
Migliaia di server locali sono esposti e, almeno fino a domenica sera, Microsoft non aveva ancora rilasciato una patch definitiva per tutte le versioni del software. Solo una versione ha ricevuto un aggiornamento correttivo, mentre le altre restano vulnerabili. «Chiunque utilizzi un server SharePoint in locale ha un problema», ha dichiarato Adam Meyers, vicepresidente della società di cybersicurezza CrowdStrike. «Si tratta di una vulnerabilità significativa».
Secondo l’FBI, che ha confermato l’apertura di un’indagine, le autorità americane stanno lavorando con partner in Canada e Australia per contenere la minaccia. Allertata anche la CISA, l’agenzia per la sicurezza informatica e delle infrastrutture degli Stati Uniti. «Abbiamo già registrato tentativi di sfruttamento su migliaia di server SharePoint in tutto il mondo», ha dichiarato Pete Renals di Palo Alto Networks. «Abbiamo identificato decine di organizzazioni compromesse, tra enti pubblici e privati».
Tra i bersagli già noti: due agenzie federali statunitensi, un parlamento statale sulla costa orientale degli Usa, un’azienda energetica americana, agenzie governative europee, una compagnia telefonica asiatica, un’università brasiliana, un ente locale ad Albuquerque, e un’agenzia pubblica in Spagna.
In un caso, un funzionario statale americano ha riferito che gli hacker hanno preso il controllo di un archivio di documenti destinati al pubblico. L’accesso è stato perso e non è chiaro se i file siano stati eliminati o solo criptati. Alcuni ricercatori parlano di possibili attacchi “wiper”, in grado cioè di cancellare i dati, anche se nella maggior parte dei casi finora è stata segnalata solo la sottrazione di chiavi crittografiche, che potrebbero consentire ai criminali informatici di rientrare nei sistemi anche dopo l’installazione di patch. «Distribuire un aggiornamento lunedì non aiuterà chi è già stato violato nei tre giorni precedenti», ha detto un ricercatore coinvolto nelle indagini, rimasto anonimo per motivi legali.
Il Centro per la Sicurezza Internet (CIS), organizzazione no-profit che supporta governi statali e locali, ha avvisato circa 100 enti — tra cui scuole e università — del rischio di compromissione. Il processo ha richiesto oltre sei ore, ostacolato da tagli del 65% al personale di risposta alle emergenze dovuti ai recenti tagli di bilancio.
Microsoft, nel frattempo, è di nuovo sotto accusa. Dopo le critiche ricevute per una gestione poco trasparente del cyberattacco cinese che nel 2023 aveva colpito anche l’email dell’allora Segretaria al Commercio Gina Raimondo, ora viene contestata per rilasciare aggiornamenti troppo specifici, lasciando altri sistemi simili vulnerabili.
