A nove mesi dalla scoperta dell'attacco alla supply chain di Solar Winds, Autodesk ha rivelato di avere trovato la backdoor Sunburst su uno dei suoi server.
Autore: Redazione SecurityOpenLab
Autodesk è l'ennesima vittima illustre dell'attacco a Solar Winds. A distanza di mesi dalla distribuzione dell'aggiornamento di Orion compromesso, l'azienda statunitense ha identificato un server con la backdoor Sunburst. Tale server è stato immediatamente isolato, i dati contenuti sono stati conservati per le analisi forensi e solo dopo sono state applicate le patch.
Una portavoce dell'azienda ha sottolineato che "nessuna operazione dei clienti o dei prodotti Autodesk è stata interrotta a seguito di questo attacco". Risulta inoltre che gli attaccanti non abbiano distribuito altri malware nell'infrastruttura di Autodesk. È possibile che Autodesk non sia stata ritenuta un obiettivo interessante.
Ricordiamo, infatti, che l'attacco si è svolto in più fasi. Dopo aver ottenuto l'accesso ai sistemi interni di Solar Winds, gli attaccanti hanno infettato con un trojan il codice sorgente e le build di Orion Software Platform rilasciate tra marzo 2020 e giugno 2020.
Queste build contaminate sono state successivamente utilizzate per scaricare una backdoor tracciata come Sunburst a un numero stimato di 18.000 clienti. Evidentemente fra questi c'era anche Autodesk. A quel punto gli attaccanti hanno valutato quali aziende fossero di reale interesse e hanno selezionato solo un numero ristretto di obiettivi per l'avvio della seconda fase, ossia per l'attivazione del trojan Teardrop. Sulle altre non è stata portata avanti alcuna azione.
Gli investigatori reputano che l'attacco sia stato coordinato dalla divisione di hacking del Servizio di intelligence straniero russo(alias APT29, The Dukes o Cozy Bear). La supply chain di Solar Winds è stata presa di mira perché l'azienda vantava 300.000 clienti attivi in tutto il mondo, tra cui le prime dieci società di telecomunicazioni e le maggiori agenzie federali statunitensi (l'esercito degli Stati Uniti, il Pentagono, il Dipartimento di Stato, la NASA, l'NSA, il servizio postale, il NOAA, il Dipartimento di Giustizia e l'Ufficio del Presidente degli Stati Uniti).
Inoltre, la cliente includeva alcune aziende strategiche del settore tecnologico privato, come per esempio Microsoft. I criminali direttamente coinvolti nell'attacco non sono ancora stati assicurati alla giustizia. SolarWinds haspeso 3,5 milioni di dollariper le conseguenze dell'attacco alla sua supply chain, inclusi i costi di remediation e le indagini forensi.