Diverse agenzie di sicurezza americane hanno avviato un'indagine su una grave violazione degli account di posta elettronica dell'amministrazione Biden, presumibilmente commessa da parte di un gruppo di hacker cinesi, sollevando l'allarme per le informazioni sensibili che potrebbero essere cadute in mani straniere.
Mentre il Congresso degli Stati Uniti ha avviato un'indagine sulle recenti campagne di spionaggio informatico presumibilmente collegate alla Cina che hanno portato alla violazione di diversi account di posta elettronica del governo all'interno dei dipartimenti dello Stato e del Commercio all'inizio di questo mese, anche il Dipartimento per la sicurezza interna degli Stati Uniti (DHS) ha incaricato il suo Cyber Safety Review Board di entrare nella sicurezza del cloud ed esaminare il recente attacco informatico che ha preso di mira gli account di posta elettronica del governo, ha riferito Nextgov/FCW con sede negli Stati Uniti.
Il Cyber Safety Review Board del DHS, composto da 15 leader della sicurezza informatica nei settori pubblico e privato, analizzerà il modo in cui gli attori delle minacce prendono di mira gli ambienti di cloud computing per scopi dannosi.
La revisione valuterà anche come Lapsus$, un gruppo di hacker riferito alla Cina, abbia sfruttato una vulnerabilità in Microsoft Exchange Online per accedere alle e-mail governative non classificate durante l'attacco informatico.
L'attacco informatico è stato descritto da un alto funzionario della Cybersecurity and Infrastructure Security Agency (CISA) come una "campagna chirurgica" che prende di mira un "piccolo numero di caselle di posta". Il segretario del DHS Alejandro Mayorkas, d'altra parte, ha descritto la sicurezza del cloud come "la spina dorsale di alcuni dei nostri sistemi più critici" in una dichiarazione che annunciava la nuova revisione l'11 agosto.
"Le organizzazioni di ogni tipo fanno sempre più affidamento sul cloud computing per fornire servizi al popolo americano, il che rende imperativo comprendere le vulnerabilità di tale tecnologia", ha affermato Mayorkas.
Il Cyber Safety Review Board, che non ha autorità di regolamentazione, mirerà a sviluppare le migliori pratiche che i fornitori di software e gli utenti del cloud in tutti i settori possono utilizzare per rafforzare la sicurezza della rete.
Il Congresso degli Stati Uniti cerca un'indagine
L'annuncio arriva dopo le richieste del Congresso per indagini federali sull'attacco informatico, incluso il senatore democratico Ron Wyden, che ha esortato la CISA e il procuratore generale ad agire contro Microsoft in relazione alle accuse di pratiche negligenti di sicurezza informatica.
"Le e-mail del governo sono state rubate perché Microsoft ha commesso un altro errore", ha scritto Wyden nella sua lettera di accusa.
Wyden era felice che il comitato di revisione della sicurezza informatica del DHS avesse annunciato l'indagine. “Se il consiglio avesse studiato l'hack di SolarWinds del 2020, come originariamente indicato dal presidente Biden, i suoi risultati avrebbero potuto sostenere la sicurezza informatica federale in tempo per impedire agli hacker di sfruttare una vulnerabilità simile nell'incidente più recente.
Il governo sarà in grado di proteggere i sistemi federali dagli attacchi informatici solo andando a fondo di ciò che è andato storto", ha affermato.
Wyden ha notato nella sua lettera di luglio che il Cyber Safety Review Board è stato istituito in risposta all'hacking di SolarWinds del 2020, ma non ha mai fornito un'indagine sulla violazione e sul ruolo di Microsoft in essa, nonostante le sollecitazioni del legislatore.
“Ho ripetutamente spinto CISA e DHS a dirigere il consiglio per studiare l'incidente di SolarWinds, ma sono stato respinto. Se tale revisione avesse avuto luogo, è molto probabile che le scarse pratiche di sicurezza dei dati di Microsoft in merito alle chiavi di crittografia sarebbero venute alla luce e questo incidente più recente avrebbe potuto essere evitato ", ha scritto Wyden.
Indagini Lapsus$
Il 10 agosto il DHS Cyber Safety Review Board ha pubblicato il suo rapporto su Lapsus$, che ha scoperto di aver "sfruttato semplici tecniche per eludere gli strumenti di sicurezza standard del settore" ed evitare il rilevamento durante l'accesso a reti critiche.
Secondo il rapporto, i criminali informatici come Lapsus$ hanno utilizzato tecniche come dipendenti di phishing e furto di numeri di cellulare per ottenere l'accesso a dati proprietari. La revisione conteneva dieci raccomandazioni attuabili che le agenzie governative, le aziende e altri possono utilizzare per rafforzare le difese informatiche contro Lapsus $ e altri attori delle minacce.
Il rapporto afferma che le tecniche standard di autenticazione a più fattori presentavano vulnerabilità critiche che rendevano le principali aziende suscettibili alle intrusioni informatiche.
"Lapsus$ e i relativi attori delle minacce stanno utilizzando tecniche di base per ottenere un punto di ingresso nelle aziende"; così Rosa Smothers, dirigente delle relazioni con il governo presso la società di sicurezza KnowBe4 ed ex analista di minacce informatiche della CIA, è stata citata da Nextgov/FCW.
"I loro principali vettori di attacco - attacchi di scambio di SIM e dipendenti di phishing - possono essere facilmente affrontati, soprattutto per aziende come Microsoft e Okta che dispongono di risorse così elevate". Il Consiglio ha raccomandato alle organizzazioni di "passare immediatamente a soluzioni più sicure, facili da usare e senza password in base alla progettazione" e ha invitato il governo a sviluppare una "roadmap di autenticazione sicura" che aiuti ad accelerare l'adozione dell'autenticazione senza password.
Il presidente del CSRB e sottosegretario per le politiche del DHS, Robert Silvers, ha affermato che la revisione “ha scoperto carenze nel modo in cui le aziende garantiscono la sicurezza dei loro fornitori; in che modo i gestori di telefonia cellulare proteggono i propri clienti dallo scambio di SIM; e come le organizzazioni autenticano gli utenti sui loro sistemi.
"Il consiglio ha esaminato come un gruppo di hacker poco organizzato, alcuni dei quali adolescenti, fosse costantemente in grado di entrare nelle aziende più ben difese del mondo", ha affermato Silvers.
Il Congresso degli Stati Uniti cerca un briefing sullo spionaggio informatico dopo la lettera di Microsoft
Il Congresso degli Stati Uniti, ha riferito Nextgov/FCW il 2 agosto, ha avviato un'indagine sulle recenti campagne di spionaggio informatico presumibilmente collegate alla Cina che hanno violato con successo diversi account di posta elettronica del governo all'interno dei dipartimenti dello Stato e del Commercio.
In lettere separate al Segretario al Commercio Gina Raimondo e al Segretario di Stato Antony Blinken, i leader repubblicani del Comitato della Camera per la supervisione e la responsabilità hanno richiesto briefing a entrambi i funzionari sulla scoperta, l'impatto e la risposta alle intrusioni.
Da parte sua, Microsoft ha precedentemente pubblicato un rapporto in cui si afferma che un criminale informatico con sede in Cina ha ottenuto l'accesso a un numero imprecisato di account di posta elettronica governativi non classificati attraverso token di autenticazione contraffatti e un difetto nel suo ambiente di cloud computing che da allora è stato corretto.
Le lettere rilevano che la violazione è iniziata il 15 maggio "e ha operato di nascosto per più di un mese" prima che Microsoft iniziasse le indagini sulla campagna di spionaggio.
"Sembra che la Cina stia passando da 'rapina a mano armata' che era 'rumorosa' e 'rudimentale' a un livello descritto dagli esperti di sicurezza come 'tra i più tecnicamente sofisticati e furtivi mai scoperti'", si legge nelle lettere.
"L'incidente solleva persino la possibilità che gli hacker cinesi possano essere in grado di accedere a reti di computer di alto livello e rimanere inosservati per mesi se non anni".
Il portavoce del Dipartimento di Stato Matthew Miller ha detto ai giornalisti a luglio che l'agenzia "ha preso provvedimenti immediati per proteggere i nostri sistemi" e ha informato Microsoft della violazione. Tuttavia, ha rifiutato di specificare la data in cui è stata rilevata l'intrusione. Miller ha anche rifiutato di indicare se la violazione fosse collegata al recente viaggio del segretario Blinken in Cina.
Le intrusioni sono state associate a un attore con sede in Cina noto come Storm-0558. Secondo Microsoft, l'attacco informatico ha avuto accesso agli account di posta elettronica di circa 25 organizzazioni separate tramite Outlook Web Access dell'azienda in Exchange Online e Outlook.com. "Questo tipo di avversario motivato dallo spionaggio cerca di abusare delle credenziali e ottenere l'accesso ai dati che risiedono in sistemi sensibili", ha affermato Microsoft in un annuncio sull'hacking.
Le lettere rilevano inoltre che l'hacking sottolinea ulteriormente un avvertimento sulla Cina incluso nella Strategia nazionale per la sicurezza informatica pubblicata all'inizio di quest'anno, che definisce il paese "la minaccia più ampia, più attiva e più persistente sia per le reti governative che per quelle del settore privato".
Il 27 luglio il senatore Ron Wyden, separatamente, ha scritto ai capi del Dipartimento di giustizia, della Federal Trade Commission e della CISA per richiedere un'indagine sulle pratiche di sicurezza informatica di Microsoft che, afferma, hanno facilitato la campagna di spionaggio.
"Questa non è la prima operazione di spionaggio in cui un governo straniero ha violato le e-mail delle agenzie governative degli Stati Uniti rubando chiavi di crittografia e falsificando le credenziali Microsoft", ha osservato Wyden nella sua lettera.
Il legislatore ha dettagliato molteplici problemi con i metodi dell'azienda per proteggere le chiavi di crittografia e ha affermato che "il fatto che questi difetti non siano stati rilevati solleva interrogativi su quali altri gravi difetti di sicurezza informatica abbiano mancato anche questi revisori".
CISA delinea il nuovo piano strategico per la sicurezza informatica
All'inizio di questo mese, la Cybersecurity and Infrastructure Security Agency ha affermato di dare la priorità all'affrontare le minacce immediate, rafforzare il terreno digitale e implementare la sicurezza su larga scala, tra gli altri nove obiettivi delineati nel suo nuovo piano strategico per la sicurezza informatica.
Rilasciato il 4 agosto, il piano segna la tabella di marcia della CISA per i prossimi tre anni mentre l'agenzia collabora con l'amministrazione Biden per salvaguardare le reti digitali americane dal crescente assalto di attacchi informatici dannosi.
“Ora è il momento in cui il nostro Paese ha una scelta: investire in un futuro in cui la collaborazione è un default piuttosto che un'eccezione; dove l'innovazione nella difesa e nella resilienza supera notevolmente quella di coloro che cercano di farci del male; e dove l'onere della sicurezza informatica è assegnato a coloro che sono maggiormente in grado di sopportarlo", si legge nel sommario esecutivo del rapporto.
“Gli incidenti informatici hanno causato troppi danni a troppe organizzazioni americane. Lavorando insieme, possiamo cambiare questo corso”.
I nove obiettivi alla base della strategia e i suoi tre obiettivi generali includono, tra gli altri, l'assegnazione di priorità alla divulgazione coordinata delle minacce, l'analisi proattiva delle vulnerabilità e l'implementazione degli investimenti nella sicurezza informatica.
Il piano si concentrerà su misure basate sui risultati per le istituzioni che lavorano per ridurre il loro rischio di sicurezza informatica. Alcune di queste metriche sono incentrate sulla riduzione dei tempi di risposta agli incidenti, in particolare per le agenzie federali e i partner delle infrastrutture critiche.
Altre metriche si concentrano sugli aumenti strategici. Nel misurare l'efficacia delle collaborazioni tra agenzie, CISA si concentra sull'analisi degli aumenti del volume di informazioni rilevanti, oltre a piani attuabili più specifici e rapporti post-incidente. In particolare, la strategia si concentra anche sull'implementazione del concetto di sicurezza per progettazione sostenuto dal governo federale.
"Come società, non possiamo più accettare un modello in cui ogni prodotto tecnologico è vulnerabile nel momento in cui viene rilasciato e in cui l'onere schiacciante per la sicurezza ricade sulle singole organizzazioni e utenti", si legge nel rapporto.
"La tecnologia dovrebbe essere progettata, sviluppata e testata per ridurre al minimo il numero di difetti sfruttabili prima che venga introdotta sul mercato".
In assenza di mandati e leggi federali, le società tecnologiche operano ancora secondo un modello di collaborazione volontaria e basata sulla fiducia.
CISA "si adopererà per garantire che le autorità di regolamentazione e altri enti governativi con autorità obbligatorie sfruttino pratiche tecnicamente solide ed efficaci sviluppate insieme ai nostri partner in tutto il settore privato, consentendo idealmente l'armonizzazione tra i regimi normativi statunitensi e globali".
Il rapporto rileva inoltre che CISA produrrà e aggiornerà regolarmente i criteri per sviluppare e mantenere prodotti sicuri fin dalla progettazione e garantire la cooperazione dei produttori.
Il software di intelligenza artificiale e il calcolo quantistico sono evidenziati come tecnologie potenzialmente rischiose che minacciano l'attuale protocollo di sicurezza informatica, in particolare con l'arrivo di un computer quantistico operativo.
La strategia del CISA per mitigare queste minacce emergenti è lavorare con gli sviluppatori di queste tecnologie nascenti e preparare sistemi digitali attraverso migrazioni crittografiche post-quantiche.
Fonte The Eurasian Times
Comments