Un esercizio di red team condotto nel 2023 dalla Cybersecurity and Infrastructure Security Agency (CISA) degli Stati Uniti ha messo in luce gravi vulnerabilità in un’agenzia federale non specificata. Gli hacker dell’intelligence americana sarebbe riusciti ad avere accesso indisturbato alle infrastrutture informatiche per oltre cinque mesi. Potenzialmente avrebbero potuto compromettere completamente il lavoro dell’agenzia.
Quando i governi si hackerano da soli
L’intrusione è iniziata il 25 gennaio 2023, quando il red team della CISA ha sfruttato una vulnerabilità non patchata (CVE-2022-21587) nel sistema Oracle Solaris dell’agenzia. Nonostante la rapida comunicazione del problema agli agenti di fiducia, l’agenzia ha impiegato oltre due settimane per applicare la patch. Durante questo periodo, il red team ha avuto accesso indisturbato a diverse applicazioni e database; sono infine riusciti ad infiltrarsi anche nella rete Windows, attraverso alcuni attacchi di phishing (cioè semplice ingegneria sociale ai danni dei dipendenti e funzionari).
A quel punto, il red team ha scoperto diverse nuove vulnerabilità – incluse alcune password particolarmente poco sicure di alcuni amministratori – ed è riuscito senza problemi ad installare un RAT, acronimo di Remote Access Trojan.
Fortunatamente, queste vulnerabilità critiche sono state scoperte nell’ambito di un’esercitazione, pensata proprio per monitorare e valutare lo stato di sicurezza delle organizzazioni governative americane. Ma se a queste falle fossero arrivati per primi gli hacker a servizio della criminalità o di governi ostili, le cose avrebbero avuto un esito ben diverso.
Tutto il mondo è Paese: anche i sistemi informatici degli USA sono un colabrodo
Il red team ha sfruttato l’accesso ai sistemi dell’agenzia per espandersi ulteriormente e prendere il controllo di alcuni altri account privilegiati – in gergo, si parla di kerberoasting.
La CISA ha sottolineato come queste falle di sicurezza, se non affrontate, possano essere facilmente sfruttate in scenari reali da avversari determinati. Nonostante l’accesso prolungato e non autorizzato, l’agenzia target non è riuscita a rilevare o mitigare l’attività malevola per oltre cinque mesi. Un dato, quest’ultimo, semplicemente imbarazzante che dimostra l’inadeguatezza delle capacità di monitoraggio e risposta agli incidenti di almeno parte del governo federale americano.
Di positivo c’è che negli USA svolgere test di questo tipo è una prassi comune, ed è proprio giocando d’anticipo – cioè auto hackerando le proprie organizzazioni -, che il Paese riesce ad individuare le falle più gravi e correre ai ripari prima che accada il peggio. La domanda spontanea, a questo punto, è solo una: ma l’Italia può dire di fare altrettanto?
