
Quando è diventato chiaro che il Dipartimento dell'Energia faceva parte dell'hacking di SolarWinds in corso, ha suscitato preoccupazione tra gli esperti di sicurezza del settore e del governo che le infrastrutture critiche della nazione, tra cui la rete elettrica, i sistemi nucleari e le centrali elettriche potessero essere state compromesse.
Il DOE ha confermato formalmente che i tentacoli degli hacker erano entrati nell'agenzia, rilevando che il malware iniettato era stato isolato nelle sue reti aziendali e non aveva avuto alcun impatto sulle funzioni di sicurezza nazionale mission-critical della National Nuclear Security Administration (NNSA) e altri dipartimenti.
Tuttavia, gli esperti di sicurezza avvertono delle implicazioni a lungo termine della violazione.
"Questa potrebbe essere una situazione più preoccupante in cui la Russia non sta rivelando tutte le sue carte per garantire l'accesso a lungo termine alle reti che ospitano alcuni dei dati più sensibili della nostra nazione e potenzialmente per condurre operazioni significativamente più problematiche", ha affermato Jamil Jaffer, ex consulente senior della House Intelligence Committee, attualmente è vicepresidente senior per la strategia, le partnership e lo sviluppo aziendale presso IronNet. Crede che l'hack sia principalmente un'operazione di raccolta di informazioni di intelligence senza prove che i dati siano stati cancellati, distrutti, manipolati o modificati, ma ha avvertito che gli Stati Uniti non dovrebbero abbassare la guardia.
La Nuclear Regulatory Commission (NRC) ha lavorato in collaborazione con il Department of Homeland Security (DHS) e CISA per analizzare le risorse federali che potenzialmente avrebbero potuto essere coinvolte negli incidenti segnalati, secondo un portavoce. Ad oggi, l'agenzia non ha individuato alcuna violazione o compromissione.
Il DOE ha affermato che una volta identificato il software vulnerabile, ha intrapreso un'azione immediata per mitigare il rischio e disconnesso dalla sua rete tutto il software identificato come vulnerabile all'attacco di SolarWinds.
Sebbene non si sappia abbastanza sulle motivazioni degli aggressori, Tobias Whitney, vicepresidente delle soluzioni per la sicurezza energetica presso Fortress Information Security, ha affermato che la risposta del governo secondo cui gli hacker colpiscono solo i sistemi aziendali manca di un punto importante: una volta che gli aggressori ottengono visibilità nella rete IT tramite SolarWinds fornisce loro un percorso per la rete OT.
"In questo modo possono comprendere i protocolli, falsificare gli indirizzi IP e concentrare gli attacchi sugli strumenti relativi a OT", ha spiegato Whitney. "E se ottengono l'accesso all'amministratore, alla rete e, in ultima analisi, al sistema, possono iniziare a lanciare attacchi su infrastrutture critiche".
Whitney ha detto che l'attacco SolarWinds è stato come il colpo di avvertimento: “E ora è il nostro momento di rispondere. Penso che andando avanti saremo in grado di vedere questi indicatori di compromesso man mano che si evolvono. Le persone li cercheranno adesso. "
Secondo Mark Carrigan, chief operating officer di PAS Global, le aziende responsabili dell'infrastruttura critica dovrebbero rispondere presumendo di essere state infiltrate e attuare le proprie procedure di risposta alle emergenze, iniziando con l'identificazione di tutte le istanze del software SolarWinds e l'implementazione delle strategie di riparazione consigliate dal fornitore. Anche se un'azienda non gestisce SolarWinds, ha detto, ci sono indicatori preliminari che sono state utilizzate altre tecniche per ottenere l'accesso alle reti aziendali, quindi le aziende dovrebbero presumere che siano state compromesse e rispondere di conseguenza.
"Le società di infrastrutture critiche dovrebbero rimanere preoccupate che qualsiasi informazione raccolta dagli aggressori possa essere utilizzata in futuro per lanciare attacchi che interrompano le loro operazioni", ha detto Carrigan. "Una volta che le aziende hanno completato la loro risposta agli incidenti, dovrebbero rivedere la loro strategia di sicurezza informatica per affrontare questa nuova minaccia per la loro attività."
Il modo in cui gli Stati Uniti intendono rispondere rimane poco chiaro, dato che la Casa Bianca è stata mummia, con grande dispiacere dei principali legislatori come il senatore Mark Warner, D-Va. E il senatore Mitt Romney, R-Utah.
La Warner ha chiesto una risposta impegnata e pubblica da parte del governo degli Stati Uniti, guidato da un presidente che comprende il significato dell'intrusione e può attivamente organizzare una strategia di riparazione interna e una risposta internazionale.
"Man mano che apprendiamo l'impatto più ampio di questo sforzo maligno – con il potenziale per un più ampio compromesso dei fornitori di tecnologia globali critici e dei loro prodotti – è essenziale che vediamo una risposta federale organizzata e concertata", Warner, vice presidente del Senate Select La commissione per l'intelligence e co-presidente del Senate Cybersecurity Caucus, ha affermato in una dichiarazione. "È estremamente preoccupante che il presidente non sembri riconoscere, e tanto meno agire sulla gravità di questa situazione".
Ma Jaffer, che definisce l'hack "ottimo spionaggio" piuttosto che un "atto di guerra", non crede che "una massiccia risposta di ritorsione sia giustificata o appropriata". Piuttosto, "dobbiamo entrambi rispondere in modo appropriato, come faremmo a un massiccio sforzo di spionaggio e chiarire che risponderemmo in modo molto più aggressivo a qualsiasi tentativo della Russia di condurre operazioni più offensive, inclusa la manipolazione o la distruzione dei dati".
Non è sorpreso che il Dipartimento dell'Energia abbia subito un colpo e abbia detto che gli Stati Uniti si infiltrerebbero nei sistemi di governo di un paese rivale se potessero. "Se potessimo accedere ai programmi e alle informazioni nucleari della Russia o della Cina, lo faremmo", ha detto Jaffer. "Pertanto, non dovremmo essere sorpresi che la National Nuclear Security Administration venga aggiunta all'elenco non più esclusivo di obiettivi che sono stati compromessi dalle recenti vulnerabilità di SolarWinds".
Gli esperti post Security avvertono del rischio a lungo termine legato alla violazione del Dipartimento dell'Energia sono apparsi per primi su SC Media .