Il gigantesco attacco hacker a Microsoft Exchange, spiegato

All’inizio di marzo è stato scoperto uno degli attacchi hacker più gravi degli ultimi anni: riguarda Microsoft Exchange Server, il software che aziende e organizzazioni in tutto il mondo utilizzano per gestire email e calendari, e le vittime potrebbero essere decine o più probabilmente centinaia di migliaia.

L’attacco è stato compiuto da hacker che, secondo Microsoft, sarebbero collegati al governo della Cina: è cominciato a gennaio ed è stato scoperto a marzo, ma per molti versi non si è ancora concluso perché sono decine di migliaia i server che non hanno ancora installato i software diffusi da Microsoft per risolvere il problema, e che quindi sono ancora esposti a possibili violazioni.

Quello a Exchange è il secondo grave attacco hacker in pochi mesi, dopo quello noto come SolarWinds e compiuto da gruppi di hacker russi, che a dicembre aveva colpito numerose aziende e settori strategici del governo degli Stati Uniti. Anche nel caso di Exchange, gli Stati Uniti sono stati l’obiettivo principale, ma non l’unico, e questo ha provocato molta preoccupazione sulla preparazione del governo americano nell’affrontare le minacce digitali.

Cos’è Exchange
L’attacco hacker ha colpito Exchange, che è uno dei più diffusi software al mondo per la gestione dei server aziendali di email e calendari. Il software consente ai server di posta elettronica di creare nuovi indirizzi email per i dipendenti, di gestire la posta in arrivo e in uscita e così via. Ha anche un sistema di calendari sincronizzati, per fare in modo che tutta l’azienda sappia quando sono le riunioni, per esempio. Ci sono ovviamente molti altri software per i server di email, ma Exchange è decisamente il più diffuso, specie in ambito aziendale.

Exchange viene usato in due modi. Il primo è sul cloud: le email e gli altri dati sono conservati in server gestiti da Microsoft, e resi accessibili alle singole aziende da remoto. È il metodo preferito di molte grandi aziende, tra cui Facebook, che qualche anno fa ha trasferito tutti i suoi servizi interni di posta elettronica sui server di Microsoft. L’altro modo si chiama “on-premises”, sul posto, e significa che le aziende hanno i loro server privati, su cui fanno girare Exchange e su cui tengono tutti i loro dati.

Questo metodo è usato soprattutto da aziende medie e piccole o da organizzazioni e uffici pubblici, in parte perché è più economico: secondo un post del sito Lawfare, un’azienda da 1.000 dipendenti può risparmiare fino a 100 mila dollari (poco più di 80 mila euro) all’anno se gestisce i suoi server delle email “on-premises”.

L’attacco hacker
I server colpiti dall’attacco hacker sono stati quelli “on-premises”, e non quelli sul cloud. Gli hacker hanno usato alcune vulnerabilità non note di Exchange (le più gravi, quelle che in gergo si chiamano “zero-day”, con riferimento al tempo che hanno gli sviluppatori per ripararle prima che le scoprano gli hacker) per entrare nei server e ottenerne il controllo completo: una volta sfruttate le vulnerabilità, gli hacker potevano leggere le email, cancellarle, trasferirle e in generale controllare tutto il sistema.

Gli hacker potevano inoltre installare nei server violati una “web shell”, cioè un programma che consente di mantenere aperto l’accesso al sistema e di prenderne il controllo anche dopo che le vulnerabilità sono state chiuse.

L’attacco è stato rilevato per la prima volta il 6 gennaio dalla società di cybersicurezza Volexity. Gli esperti di Microsoft hanno avuto bisogno di qualche settimana per riconoscere il problema e trovare una contromisura, e si erano preparati a rilasciare una “patch”, cioè un aggiornamento correttivo che avrebbe eliminato le vulnerabilità, martedì 9 marzo: è una data standard perché tutti i secondi martedì del mese Microsoft rilascia gli aggiornamenti di sicurezza per Exchange (nell’azienda lo chiamano “Patch Tuesday”).

Nelle prime settimane dell’attacco, gli hacker si erano tenuti piuttosto cauti: avevano violato relativamente pochi server Exchange, cercando per quanto possibile di nascondere le proprie tracce. Ma verso la fine di febbraio, mentre Microsoft si preparava a rilasciare la patch e ad eliminare le vulnerabilità, il comportamento degli hacker è cambiato: forse preallertati del fatto che avrebbero perso l’accesso ai server, hanno cominciato ad attaccare in massa, in una maniera che gli esperti hanno definito «spericolata», installando “web shell” in più server possibili. Questo ha spinto Microsoft ad anticipare i tempi, e a diffondere la patch il 2 marzo.

In che modo gli hacker abbiano avuto notizia del fatto che Microsoft stava per eliminare le vulnerabilità è oggetto di indagine: una delle possibilità è che qualcuna delle aziende di cybersicurezza con cui Microsoft condivide le informazioni avesse al suo interno qualcuno che ha avvertito gli hacker.

Il risultato è stato che decine di migliaia o forse perfino centinaia di migliaia di server Exchange di aziende sono stati violati e potrebbero trovarsi una “web shell” installata al loro interno. Brian Krebs, un esperto di cybersicurezza che è stato tra i primi a descrivere l’attacco, ha scritto che le vittime potrebbero essere 30 mila negli Stati Uniti e 100 mila nel mondo, e che tra queste potrebbero esserci aziende, enti locali, banche, ospedali, università, uffici di polizia e così via. Una fonte ha detto al Wall Street Journal che le vittime potrebbero essere più di 250 mila.

Le aziende italiane vulnerabili sarebbero migliaia. Tra queste, questa settimana Tim Business ha inviato una comunicazione ai suoi clienti dicendo di essere stata vittima dell’attacco, e che sono stati trovati degli accessi non autorizzati su alcuni server.

Fermare un attacco come quello a Exchange è estremamente difficile per tre motivi.

Il primo è che, al contrario dei server sul cloud, che sono controllati direttamente da Microsoft, i server “on-premises”, cioè quelli attaccati, si trovano fisicamente all’interno delle aziende e sono gestiti dagli esperti informatici delle stesse. Questo significa che, per installare la patch ed eliminare le vulnerabilità, il gestore dei server di ogni singola azienda coinvolta deve farlo manualmente, e non tutte le aziende hanno le capacità tecniche o il personale per muoversi con l’efficienza e la rapidità necessarie. Il 12 marzo, secondo Microsoft, c’erano ancora 82 mila server nel mondo che non avevano la patch installata.

Il secondo motivo è che le patch distribuite da Microsoft (dopo quella iniziale ce ne sono state altre) eliminano le vulnerabilità ma non eliminano le eventuali “web shell” dai server già compromessi: significa che gli hacker potrebbero averne mantenuto l’accesso anche dopo l’installazione delle patch. Microsoft e alcuni ricercatori indipendenti hanno messo a disposizione degli strumenti per capire se nei propri server sia installata una “web shell”, ed eventualmente se ci sia modo di rimuoverla, ma anche così il server non è in sicurezza, perché non è possibile garantire che, usando la “web shell” iniziale, gli hacker non abbiano installato ulteriori metodi di accesso nascosti. L’unico modo per essere certi è eliminare tutto e ripristinare il server da zero.

Il terzo motivo è che la “web shell” è facile da sfruttare anche da terzi. L’attacco hacker è stato compiuto da un gruppo specifico di hacker cinesi ma è facilmente riproducibile, e in alcuni casi altri gruppi hacker sono riusciti ad avere accesso alla “web shell” installata dai cinesi, e per esempio a compiere attacchi di tipo “ransomware”: gli hacker prendono il controllo dei server, rendono inaccessibili le email dell’azienda e poi chiedono il pagamento di una somma di denaro per riavere le email.

Nelle ultime settimane ci sono stati diversi casi di ransomware legati all’attacco a Exchange, e ci sono almeno 10 gruppi hacker che stanno approfittando delle vulnerabilità usate inizialmente dai cinesi.

L’attacco dunque è particolarmente pericoloso per la natura diffusa e frammentaria degli obiettivi, ed è probabile che serviranno settimane o forse addirittura mesi per risolvere tutto. Questo senza considerare, ovviamente, i danni già fatti: le email lette e rubate dagli hacker potrebbero contenere informazioni di valore economico o strategico, di cui adesso si è perso il controllo.

Chi sono gli hacker
Microsoft ha detto praticamente da subito che il gruppo di hacker responsabile dell’attacco a Exchange è di origine cinese ed è «state-sponsored», cioè collegato in qualche modo al governo della Cina. Il governo cinese ha smentito.

Microsoft ha nominato questo gruppo Hafnium: si tratterebbe di hacker cinesi già noti e molto abili, che negli ultimi mesi hanno compiuto diversi attacchi con l’intento di trafugare informazioni riservate da varie organizzazioni come «centri di ricerca medica, studi legali, università, fornitori dell’esercito, centri studi e ONG». Il gruppo è molto sofisticato e capace di compiere attacchi pericolosi.

Non è ancora chiaro quale fosse l’obiettivo di Hafnium nell’attacco a Exchange. I ricercatori sono anche indecisi su come interpretare il comportamento del gruppo a partire da fine febbraio, quando ha cominciato a infettare più server possibile in maniera spericolata, anziché concentrarsi su pochi obiettivi di maggior valore.

Le preoccupazioni degli Stati Uniti
Fin dall’inizio di marzo il governo americano ha mostrato molta preoccupazione per l’attacco a Exchange. Poco dopo la notizia dell’attacco, Jennifer Psaki, portavoce della Casa Bianca, ha detto ai giornalisti in conferenza stampa: «Siamo preoccupati che ci sia un ampio numero di vittime», e ha aggiunto che l’attacco «potrebbe avere un impatto di lungo termine». Nel frattempo il Consiglio di sicurezza nazionale ha organizzato una task force per occuparsi della questione.

L’attacco a Exchange segue di pochi mesi quello, altrettanto grave, di SolarWinds, che fu compiuto da hacker russi e che fu un altro gravissimo colpo: in quel caso furono violati pochi obiettivi molto selezionati (una decina di agenzie governative americane e un centinaio di aziende), ma gli esperti di sicurezza del governo scoprirono con preoccupazione che gli hacker erano dentro ai loro sistemi forse da anni. L’attacco a Exchange è molto diverso e non collegato, ma i due eventi hanno una cosa in comune, oltre alla gravità: gli Stati Uniti non sono riusciti a prevenirli.

Secondo il New York Times, l’amministrazione Biden sta rivedendo il suo approccio alla cybersicurezza dopo i due attacchi, e in particolar modo avrebbe intenzione di rivedere il divieto, imposto a partire dal 2013 dopo gli scandali rivelati da Edward Snowden, di condurre attività di sorveglianza entro i confini americani. Questo divieto è stato sfruttato in gran parte degli attacchi hacker recenti, nei quali sono stati usati degli espedienti tecnici per fare in modo che l’origine dell’attacco risultassero gli Stati Uniti, anche se a compierli erano hacker russi o cinesi, in modo da evadere il controllo delle agenzie di sicurezza.