Attacco hacker a email Microsoft: colpite 1.000 aziende bresciane

L’attacco hacker al software di posta elettronica Exchange di Microsoft è passato quasi sotto traccia. Non ha fatto notizia (se non tra gli addetti ai lavori), molto probabilmente perchè al momento non si registrano danni diretti alle aziende. Ma i problemi potrebbero arrivare in un futuro vicinissimo. Andiamo con ordine.

Lo scorso 2 marzo un dirigente Microsoft aveva rivelato, attraverso un post sul sito ufficiale, una falla nel sistema di posta elettronica Exchange: vulnerabilità che, a quanto pare, è stata sfruttata da un gruppo di cyber criminali cinesi (li chiamano Hafnium) che hanno così potuto accedere alla e-mail di migliaia di clienti. Ad oggi si stima la compromissione di 250.000 server Exchange, numero in continua crescita. Si tratta perlopiù di aziende e organizzazioni governative, tra i nomi eccellenti c’è quello dell’Eba, l’Autorità Bancaria Europea che per precauzione ha messo offline i sistemi di posta. Anche Tim Business con una nota ha informato i suoi clienti che i server di posta sono stati probabilmente compromessi. Sempre Tim ha informato di avere prontamente installato la patch rilasciata da Microsoft.

Il pericolo back-door. L’Italia è il quinto Paese più interessato al mondo da questo attacco e nella nostra provincia si calcola potrebbero essere quasi un migliaio le realtà colpite. Al sicuro solo le aziende che hanno portato i propri dati di posta in cloud. «È una bomba ad orologeria, che potrebbe attivarsi da un momento all’altro - dichiara Giancarlo Gervasoni di ZeroUno Informatica, società bresciana specializzata in cybersecurity -. Abbiamo analizzato un centinaio di aziende, 50 sono risultate protette, le restanti le abbiamo sottoposte a attenta analisi: 18 hanno registrato tracce dell’attacco e 9 di queste avevano installato delle back-door, ovvero delle porte segrete di accesso, che sono state rimosse». Il pericolo è rappresentato dalle back-door, ingressi nascosti che consentono ai cyber criminali di entrare indisturbati nel sistema ed insinuarsi in maniera profonda in vista di un possibile attacco.

«I pericoli sono due - spiega il manager -, ottenere informazioni riservate dell’organizzazione quali e-mail, account e persino informazioni sulle password degli utenti. Ma anche l’esecuzione di codice arbitrario potrebbe comportare l’avvio di un malware anhe settimane dopo l’attacco.

Cosa si può fare. «Il primo passo è l’esecuzione di tool specifici di Microsoft. Questi strumenti analizzano vari indici di compromissione e verificano se e quali vulnerabilità sono state sfruttate - spiega Gervasoni - . Si tenga presente che un esito negativo non è garanzia, gli attaccanti potrebbero aver coperto le tracce». «I tool diagnostici identificano la potenziale compromissione, ma non sono in grado di fornire informazioni su quali siano le operazioni che hanno compiuto gli hacker e sulla loro presenza all’interno della rete. Ci aspettiamo che una percentuale del 15-20% di server "potenzialmente compromessi" sia plausibile». La situazione è tutt’ora in evoluzione e le prossime settimane saranno cruciali per capire quali attachi verranno sferrati. Al momento è meglio restare in guardia.