Attacco SolarWinds Orion: come la supply chain è diventata l’arma cyber più pericolosa del 2020

Il 13 dicembre 2020 segna una delle date più critiche nella storia recente della cybersecurity globale. FireEye ha rivelato pubblicamente di essere stata vittima di un sofisticato attacco informatico, aprendo la strada alla scoperta di una compromissione ancora più ampia: l’attacco alla piattaforma SolarWinds Orion.

Il giorno successivo, il mondo IT ha compreso la portata reale dell’evento: non si trattava di un semplice breach, ma di un attacco alla supply chain software su scala globale.

Gli aggressori, attribuiti successivamente al gruppo APT29 (Cozy Bear), hanno compromesso il processo di build di SolarWinds Orion, inserendo codice malevolo in aggiornamenti software ufficiali distribuiti tra marzo e giugno 2020.

Oltre 18.000 clienti hanno installato inconsapevolmente una backdoor denominata SUNBURST.

Un supply chain attack colpisce un fornitore fidato per compromettere indirettamente migliaia di organizzazioni.

In questo caso:

• Il malware era firmato digitalmente
• Gli aggiornamenti erano legittimi
• Le difese tradizionali non rilevavano anomalie

Questo ha permesso agli attaccanti di infiltrarsi in:

• Dipartimento del Tesoro USA
• Dipartimento del Commercio
• Agenzie federali
• Grandi aziende Fortune 500

L’attacco SolarWinds ha cambiato radicalmente l’approccio alla sicurezza:

Le organizzazioni hanno accelerato l’adozione di modelli Zero Trust.

Verifica supply chain e Software Bill of Materials (SBOM) sono diventati centrali.

1. Monitorare traffico anomalo outbound
2. Implementare segmentazione di rete
3. Applicare autenticazione multifattore ovunque
4. Verificare fornitori terzi

L’attacco SolarWinds resterà nella storia come il punto di svolta della cybersecurity moderna. Ha dimostrato che anche i fornitori più affidabili possono diventare vettori di compromissione.