Nelle scorse settimane, la piattaforma Kaseya è stata sfruttata come “cavallo di Troia” per attaccare con un ransomware migliaia di dispositivi gestiti.
Nell’articolo ripercorriamo le fasi salienti dell’attacco con il prezioso punto di vista del Direttore Tecnico di un importante Service Provider.
Chiara Ponti
Cos’è Kaseya?
Kaseya è una società della Florida che fornisce l’omonima piattaforma a moltissime aziende americane nonchè in tutto il mondo (tra cui anche importanti multinazionali ed enti governativi americani) pioniera e leader nel mercato dei software di gestione remota.
Per chi già non lo sapesse, Kaseya è un termine Cheyenne (popolazione di nativi americani) che significa “Servire e Proteggere”.
Cos’è accaduto in breve nell’attacco informatico a Kaseya?
A ridosso dello scorso 4 luglio (festa nazionale americana), un imponente attacco informatico è stato compiuto nei confronti di centinaia di aziende utilizzatrici della piattaforma di gestione remota Kaseya VSA.
Ecco i momenti salienti.
Era il 2 luglio scorso, quando verso le 22 circa ora italiana (02:00 PM EDT, ora locale), scattava l’allarme perché diversi server Kaseya VSA erano stati attaccati e utilizzati come veicolo di un ransomware per colpire l’intera catena di fornitura (supply chain).
Kaseya VSA oltre ad essere adoperato da molte organizzazioni per servizi interni, è infatti uno strumento molto diffuso tra i Service Provider per l’erogazione di servizi ai propri clienti.
Chi è il responsabile dell’attacco informatico?
Il responsabile dell’attacco è stato identificato nel famigerato “gruppo” russo REvil, noto per attacchi di grande portata.
A lanciare l’allarme è stata la Cybersecurity and Infrastructure Security Agency (CISA) la quale ha rilasciato un comunicato in cui annunciava di essersi attivata per risolvere l’attacco, consigliando a tutte le realtà coinvolte di spegnere immediatamente i server per evitare la violazione e di consultare il sito di Kaseya per restarne informati.
La stessa CIA è stata coinvolta sia nelle indagini, sia nella ricerca della soluzione, e lo stesso Presidente americano Joe Biden ha “minacciato” ritorsioni in caso di un comprovato coinvolgimento diretto della Russia (sospetto mandante).
L’approccio esemplare del CEO di Kaseya
Fred Voccola CEO di Kaseya non ha fatto mistero dell’attacco; anzi ha fornito con la massima trasparenza tutti i dettagli della questione e, attraverso il suo Staff, un valido supporto a tutti gli utilizzatori della piattaforma. Diverse sono state le interviste in TV e sui canali Social mettendoci, come si direbbe gergalmente, la faccia.
Come Sistemi HS ha gestito l’evento
A dar voce è Renato Castroreale in qualità di Direttore Tecnico di Sistemi HS che rappresenta un importante Gruppo della realtà piemontese, ritenuto – in ordine al numero dei dispositivi gestiti e per importanza di alcuni clienti – il più importante Service Provider italiano della piattaforma Kaseya nonché tra i primi in Europa avendo ricevuto, per ben cinque anni consecutivi, anche premi in qualità di “top performer”.
Il dibattito
CP: “Ne hanno già parlato in tanti. La sensazione però è che si sia affrontato l’argomento più in teoria che in pratica. Ci piacerebbe invece sapere cosa è successo in concreto e quali sono stati i passaggi nella gestione di questo preoccupante evento?”
RC: “Sì, ne posso parlare in pratica in quanto io stesso, insieme al mio valido Staff tecnico, abbiamo vissuto in prima linea questo tentato (fortunatamente per noi e per i nostri clienti) attacco. Abbiamo ricevuto l’allarme da Kaseya che ci consigliava di spegnere immediatamente i Server dedicati alla loro piattaforma, cosa che abbiamo attuato nel giro di qualche minuto.”
CP: “Ma volendo capire meglio, come siete riusciti a “neutralizzare” così velocemente l’attacco? Un attacco che se non fosse stato gestito in modo così repentino avrebbe potuto avere un impatto devastante anche in termini di Data Breach.”
RC: “Sì, è vero. Il rapido intervento nell’isolare i Server grazie al supporto dedicato e attivo h24, ci ha permesso di poter raccontare, oggi, questa disavventura con serenità. Peraltro, tengo ad aggiungere che l’infrastruttura dei Server Kaseya VSA è costantemente monitorata, aggiornata e protetta, e questo ci ha dato il tempo di resistere, di essere resilienti all’attacco. Per la gestione di questi eventi abbiamo seguito le migliori best practice di sicurezza essendo tra l’altro i nostri Sistemi certificati ISO 9001, ISO/IEC 27001, ISO/IEC 27017, ISO/IEC 27018.”
CP: “Come avete potuto ottenere la certezza che i vostri sistemi e quelli dei vostri clienti non fossero stati compromessi?”
RC: “Beh, innanzitutto abbiamo seguito le indicazioni del Produttore (e della CIA) che ci hanno in qualche modo “costretto” a mantenere la piattaforma inattiva per circa 10gg. A questo proposito, tengo a precisare che i servizi da noi forniti non sono mai stati comunque interrotti. Poi, subito dopo aver disattivato i Server, abbiamo provveduto ad una immediata verifica della situazione per capire se ci fossero state compromissioni, escludendo questa evenienza. Tale verifica è stata ripetuta più volte anche con strumenti successivamente messi a disposizione dal Produttore, con lo stesso esito favorevole.”
CP: “Si può dire che accadimenti di questa dimensione/portata richiedano non solo tempestività, ma anche una metodologia ferrea, quasi militaresca, step by step, prima di ritornare alla normalità?”
RC: “Sì è vero, le procedure specifiche seguono rigide prassi per la loro attuazione. È stato un lavoro di squadra, che ha richiesto efficienza e rapidità seguendo le procedure passo passo. Solo dopo aver ulteriormente irrobustito il perimetro di protezione e dopo aver installato tutti gli aggiornamenti che Kaseya ci ha fornito, abbiamo provveduto ad una graduale riattivazione dei sistemi, mantenendoli costantemente monitorati.”
CP: “Ecco, un’ulteriore domanda. In questa seconda fase di “riaccensione” che timori avevate?”
RC: “Nonostante le rassicurazioni del Produttore e l’evidenza dei test compiuti con successo, non abbiamo dato nulla per scontato. Sapevamo che eventuali problemi si sarebbero potuti presentare e per questo abbiamo scelto un cauto approccio per la riaccensione prima dei servizi interni e poi di quelli dei clienti che abbiamo coinvolto e tenuti aggiornati. I sistemi sono tornati a règime automaticamente essendo programmati per questo.”
CP: “Ancora una domanda. So che siete Gold Partner di Sophos rivendendo dei servizi specifici. Come vi ha potuto aiutare?”
RC: “Dunque, noi come Sistemi HS forniamo tra i tanti servizi anche quello di protezione end-point (sui singoli dispositivi) e perimetrale (router/firewall) grazie ai prodotti Sophos. Il Produttore ci ha garantito che se l’attacco avesse avuto effetto, il malware sarebbe comunque stato bloccato dai loro strumenti. Gli stessi Server che abbiamo spento per precauzione hanno le stesse protezioni, permettendoci una certa resilienza.”
Cosa dobbiamo imparare dall’attacco a Kaseya
Da sempre Sistemi HS crede nell’importanza dei servizi e in particolare in quelli di gestione remota.
Alla domanda: “Dovremmo rinunciare a questa tecnologia?”
La risposta, anche per voce del Direttore Tecnico appena intervistato, è chiara: “No!”
D’altra parte, i computer e dispositivi mobili che comunemente utilizziamo sono strapieni di agenti software, sviluppati per erogare servizi di ogni natura e genere: dagli stessi antivirus a quelli di condivisione dei file, spesso basati su ambienti cloud, i quali possono esporre ad analoghi rischi come quello in questione.
A ciò si aggiunge poi che la quantità/aggressività degli attacchi cibernetici è in costante aumento, anche su sistemi che non utilizzano agenti di gestione.
Se ci pensiamo, quante e-mail riceviamo ogni giorno con link dannosi (che non vanno selezionati e andrebbero bloccati prima di giungere all’utente)?
Quante volte i nostri sistemi informatici (dispositivi, software, ecc.) sono attaccati senza che neppure ce ne accorgiamo?
Altro non resta che accrescere in consapevolezza, investendo soprattutto in seri strumenti di prevenzione, protezione e ripristino, in formazione, e per ciò scegliendo partner tecnologici in grado di affiancare i clienti al meglio, in questo percorso.
Non dimentichiamoci peraltro che la maggior parte degli attacchi informatici, specie quelli legati ai software malevoli, sono per gli hackers un business: in questa “cyberwar” vince chi investe di più.
Risvolti privacy: e il GDPR?
Come già detto ed ora lo ripetiamo, non ci sono stati effetti negativi né impatti che abbiano potuto mettere a rischio la protezione dei dati.
É importante ribadirlo specie per una realtà – dice ancora il Direttore Tecnico – come la nostra.
CP: “Ma allora, se l’attacco avesse avuto effetto, si sarebbe potuto trattare di un Data Breach? E se così fosse stato con quali risvolti ed effetti?”
RC: “Evidentemente se l’attacco fosse riuscito a penetrare con successo le difese, anziché rimanere solo un “tentativo”, ci sarebbero stati effetti impattanti sull’integrità e la disponibilità dei dati personali (anche particolari), trattandosi di un ransomware.”
CP: “Una violazione dei dati personali di quella fatta, avrebbe richiesto anche altri adempimenti?”
RC: “Avremmo dovuto gestire un data breach e probabilmente anche una segnalazione ai soggetti interessati, con un notevole danno all’ immagine e di reputazione.”
CP: “Immagino. Ancora due domande. La prima, che ruolo ha avuto il DPO.”
RC: “Sistemi HS si è dotata già da tempo di un DPO che (il mio Staff ed io) abbiamo prontamente contattato per informarlo dei fatti. Sempre con lui abbiamo anche effettuato una valutazione dell’evento per escludere impatti di rilevanza privacy.
CP: “La seconda. Avete adoperato qualche strumento a supporto?”
RC: “Abitualmente utilizziamo GoPrivacy per la gestione delle valutazioni dei rischi relative sia alla privacy che ai Sistemi di Gestione da noi adottati. In questo caso, abbiamo utilizzato la parte dello strumento che consente la gestione dei Data Breach per effettuare una valutazione condivisa con il nostro DPO.”
CP: “Un’ultima domanda. Avete escluso il Data Breach, quali sono stati allora gli adempimenti per la gestione dell’incidente, sia interna sia verso i clienti coinvolti?”
RC: “Sempre con GoPrivacy, abbiamo dovuto aggiornare la nostra valutazione dei rischi per capire in che modo le misure di sicurezza aggiuntive adottate abbiano cambiato la nostra esposizione. Il risultato è stato quello di avere rassicurazioni sull’efficacia di tali misure. Abbiamo quindi provveduto a redigere un Incident Report inviandolo a tutti quei clienti che ne hanno fatto richiesta.”
Conclusioni e spunti convincenti
Bene, alla fine di questo vivace dibattito, possiamo dire che resistere ad attacchi informatici non è solo questione (come direbbero i fatalisti) di fortuna, ma di prontezza e resilienza, due “ingredienti” primari che denotano diligenza e buone prassi organizzative. Ma questo era solo un assaggio.
