L’operatore di telecomunicazioni nazionale ucraino Ukrtelecom è stato colpito da un grave attacco informatico, che ha innescato un’interruzione della rete estesa su scala nazionale. La connessione a Internet ha subito un blackout di circa 15 ore.
Questo il commento di Toby Lewis, Global Head of Threat Analysis di Darktrace:
“In questo drammatico contesto, non sorprende che un grande Internet provider sia stato preso di mira. Interrompere le infrastrutture di telecomunicazione è una pratica che ci possiamo aspettare durante un’invasione militare e acquista un significato ben maggiore in questa guerra soprannominata “World War Wired”.
Ad ora abbiamo dettagli minimi sulla vicenda, ma l’analisi dell’attività di rete sembra mostrare un graduale declino della connettività, piuttosto che una caduta a picco del traffico tipica di attacchi DDoS o ransomware al nucleo della rete. Questo potrebbe indicare che siamo di fronte a un attacco che ha preso di mira la supply chain mettendo fuori gioco direttamente i dispositivi endpoint come i router domestici. Avevamo già osservato un attacco simile proprio il giorno in cui è iniziata l’invasione dell’Ucraina, quando è stata colpita la società statunitense di connessioni satellitari ViaSat, e in precedenza qualcosa di analogo è accaduto anche con la campagna Solarwinds Orion, dove il danno reale si è verificato solo dopo che gli aggiornamenti o le modifiche delle configurazioni fatte dagli hacker hanno raggiunto i clienti.
Alcune interruzioni possono in realtà essere il risultato anche di azioni di risposta all’incidente intraprese da Ukrtelecom. È possibile, infatti, che il provider abbia scelto di assegnare la priorità alla connessione delle infrastrutture critiche piuttosto che a clienti o aziende private, anche se tale scelta comporta conseguenze importanti.
Attacchi come questi, che prendono di mira la catena di approvvigionamento, sono sempre più diffusi e preoccupanti. Le supply chain globali offrono ai cybercriminali numerosi punti di vulnerabilità da testare e poi sfruttare durante gli attacchi nel tentativo di compromettere sistemi o apparecchiature sensibili. La sfida da affrontare e risolvere al più presto è ottenere una migliore visibilità su ciò che accade nelle complesse infrastrutture digitali di oggi, per identificare e intervenire sui potenziali attacchi non appena si verificano e prima che interrompano le operazioni”.