L’attacco informatico e #databreach subiti dal produttore di hardware #MSI Micro-Star International nell’aprile 2023 ha implicato conseguenze significative per l’azienda stessa, la sicurezza informatica e la supply chain.
L’attacco è stato inizialmente notificato il 6 aprile da Bleeping Computer, che ha riportato come il gruppo #ransomware Money Message avesse esfiltrato dati sensibili da MSI e richiedesse un riscatto di 4 milioni di dollari per evitare la pubblicazione di tali informazioni, avallando la richiesta di denaro con presunte immagini di cartelle con chiavi di autenticazione ed altri dati sensibili, ad ora stimati intorno ad 1,5 Terabyte.
La compromissione delle chiavi di autenticazione che validano la liceità di un autore e degli aggiornamenti con esse firmati, rappresenta un serio pericolo per la supply chain di MSI e per tutti coloro che aggiornano sporadicamente o non hanno ancora aggiornato i propri sistemi, mantenendo pertanto la vecchia chiave di autenticazione vulnerabile.
Questo evento mette in evidenza la debolezza delle infrastrutture critiche e la necessità di rafforzare le pratiche di sicurezza informatica. Senza un piano di backup adeguato per bloccare efficacemente le chiavi trapelate, come sembrerebbe nel caso di MSI, si creano opportunità per abili manipolatori di distribuire aggiornamenti dannosi e/o introdurre backdoor nei dispositivi interessati.
Nel comunicato giustamente erogato a seguito dell’incidente, premettendo di aver già messo in atto le misure di informazione, protezione e ripristino necessarie, MSI ha esortato i propri utenti ad impiegare aggiornamenti firmware/BIOS erogati unicamente dal proprio sito Web ufficiale e a non utilizzare file provenienti da fonti differenti dal sito Web ufficiale.
La minaccia è attualmente limitata ai clienti di MSI o ai rivenditori che offrono hardware MSI, ma è fondamentale che le persone coinvolte prestino particolare attenzione a qualsiasi aggiornamento del firmware, anche se firmato in modo valido. Ciò è dovuto al fatto che i cybercriminali potrebbero sfruttare le chiavi esposte per compromettere gli aggiornamenti legittimi, distribuendo malware o exploit che possano danneggiare i sistemi.
Come Ulteriore aggravante, sembrerebbe che gli hacker di Money Message siano riusciti ad acquisire anche una chiave di crittografia privata utilizzata in una versione di Intel Boot Guard distribuita da MSI ai propri clienti.
Intel Boot Guard è una funzionalità presente nell’attuale hardware Intel, progettato per impedire il caricamento di firmware dannoso come ad esempio i bootkit UEFI.
Le infezioni UEFI consentono ad un malware di essere caricato prima che il sistema operativo si avvii, aggirando pertanto le protezioni allocate e nascondendosi efficacemente dai controlli della maggior parte delle misure di sicurezza predisposte.
Sebbene gli exploit relativi a questo scenario richiedano conoscenze ed abilità tecniche, opportunità e risorse considerevoli, minimizzando implicitamente il rischio di impieghi su larga scala, potrebbero tuttavia essere impiegati in attacchi mirati con effetti imprevedibili.
Alla luce di questi eventi, le necessità di rafforzare la sicurezza e richiedere una valutazione del rischio a livello di supply chain, come previsto dalla direttiva NIS2, appaiono sempre più ragionevoli e necessarie, anche per le piccole e medie imprese.
È fondamentale che le aziende comprendano l’importanza di implementare pratiche solide di sicurezza informatica, tra cui la protezione delle chiavi di autenticazione, la pianificazione dei backup e l’adozione di misure di sicurezza avanzate per mitigare le minacce alla supply chain e proteggere i propri clienti da potenziali attacchi informatici.
In Italia, in cui le misure NIS2 non sono ancora largamente recepite, si rende basilare partire da efficaci servizi di incident response fisici e legali, di cyber educazione e sottoporso a periodici cicli di test delle proprie vulnerabilità, in ottica di continuità del lavoro e di conformità ai prossimi controlli.
#key #authenticationkey #supplychain #NIS2 #MoneyMessage #cyberthreat #cybersecurity #patch #MSI
Fonti:
