Un’ondata di attacchi hacker ha travolto governi, università e aziende in tutto il mondo, sfruttando una falla critica nei server SharePoint di Microsoft, il sistema usato per condividere e gestire documenti sensibili all’interno delle organizzazioni. A dare l’allarme è stato il Washington Post, citando esperti di cybersicurezza e fonti governative statunitensi.
Si tratta di un attacco zero-day, ovvero basato su una vulnerabilità sconosciuta fino al momento della sua scoperta, ed ha già compromesso i server di almeno due agenzie federali statunitensi, società energetiche, un’università in Brasile, un’agenzia governativa in Spagna e perfino una compagnia di telecomunicazioni asiatica. Una falla invisibile, colpita con precisione chirurgica.
Un’ondata senza precedenti: colpiti anche enti locali e scuole
Secondo la società olandese Eye Security, sono state tracciate oltre 50 violazioni confermate. Tra gli obiettivi finiti nel mirino degli hacker figurano un parlamento statale degli Stati Uniti, diversi enti pubblici europei e un’agenzia governativa locale ad Albuquerque.
Negli Stati Uniti, in particolare, gli effetti si sono fatti sentire in modo trasversale. In un caso, un’agenzia pubblica ha perso l’accesso a una banca dati digitale destinata ai cittadini, con conseguenze dirette sulla trasparenza amministrativa. L’urgenza è tale che in Arizona le autorità statali, locali e tribali si sono riunite d’urgenza per coordinare le contromisure.
Una corsa contro il tempo senza patch disponibile
Il vero problema, per ora, è che Microsoft non ha ancora rilasciato una patch definitiva per le versioni 2016 e 2019 di SharePoint server. La società ha raccomandato agli utenti di disconnettere temporaneamente i server da internet o di adottare modifiche tecniche per arginare le falle. SharePoint Online, la versione cloud integrata in Microsoft 365, non è stata interessata dall’attacco.
“Chiunque abbia un server SharePoint ospitato internamente ha un problema”, ha dichiarato Adam Meyers, vicepresidente di CrowdStrike. L’allerta è stata estesa anche a enti educativi con il Center for Internet Security che ha contattato un centinaio di organizzazioni, tra cui scuole e università, per segnalare possibili compromissioni.
Il ruolo di spoofing e furto delle chiavi di accesso
Gli esperti temono che l’attacco non si sia limitato al furto di dati, ma abbia incluso il furto di chiavi crittografiche che permetterebbero agli hacker di rientrare nei sistemi anche dopo eventuali aggiornamenti. In alcuni casi, gli aggressori avrebbero utilizzato tecniche di spoofing, mascherandosi da soggetti fidati per aggirare le protezioni dei sistemi.
“La patch arriverà, ma non aiuterà chi è stato già compromesso nelle ultime 72 ore”, ha spiegato un ricercatore sotto anonimato. Il rischio è che, anche dopo gli aggiornamenti, i sistemi rimangano vulnerabili a futuri accessi non autorizzati.
Microsoft sotto accusa, ancora una volta
Non è la prima volta che Microsoft finisce nell’occhio del ciclone. Già nel 2023, l’azienda fu criticata per gravi falle di sicurezza che permisero ad hacker cinesi di accedere alle e-mail di funzionari federali Usa, inclusa l’allora segretaria al Commercio, Gina Raimondo.
Negli ultimi giorni, il colosso di Redmond ha dovuto anche fare i conti con un’inchiesta di ProPublica che ha rivelato l’impiego di ingegneri basati in Cina per la gestione di servizi cloud destinati al Dipartimento della Difesa americano. A seguito della rivelazione, il Pentagono ha ordinato una revisione completa degli appalti cloud.
Indagini in corso e allerta globale
L’Fbi ha confermato di essere a conoscenza dell’attacco e di collaborare con le agenzie federali e partner privati. Anche il governo canadese e quello australiano stanno conducendo indagini congiunte. Secondo il Dipartimento della Sicurezza Interna statunitense, gli hacker avrebbero sfruttato una vulnerabilità simile a quella corretta da Microsoft all’inizio di luglio, segno di una strategia mirata e ben organizzata.
Per ora, l’identità degli aggressori e i loro obiettivi restano ignoti. Ma l’ampiezza dell’operazione e la varietà degli obiettivi suggeriscono un attacco coordinato di ampia portata, con possibili implicazioni geopolitiche ancora da chiarire.