Migliaia di reti compromesse: il furto di credenziali che ha colpito Oracle, FedEx e la NATO

Una massiccia violazione dei dati segnalata da Ars Technica ha esposto le credenziali di accesso a migliaia di reti sensibili in tutto il mondo. Tra le vittime figurano colossi come Oracle, Lenovo e FedEx, insieme a un appaltatore della NATO e Fortinet. L'incidente rivela una sofisticazione operativa inquietante: gli attaccanti hanno utilizzato un cluster dedicato di 45 GPU per decifrare gli hash delle password e penetrare nei sistemi di autenticazione centralizzati delle organizzazioni colpite.

Chi

La ricerca è stata condotta da Hudson Rock, una società specializzata nel monitoraggio delle violazioni di dati, con il contributo del ricercatore Jeremiah Fowler (noto come Diachenko). Hudson Rock ha documentato come gli attaccanti abbiano operato su scala globale, colpendo infrastrutture critiche in almeno cinque paesi.

Cosa è successo

Gli attaccanti hanno iniziato intercettando gli hash di autenticazione SSL VPN da più reti. Il passo successivo è stato decisivo: hanno utilizzato un cluster GPU gestito tramite Hashtopolis—uno strumento open source per il cracking distribuito di password—per decifrare questi hash in modo sistematico.

La metodologia impiegata è risultata particolarmente sofisticata. Anziché eseguire un semplice attacco con dizionario, gli attaccanti hanno implementato un sistema ricorsivo a 12 livelli. Le password candidate provenivano da dizionari personalizzati contenenti fino a otto parole, pattern comuni della tastiera e regole di cracking avanzate. Ogni tentativo fallito veniva reintegrato nel ciclo successivo: quando una password veniva indovinata correttamente, veniva usata come "seme" per generare altri candidati, migliorando progressivamente l'efficacia dell'attacco.

Una volta ottenute le credenziali valide, gli attaccanti le hanno sfruttate per muoversi lateralmente all'interno delle reti, compromettendo gli ambienti Active Directory e altri sistemi di autenticazione centralizzati. I danni sono stati concreti e documentati: Hudson Rock ha confermato compromissioni complete della rete presso organizzazioni in Giappone, Taiwan, Vietnam, Iraq e Turchia. Il caso più grave riguarda un appaltatore della difesa turco affiliato alla NATO, da cui sono stati esfiltrati documenti classificati.

I paesi con il maggior numero di dispositivi compromessi risultano essere India, Stati Uniti, Taiwan, Messico, Turchia e Tailandia. I settori più colpiti includono servizi IT, materiali da costruzione, telecomunicazioni, ingegneria e attrezzature industriali.

Perché è importante

Questa violazione rappresenta un punto di rottura nella sofisticazione degli attacchi informatici. Non si tratta di un semplice furto di dati, ma di un'operazione coordinata che ha combinato risorse computazionali massicce con tecniche di cracking innovative. L'uso di 45 GPU dedicate per decifrare password su scala industriale dimostra che i gruppi di attaccanti moderni dispongono di infrastrutture comparabili a quelle di piccole aziende tech.

L'impatto è particolarmente grave per le organizzazioni critiche. Il furto di documenti classificati da un contractor NATO solleva questioni di sicurezza nazionale. Le aziende Fortune 500 come Oracle e FedEx vedono compromessa la loro reputazione e la fiducia dei clienti. Fortinet, che produce soluzioni di sicurezza, si trova in una posizione particolarmente delicata: il fatto che i suoi sistemi siano stati violati mina la credibilità della sua stessa offerta di sicurezza.

Per il contesto più ampio, questa violazione evidenzia una vulnerabilità strutturale: molte organizzazioni continuano a fare affidamento su VPN e autenticazione basata su password, tecnologie che, pur diffuse, rimangono esposte a questo tipo di attacchi brute-force su larga scala. La ricerca di Hudson Rock suggerisce che le difese tradizionali—anche quando implementate correttamente—non sono sufficienti contro avversari con risorse computazionali significative.

Cosa aspettarsi

Nei prossimi giorni e settimane, le organizzazioni colpite dovranno comunicare pubblicamente la violazione e notificare i clienti interessati, come richiesto dalle normative sulla protezione dei dati (GDPR in Europa, leggi statali negli USA). Ci si aspetta che le agenzie governative, in particolare quelle della NATO e dei paesi colpiti, avviino indagini formali per identificare gli attaccanti.

Dal punto di vista tecnico, osservare se le organizzazioni accelereranno l'adozione di autenticazione multi-fattore (MFA) e soluzioni di accesso a zero trust sarà indicativo della reazione del settore. Anche i fornitori di soluzioni di sicurezza come Fortinet dovranno dimostrare di aver rafforzato le loro difese.

Un dettaglio curioso: gli attaccanti hanno lasciato tracce forensi sui server utilizzati, errori operativi che gli esperti di sicurezza considerano dilettanteschi. Questo contrasto tra sofisticazione tecnica e negligenza operativa suggerisce che il gruppo potrebbe essere composto da specialisti del cracking reclutati per questa operazione, piuttosto che da una cellula criminale consolidata con esperienza in operazioni coperte.

La domanda aperta più rilevante rimane: quanti altri cluster GPU simili operano attualmente in modo non rilevato? E quante altre violazioni su questa scala potrebbero già essere in corso?