Riprendiamo il discorso di ieri su hacker e green pass parlamentari.

All’inizio i giornali hanno provato a raccontare che quello al sistema informatico della Regione Lazio fosse un attacco no-vax per sabotare la campagna vaccinale. Tuttavia, questa versione dei fatti era insostenibile: chiunque del settore sa che i dati sui vaccini delle Regioni vengono sincronizzati  tre volte al giorno con l’Anagrafe Nazionale Vaccini gestita dal generale Figliuolo.

Infatti la campagna vaccinale non si ferma perché Figliuolo fornisce in poche ore al Lazio le liste di vaccinati e prenotati del giorno prima. Vengono però sospese le nuove prenotazioni perché il sito web è offline.


La versione ufficiale cerca di chiudere il caso raccontando che si è trattato di un comune ransomware che prende in ostaggio i dati dei server aziendali. Le notizie trapelate in prima battuta però  smentirebbero questa circostanza: negli attacchi comuni con ransomware i team di hacker prendono il controllo di computer di cui ignorano l’identità grazie a vulnerabilità scoperte per caso sulla rete.

La rete viene scansionata con certi programmi (scanner) in cerca di vulnerabilità e si tratta di strumenti automatici, che non sono supervisionati dal team di hacker.

Una volta che un computer viene violato, il criminale potrebbe non sapere se ha bucato il server di un’università o quello di una banca. Non solo, ma questo genere di crimini potrebbe non prevedere nemmeno che si risalga all’identità della vittima: richiederebbe analisi forensi da parte del gruppo criminale molto dispendiose.

Invece su Il Messaggero del 3 agosto si riferisce in dettaglio che «l’accesso al CED  è avvenuto attraverso le credenziali VPN di un amministratore della rete, un dirigente di Frosinone della società LazioCrea, che affianca la Regione nei servizi per attività tecnico amministrative e che ha la qualifica di amministratore della rete. Gli hacker sono entrati dal suo pc personale, hanno infestato il sistema e criptato i dati. “Ho sempre rispettato tutti i protocolli di sicurezza, non ho commesso leggerezze”, ha spiegato il dipendente ai tecnici e agli investigatori della Polizia postale».

«Al momento, un solo dato è certo: la porta di ingresso dei criminali informatici al cuore virtuale della Regione Lazio, è stato il PC di un funzionario, in smart working dalla sua casa di Frosinone».

Continua Il Messaggero:

Sembrerebbe più un’operazione di cyberwarfare che una  rapina coi classici ransomware che colpiscono le aziende

«Non si sa ancora se il virus sia arrivato attraverso un sito sul quale il dipendente di Lazio Crea è andato a finire navigando in rete, mentre era collegato con il VPN, ossia la rete virtuale riservata e privata attraverso il quale un computer è connesso a un sistema chiuso. O se alla postazione, nella notte tra il 3 luglio e il primo agosto, ci fosse suo figlio o un familiare. Di certo la porta della Regione era aperta, forse la password era memorizzata e, come ha rilevato la Postale, per il Vpn non erano previsti due passaggi di identificazione. Misura prevista dalle basilari norme di sicurezza».

Ciò che conta ripetere è che – a maggior ragione se un gruppo di hacker ha ottenuto accesso per caso ad un pc privato di un operatore della piattaforma – non avrebbe mai potuto scoprire che quel computer privato fosse il punto di accesso al CED del Lazio. Perché la cosa avrebbe richiesto un’analisi forense del computer violato. E questa è un’operazione che si potrebbe fare soltanto se si ha già la certezza di essere entrati  su un bersaglio preciso. 

Quindi, il team di hacker ha violato il computer del funzionario sapendo già che sarebbe servito per accedere al CED del Lazio. Sembrerebbe più un’operazione di cyberwarfare che una  rapina coi classici ransomware che colpiscono le aziende.


Come abbiamo sopra visto, accedere al CED del Lazio per un team di hacker avrebbe avuto precise fonti di valore.

Abbiamo visto; era di dominio pubblico che i dati sulle vaccinazioni fossero replicati sull’Anagrafe Nazionale Vaccini. Dunque, il team criminale sapeva di non poter prendere in ostaggio la campagna vaccinale del Lazio o bloccare i green pass. Al massimo poteva pensare di interrompere le prenotazioni per qualche giorno.

Chi ha sferrato questo attacco sapeva che avrebbe trattato coi Servizi Segreti? 

Poteva dunque trattarsi di due fonti di valore atteso dal crimine: 

1)prendere in ostaggio dati non direttamente legati alla campagna vaccinale ed effettivamente  – citiamo l’esperto Matteo Navacci – sono andati perduti  «dieci anni di documenti regionali, necessari a garantire l’operatività. Al momento non si sa se la Regione o l’Italia intendono pagare il riscatto (ufficialmente no)». Mentre per tutto il resto dei dati sanitari sono stati recuperati  grazie ad un banale errore degli hacker: non hanno distrutto correttamente i dati: «Perché non abbiano criptato ma abbiano solo fatto wipe non è chiaro: forse i criminali non ne avevano tempo o non hanno voluto attirare l’attenzione; forse c’erano regole che impedivano la scrittura». In altre parole, non si spiega il comportamento dilettantistico di questi professionisti del crimine.

2) Forse la merce di scambio non erano i dati cifrati, ma la loro diffusione. Come fai ad essere certo che un gruppo di criminali non diffonda dei dati? Pagando periodicamente finchè i dati rimangono caldi. Ai criminali conveniva giocarsi questa opzione, appurato che sapevano esattamente dove avessero messo le mani.

Ma perché allora criptare i dati e non ricattare direttamente la vittima (in questo caso il governo italiano) senza fare scalpore e senza rendere pubblico l’attacco?

Chi ha sferrato questo attacco sapeva che avrebbe trattato coi Servizi Segreti? 

«Dietro l’attacco di questi giorni — ha detto Franco Gabrielli, sottosegretario con delega ai Servizi segreti — ci sono terroristi e anche Stati sovrani che hanno interesse ad acquisire dati, conoscenze e proprietà intellettuali».

In tal modo per accusare un onorevole qualsiasi di non essere vaccinato, basterebbe qualche data leak sul dark web. E dal 2 agosto sarebbe sempre colpa dei famosi hacker russi

«Al Copasir, è stata anche ascoltata Elisabetta Belloni direttrice del DIS  che ha elencato tutte le situazioni di massima criticità dovute appunto alle aggressioni sul web. Il presidente del Copasir Adolfo Urso ha voluto sottolineare che “l’intelligence si è mossa subito” e che la Belloni ha fornito “una relazione molto circostanziata e approfondita su tutti gli aspetti”». (Corriere della Sera, 5 agosto)

Però c’è una terza pista.  Da quando ufficialmente un gruppo criminale  ha potenzialmente sottratto i dati sensibili della Sanità del Lazio, da un momento all’altro potrebbero comparire sul web estratti degli archivi rubati.

In tal modo per accusare un onorevole qualsiasi di non essere vaccinato, basterebbe qualche data leak sul dark web. E dal 2 agosto sarebbe sempre colpa dei famosi hacker russi. 

Adesso che le liste dei dubbiosi le hanno loro, le liste le possono usare tutti.  Invece prima del 2 agosto i dubbiosi  erano protetti dalla Privacy. 

Di protezione adesso non ce n’è più per nessuno

Gian Battista Airaghi