Connettiti con Renovato 21

Guerra cibernetica

Ipotesi sugli Hacker vaccinali

Pubblicato

il

 

Riprendiamo il discorso di ieri su hacker e green pass parlamentari.

 

All’inizio i giornali hanno provato a raccontare che quello al sistema informatico della Regione Lazio fosse un attacco no-vax per sabotare la campagna vaccinale. Tuttavia, questa versione dei fatti era insostenibile: chiunque del settore sa che i dati sui vaccini delle Regioni vengono sincronizzati  tre volte al giorno con l’Anagrafe Nazionale Vaccini gestita dal generale Figliuolo.

 

Infatti la campagna vaccinale non si ferma perché Figliuolo fornisce in poche ore al Lazio le liste di vaccinati e prenotati del giorno prima. Vengono però sospese le nuove prenotazioni perché il sito web è offline.


La versione ufficiale cerca di chiudere il caso raccontando che si è trattato di un comune ransomware che prende in ostaggio i dati dei server aziendali. Le notizie trapelate in prima battuta però  smentirebbero questa circostanza: negli attacchi comuni con ransomware i team di hacker prendono il controllo di computer di cui ignorano l’identità grazie a vulnerabilità scoperte per caso sulla rete.

 

La rete viene scansionata con certi programmi (scanner) in cerca di vulnerabilità e si tratta di strumenti automatici, che non sono supervisionati dal team di hacker.

 

Una volta che un computer viene violato, il criminale potrebbe non sapere se ha bucato il server di un’università o quello di una banca. Non solo, ma questo genere di crimini potrebbe non prevedere nemmeno che si risalga all’identità della vittima: richiederebbe analisi forensi da parte del gruppo criminale molto dispendiose.

 

Invece su Il Messaggero del 3 agosto si riferisce in dettaglio che «l’accesso al CED  è avvenuto attraverso le credenziali VPN di un amministratore della rete, un dirigente di Frosinone della società LazioCrea, che affianca la Regione nei servizi per attività tecnico amministrative e che ha la qualifica di amministratore della rete. Gli hacker sono entrati dal suo pc personale, hanno infestato il sistema e criptato i dati. “Ho sempre rispettato tutti i protocolli di sicurezza, non ho commesso leggerezze”, ha spiegato il dipendente ai tecnici e agli investigatori della Polizia postale».

 

«Al momento, un solo dato è certo: la porta di ingresso dei criminali informatici al cuore virtuale della Regione Lazio, è stato il PC di un funzionario, in smart working dalla sua casa di Frosinone».

 

Continua Il Messaggero:

 

Sembrerebbe più un’operazione di cyberwarfare che una  rapina coi classici ransomware che colpiscono le aziende

«Non si sa ancora se il virus sia arrivato attraverso un sito sul quale il dipendente di Lazio Crea è andato a finire navigando in rete, mentre era collegato con il VPN, ossia la rete virtuale riservata e privata attraverso il quale un computer è connesso a un sistema chiuso. O se alla postazione, nella notte tra il 3 luglio e il primo agosto, ci fosse suo figlio o un familiare. Di certo la porta della Regione era aperta, forse la password era memorizzata e, come ha rilevato la Postale, per il Vpn non erano previsti due passaggi di identificazione. Misura prevista dalle basilari norme di sicurezza».



Ciò che conta ripetere è che – a maggior ragione se un gruppo di hacker ha ottenuto accesso per caso ad un pc privato di un operatore della piattaforma – non avrebbe mai potuto scoprire che quel computer privato fosse il punto di accesso al CED del Lazio. Perché la cosa avrebbe richiesto un’analisi forense del computer violato. E questa è un’operazione che si potrebbe fare soltanto se si ha già la certezza di essere entrati  su un bersaglio preciso. 

 

Quindi, il team di hacker ha violato il computer del funzionario sapendo già che sarebbe servito per accedere al CED del Lazio. Sembrerebbe più un’operazione di cyberwarfare che una  rapina coi classici ransomware che colpiscono le aziende.


Come abbiamo sopra visto, accedere al CED del Lazio per un team di hacker avrebbe avuto precise fonti di valore.



Abbiamo visto; era di dominio pubblico che i dati sulle vaccinazioni fossero replicati sull’Anagrafe Nazionale Vaccini. Dunque, il team criminale sapeva di non poter prendere in ostaggio la campagna vaccinale del Lazio o bloccare i green pass. Al massimo poteva pensare di interrompere le prenotazioni per qualche giorno.

Chi ha sferrato questo attacco sapeva che avrebbe trattato coi Servizi Segreti? 

 

Poteva dunque trattarsi di due fonti di valore atteso dal crimine: 

 

1)prendere in ostaggio dati non direttamente legati alla campagna vaccinale ed effettivamente  – citiamo l’esperto Matteo Navacci – sono andati perduti  «dieci anni di documenti regionali, necessari a garantire l’operatività. Al momento non si sa se la Regione o l’Italia intendono pagare il riscatto (ufficialmente no)». Mentre per tutto il resto dei dati sanitari sono stati recuperati  grazie ad un banale errore degli hacker: non hanno distrutto correttamente i dati: «Perché non abbiano criptato ma abbiano solo fatto wipe non è chiaro: forse i criminali non ne avevano tempo o non hanno voluto attirare l’attenzione; forse c’erano regole che impedivano la scrittura». In altre parole, non si spiega il comportamento dilettantistico di questi professionisti del crimine.

 

2) Forse la merce di scambio non erano i dati cifrati, ma la loro diffusione. Come fai ad essere certo che un gruppo di criminali non diffonda dei dati? Pagando periodicamente finchè i dati rimangono caldi. Ai criminali conveniva giocarsi questa opzione, appurato che sapevano esattamente dove avessero messo le mani.

 


Ma perché allora criptare i dati e non ricattare direttamente la vittima (in questo caso il governo italiano) senza fare scalpore e senza rendere pubblico l’attacco?

 

Chi ha sferrato questo attacco sapeva che avrebbe trattato coi Servizi Segreti? 

 

«Dietro l’attacco di questi giorni — ha detto Franco Gabrielli, sottosegretario con delega ai Servizi segreti — ci sono terroristi e anche Stati sovrani che hanno interesse ad acquisire dati, conoscenze e proprietà intellettuali».

In tal modo per accusare un onorevole qualsiasi di non essere vaccinato, basterebbe qualche data leak sul dark web. E dal 2 agosto sarebbe sempre colpa dei famosi hacker russi

 

«Al Copasir, è stata anche ascoltata Elisabetta Belloni direttrice del DIS  che ha elencato tutte le situazioni di massima criticità dovute appunto alle aggressioni sul web. Il presidente del Copasir Adolfo Urso ha voluto sottolineare che “l’intelligence si è mossa subito” e che la Belloni ha fornito “una relazione molto circostanziata e approfondita su tutti gli aspetti”». (Corriere della Sera, 5 agosto)

 


Però c’è una terza pista.  Da quando ufficialmente un gruppo criminale  ha potenzialmente sottratto i dati sensibili della Sanità del Lazio, da un momento all’altro potrebbero comparire sul web estratti degli archivi rubati.

 

In tal modo per accusare un onorevole qualsiasi di non essere vaccinato, basterebbe qualche data leak sul dark web. E dal 2 agosto sarebbe sempre colpa dei famosi hacker russi. 

 

Adesso che le liste dei dubbiosi le hanno loro, le liste le possono usare tutti.  Invece prima del 2 agosto i dubbiosi  erano protetti dalla Privacy. 

 

Di protezione adesso non ce n’è più per nessuno

 

 

Gian Battista Airaghi





Continua a leggere

Guerra cibernetica

20 mila sistemi compromessi: l’Intelligence olandese accusa la Cina di cyber spionaggio

Pubblicato

il

Da

Il servizio di Intelligence e Sicurezza Militare olandese (MIVD) ha segnalato che le conseguenze di una campagna di spionaggio informatico cinese, scoperta all’inizio di quest’anno, erano molto più gravi di quanto inizialmente previsto. Tra il 2022 e il 2023, gli hacker avrebbero compromesso 20.000 sistemi di sicurezza informatica Fortinet FortiGate in tutto il mondo, sfruttando una vulnerabilità critica. Lo riporta il sito Redhotcyber.

 

Nel febbraio 2024, il MIVD, insieme al Servizio generale di Intelligence e Sicurezza olandese (AIVD), ha rilasciato un rapporto secondo il quale hacker cinesi avrebbero utilizzato una vulnerabilità RCE critica in FortiOS/FortiProxy (CVE-2022-42475) per diversi mesi.

 

Di conseguenza, gli aggressori hanno installato il trojan di accesso remoto Coathanger sui dispositivi compromessi, e successivamente è stato riportato che l’attacco ha coinvolto anche il Ministero della Difesa olandese.

 

Secondo il MIVD, circa 14.000 dispositivi sarebbero stati compromessi da un singolo gruppo di hacker cinesi. Gli obiettivi di questi attacchi includevano dozzine di governi occidentali, organizzazioni internazionali e numerose aziende del settore della difesa.

Iscriviti al canale Telegram

Gli esperti avvertono che Coathanger, il trojan utilizzato, è in grado di «sopravvivere» ai riavvii del sistema e agli aggiornamenti del firmware, garantendo agli aggressori un accesso continuo ai sistemi compromessi. «Anche se la vittima installa le patch FortiGate, gli aggressori mantengono comunque l’accesso», affermano i rappresentanti del MIVD.

 

In totale, gli hacker hanno avuto accesso a 20.000 sistemi FortiGate in tutto il mondo tra il 2022 e il 2023. Inoltre, gli attacchi sono iniziati diversi mesi prima che venissero divulgate le informazioni relative alla vulnerabilità CVE-2022-42475.

 

Il MIVD ritiene che gli hacker cinesi continuino ad avere accesso a molte delle organizzazioni colpite, poiché Coathanger è estremamente difficile da rilevare. Il malware intercetta le chiamate di sistema per nascondere la propria presenza.

 

«Non è noto quante vittime abbiano effettivamente installato malware. I servizi segreti olandesi e l’NCSC ritengono probabile che l’attore statale possa potenzialmente espandere il proprio accesso a centinaia di vittime in tutto il mondo ed eseguire ulteriori azioni come il furto di dati» si legge nel comunicato. «Anche con il rapporto tecnico sul malware COATHANGER, le infezioni dell’attore sono difficili da identificare e rimuovere. L’NCSC e i servizi segreti olandesi affermano quindi che è probabile che l’attore statale abbia ancora accesso ai sistemi di un numero significativo di vittime».

 

Olanda e Cina si trovano si sono trovate l’una contro l’altra anche per un’altra storia recente che riguarda gli equilibri informatici mondiali.

 

Come riportato da Renovatio 21, le fabbriche di microchip a Taiwan potrebbero essere chiuse da remoto grazie ad un kill switch, un interruttore segreto che può fermarne l’attività presenti nelle macchine fornite a Formosa da un’azienda olandese, la ASML. Tali macchine, grandi come un autobus e dal costo di circa 217 milioni di dollari cadauna, utilizzano onde luminose ad alta frequenza per stampare i chip più avanzati al mondo.

 

«L’ASML ha rassicurato i funzionari sulla sua capacità di disabilitare le macchine da remoto quando il governo olandese ha incontrato l’azienda sulla minaccia, hanno detto altri due. I Paesi Bassi hanno effettuato simulazioni su una possibile invasione per valutare meglio i rischi, hanno aggiunto» ha scritto Bloomberg citando funzionari anonimi dell’amministrazione USA.

 

Il governo neerlandese aveva già imposto restrizioni all’ASML, impedendo la vendita di macchine EUV alla Cina comunista.

Iscriviti alla Newslettera di Renovatio 21

SOSTIENI RENOVATIO 21


 

Continua a leggere

Guerra cibernetica

La NATO: un ciberattacco potrebbe far scattare l’Articolo 5

Pubblicato

il

Da

Un attacco su larga scala contro un membro della NATO, sponsorizzato dallo Stato, potrebbe far scattare la clausola di difesa collettiva prevista dall’articolo 5 del blocco e provocare una risposta militare, ha detto sabato il presidente del comitato militare della NATO, l’ammiraglio Rob Bauer.   Il Bauer ha espresso le sue osservazioni allo Shangri-La Dialogue, una conferenza annuale sulla sicurezza organizzata dall’Istituto internazionale per gli studi strategici (IISS) a Singapore. Parlando delle minacce alla sicurezza informatica, l’ammiraglio ha riaffermato la disponibilità del blocco a rispondere militarmente, anche a un attacco virale.   «Nella NATO, abbiamo concordato tra tutti gli alleati che, in linea di principio, un attacco informatico può essere l’inizio di una procedura prevista dall’Articolo 5. Quindi non si tratta solo di un attacco fisico, ma anche di un attacco informatico che può costituire la base di un dibattito sull’articolo 5 e ovviamente dar luogo a procedure successive», ha affermato Bauer.

Sostieni Renovatio 21

Tuttavia, una risposta collettiva a un attacco informatico potrebbe essere soggetta a diverse incertezze, ha ammesso. A differenza del caso di un attacco «fisico», potrebbe essere difficile determinare chi c’era esattamente dietro o se era coinvolto un attore a livello statale.   «Devi attribuire l’attacco a qualcuno, voglio dire, se non sai chi ti ha attaccato è molto difficile dichiarare guerra a – a chi lo fai?»   Un potenziale attacco informatico, anche se dimostrato essere sponsorizzato dallo stato, dovrebbe essere sufficientemente dirompente da giustificare una risposta militare, ha suggerito Bauer.   «Bisogna considerare quanto sia dirompente per la società, perché questo è un attacco al nostro spazio informativo, per così dire. Se ciò significa che i servizi critici essenziali per le nostre società sono messi in pericolo in modo tale che le società non sono più in grado di funzionare, allora ci si avvicina al punto in cui si agirà in un modo che è vicino ad agire su un attacco fisico» ha spiegato l’uomo NATO.   Come riportato da Renovatio 21, di recente la Russia ha lamentato di essere circondata da laboratori di guerra cibernetica occidentali.   Il blocco dei Paesi dell’Alleanza Atlantica avverte da tempo che un «grave attacco informatico» da parte di «attori malintenzionati» potrebbe portare all’attivazione dell’articolo 5. Le condizioni esatte per attivare la clausola di difesa collettiva attraverso un attacco digitale, tuttavia, rimangono vaghe e non sono mai state chiarite in dettaglio.   La clausola di difesa collettiva è stata invocata dal blocco solo una volta, all’indomani degli attacchi dell’11 settembre agli Stati Uniti.   Come riportato da Renovatio 21, la Corea del Sud è entrata con il Giappone nel ramo di difesa cibernetica della NATO, scatenando le ire della Repubblica Popolare Cinese.   A marzo la Nuova Zelanda ha accusato Pechino di aver hackerato il suo Parlamento. Sei mesi fa era stata a sua volta colpita la Industrial and Commercial Bank of China (ICBC), la più grande banca del mondo, che si mormora abbia pure pagato un riscatto dopo essere arrivata a fare operazioni finanziarie in USA via chiavetta USB.   Un massiccio attacco cibernetico cinese avrebbe colpito la base americana di Guam, nel Pacifico, l’anno passato.

Aiuta Renovatio 21

Lo scorso dicembre hacker legati ad Israele hanno rivendicato un attacco contro il sistema informatico dei benzinai in Iran.   Come riportato da Renovatio 21, ad agosto 2023 hacker nordcoreani del gruppo Kimsuky hanno tentato di attaccare una società sudcoreana che fornisce servizi di simulazione al computer per esercitazioni congiunte Corea del Sud-USA e hanno tentato di effettuare un attacco informatico contro infrastrutture militari   Il Gruppo Kimsuky avrebbe attaccato il diffuso sistema di posta elettronica Gmail durante l’estate 2022, rubando dati della posta tramite estensioni del browser, ha dichiarato la società di cibersicurezza Volexity.   Due mesi fa gli USA hanno vietato l’antivirus Kaspersky, prodotto russo più usato nel mondo per difendere PC. Poche settimane prima Microsoft aveva accusato un gruppo di hacker legati a Mosca di aver attaccato il sistema di posta elettronica aziendale del colosso di Bill Gates.   A febbraio un potente ciberattacco aveva paralizzato l’intero sistema delle farmacie americane. Poco prima un attacco informatico aveva colpito la più grande società di mutui non bancari negli USA. Un episodio particolare si è avuto sei mesi fa quando un gruppo di sedicenti hacker gay «furry» (cioè appartenenti ad una sottocultura che si traveste da pupazzi pelosi giganti») ha colpito i sistemi informatici di un laboratorio nucleare americano.   Un documento governativo britannico ha avvertito che il Regno Unito rischia una «catastrofe informatica» in «qualsiasi momento».

Iscriviti alla Newslettera di Renovatio 21

SOSTIENI RENOVATIO 21
   
Continua a leggere

Guerra cibernetica

Mosca accusa: la NATO sta circondando la Russia con una rete di cyber laboratori

Pubblicato

il

Da

La NATO sta cercando di circondare la Russia con una rete di cyber-laboratori come parte della sua guerra ibrida contro il paese, ha avvertito il rappresentante speciale del presidente russo per la cooperazione internazionale sulla sicurezza dell’informazione, Artur Lyukmanov.

 

Il blocco guidato dagli Stati Uniti lavora da tempo allo sviluppo di modi per affrontare la Russia nell’infosfera, ha detto Lyukmanov in un’intervista a RIA-Novosti sabato.

 

L’Ucraina è stata il suo «principale banco di prova», con gli hacker del Paese «che hanno compiuto atti di sabotaggio elettronico sotto la stretta guida dei curatori della NATO», ha detto.

Sostieni Renovatio 21

La Russia è a conoscenza che «intere unità dei servizi segreti e delle forze armate occidentali vengono inviate a Kiev» per assistere gli ucraini nelle attività di hacking, ha aggiunto il diplomatico, che è anche a capo del Dipartimento per la sicurezza internazionale delle informazioni presso il Ministero degli Esteri russo.

 

«Non è un segreto che l’alleanza sta formando un’intera rete di laboratori informatici lungo i confini russi – in Estonia, Lettonia, Finlandia, Romania», ha sottolineato Lyukmanov.

 

Secondo il diplomatico, in futuro la NATO prevede di aprire tali strutture anche in Georgia e Moldavia, che non fanno parte dell’Unione.

 

«Sotto gli auspici del Pentagono vengono svolte sistematicamente esercitazioni informatiche, durante le quali vengono testati scenari di confronto con [la Russia] nel regno digitale», ha affermato.

 

All’inizio di questo mese, il Cyber ​​Command degli Stati Uniti ha organizzato l’esercitazione Cyber ​​Flag 2024, in una base nel Suffolk, in Virginia, riporta RT. Le esercitazioni hanno coinvolto gli operatori informatici americani e i loro omologhi di 18 membri della NATO e stati partner, che si sono formati per individuare le minacce informatiche e identificare soluzioni per proteggere le reti.

 

Lunedì il presidente russo Vladimir Putin ha affermato che dovrebbe essere istituito un sistema statale di protezione dei dati poiché il numero di attacchi informatici contro il Paese è in aumento dallo scoppio del conflitto ucraino.

 

«Oggi possiamo già dire che l’aggressione informatica contro di noi… è fallita. In generale, eravamo pronti per questo attacco, e questo è il risultato del lavoro sistematico svolto sul campo negli ultimi anni», ha detto Putin.

 

Il mondo della guerra cibernetica internazionale ha registrato negli ultimi anni sviluppi ed episodi eclatanti.

 

Come riportato da Renovatio 21, la Corea del Sud è entrata con il Giappone nel ramo di difesa cibernetica della NATO, scatenando le ire della Repubblica Popolare Cinese.

 

A marzo la Nuova Zelanda ha accusato Pechino di aver hackerato il suo Parlamento. Sei mesi fa era stata a sua volta colpita la Industrial and Commercial Bank of China (ICBC), la più grande banca del mondo, che si mormora abbia pure pagato un riscatto dopo essere arrivata a fare operazioni finanziarie in USA via chiavetta USB.

 

Un massiccio attacco cibernetico cinese avrebbe colpito la base americana di Guam, nel Pacifico, l’anno passato.

Aiuta Renovatio 21

Lo scorso dicembre hacker legati ad Israele hanno rivendicato un attacco contro il sistema informatico dei benzinai in Iran.

 

Come riportato da Renovatio 21, ad agosto 2023 hacker nordcoreani del gruppo Kimsuky hanno tentato di attaccare una società sudcoreana che fornisce servizi di simulazione al computer per esercitazioni congiunte Corea del Sud-USA e hanno tentato di effettuare un attacco informatico contro infrastrutture militari

 

Il Gruppo Kimsuky avrebbe attaccato il diffuso sistema di posta elettronica Gmail durante l’estate 2022, rubando dati della posta tramite estensioni del browser, ha dichiarato la società di cibersicurezza Volexity.

 

Due mesi fa gli USA hanno vietato l’antivirus Kaspersky, prodotto russo più usato nel mondo per difendere PC. Poche settimane prima Microsoft aveva accusato un gruppo di hacker legati a Mosca di aver attaccato il sistema di posta elettronica aziendale del colosso di Bill Gates.

 

A febbraio un potente ciberattacco aveva paralizzato l’intero sistema delle farmacie americane. Poco prima un attacco informatico aveva colpito la più grande società di mutui non bancari negli USA. Un episodio particolare si è avuto sei mesi fa quando un gruppo di sedicenti hacker gay «furry» (cioè appartenenti ad una sottocultura che si traveste da pupazzi pelosi giganti») ha colpito i sistemi informatici di un laboratorio nucleare americano.

 

Un documento governativo britannico ha avvertito che il Regno Unito rischia una «catastrofe informatica» in «qualsiasi momento».

 

Il resto del mondo, probabilmente, pure.

Iscriviti alla Newslettera di Renovatio 21

SOSTIENI RENOVATIO 21


Immagine creata artificialmente

Continua a leggere

Più popolari