Attacco informatico alla Regione Lazio: chi, perchè e come?

Aperto da Eutidemo, 03 Agosto 2021, 10:47:20 AM

Discussione precedente - Discussione successiva

Eutidemo

E' ancora troppo presto per sapere qualcosa di certo circa l'attacco informatico subito dalla Regione Lazio; però, secondo me, al riguardo, qualche generica considerazione si può fare già adesso.

CHI?
La domanda è molto difficile, anche perchè:
- se è già complicato  capire chi ha materialmente effettuato l'"hackeraggio";
- è ancora più arduo capire se l'"hacker" ha operato in proprio, oppure per conto di qualcun altro.
Ed infatti, quando c'è un cadavere, non sempre il sicario corrisponde al mandante.
Per complicare ulteriormente le cose, in certi casi, non sempre le autorità competenti forniscono al pubblico le vere notizie; le quali, a volte, suonano anche un po' contraddittorie tra di loro.
***
Ma cerchiamo di fare qualche ipotesi (sebbene sarebbe meglio parlare di congetture).

1) Ipotesi "criminale".
A quanto è stato comunicato, non ci sarebbe stato un travaso di dati sanitari, nè sarebbe stata toccata l'infrastruttura informatica che riguarda il bilancio e la protezione civile; però, secondo l'AGI,   gli autori dell'attacco avrebbero già avanzato la scorsa notte una richiesta di riscatto in bitcoin.
Come dire che non è stato sequestrato nessuno, però è stato chiesto lo stesso un riscatto!
In ogni caso, anche se fosse stato davvero richiesto un riscatto, potrebbe trattarsi di  un semplice "specchietto per le allodole"; come è già accaduto in casi analoghi per nascondere motivazioni più oscure!

2) Ipotesi "terroristica".
Di solito i terroristi compiono i loro attentati per acquisire visibilità, e, quindi, ovviamente, li rivendicano; ma, in questo caso, pare che ancora non ci sia stata nessuna rivendicazione.

3) Ipotesi "(geo)politica".
L'attacco, sia direttamente sia indirettamente (per il tramite di "hacker" prezzolati), potrebbe anche provenire da una "potenza straniera"; la quale abbia interesse:
- a "destabilizzare" il nostro Paese;
- a "provocarlo";
- ovvero semplicemente a lanciare un "ballon d'essay" per sondare la nostra "resilienza" ad un attacco informatico di carattere più generale.
Il che è senz'altro possibile, ma, come dice una ben nota  regola della "logica modale": "Ab esse ad posse valet, sed a posse ad esse non valet consequentia" (cioè, tradotto molto liberamente: "Se una cosa viene accertata come reale, deve per forza essere possibile; ma se si accerta che una cosa è soltanto possibile, non ne consegue che essa debba necessariamente essere anche reale").
***
Ciò premesso, però, come indicato nel "Rapporto sulla Sicurezza" di Monaco del 2018, gli ultimi anni sono stati caratterizzati dall'emergere di un gruppo di Paesi con capacità informatiche molto avanzate ed aggressive; e tra questi la Federazione Russa (o meglio, il suo "governo") è uno dei "primi in classifica".
***
A subire per primi l'esponenziale aggressività della potenza russa nel campo cibernetico sono stati i Paesi limitrofi che avevano precedentemente fatto parte dell'impero sovietico; soprattutto l'Estonia e la Georgia.
a) L'attacco informatico all'Estonia
L'esperimento della guerra informatica russa è iniziato nell'aprile 2007 con un attacco di tipo DDOS (Distributed Denial Of Service) contro l'Estonia; l'attacco, ovviamente mai rivendicato in via ufficiale, ha causato il collasso del sistema sanitario, bancario, e di numerosi altri servizi governativi.
Il Paese baltico si è trovato di fronte alla prima "cyber aggressione" organizzata verso un'intera nazione (sebbene con un numero di abitanti cinque volte inferiore a quelli del Lazio), poi ribattezzata WWO (Web War One).
Sebbene gli attacchi all'Estonia legalmente non possano essere attribuiti agli "attori statali" russi, a causa dell'impiego di falsi indirizzi di "Protocollo Internet" (IP), il loro tempismo e gli effetti da essi generati hanno fatto chiaramente capire -almeno a chi non aveva gli occhi foderati di prosciutto-, che facevano parte di una più ampia e coordinata campagna di attacchi informatici condotti dal Cremlino.
Per tali ragioni, comprensibilmente, le relazioni dell'Estonia con la Russia rimangono tutt'ora molto tese e compromesse.
b) L'attacco informatico alla Georgia.
A differenza di quello contro l'Estonia, l'attacco cibernetico contro la Georgia è stato effettuato in concomitanza con un conflitto armato: per cui l'aggressione nel caso georgiano venne diretta soprattutto contro i sistemi di comando, di controllo e di armamento dell'esercito, ma non mancò anche un attacco di tipo DDOS (Distributed Denial Of Service) come nel caso dell'Estonia.
Secondo il Computer Emergency Response Team (CERT) georgiano, gli indirizzi IP e i DNS utilizzati per lanciare gli attacchi appartenevano a un gruppo della criminalità organizzata russa noto come "Russian Business Network" (RBN); la quale era (ed è tutt'ora) molto probabilmente -per non dire "certamente"- affiliata ai servizi segreti russi (GRU,  SVR , FSB -ex KGB-)
***
Fino ad oggi, sebbene la la Federazione Russa (o meglio, il suo "regime"), per il tramite di organizzazioni criminali al suo servizio, abbia "pesantemente" interferito nelle campagne di voto di alcuni Paesi occidentali, tuttavia, almeno fino ad oggi, non aveva mai condotto contro nessuno di essi un attacco di tipo DDOS (Distributed Denial Of Service), quantomeno del "livello" dell'attacco contro l'Estonia e la Georgia.
Fanno eccezione alcuni gravissimi attacchi informatici russi sia alla rete di distribuzione elettrica sia al sistema sanitario USA ; sebbene, in tal caso, questi ultimi abbiano reagito aggredendo informaticamente la  rete di distribuzione elettrica della Russia.
***
Quello condotto contro il sistema informatico della Regione Lazio, è un attacco di tipo DDOS (Distributed Denial Of Service) "molto" simile a quello condotto contro l'Estonia; sebbene, non del tutto identico, e ovviamente, "molto" più evoluto, perchè da allora sono passati ben 14 anni.
***

PERCHE'?
Ma perchè mai Putin dovrebbe avercela proprio con noi?
Be' forse non tutti si ricordano che, circa due mesi fa (il 24 maggio 2021), Draghi, in una In conferenza stampa a Bruxelles, aveva apertamente accusato Putin di aggressioni informatiche al nostro Paese; e poi aveva profeticamente aggiunto: "Bisogna rafforzarsi molto, soprattutto dal lato della sicurezza cibernetica, perchè il  livello di interferenza, sia delle le spie russe  che abbiamo visto in azione di recente nel nostro Paese (vedi caso Biot), sia sul web, è veramente diventato allarmante!"
Non mi sorprenderebbe affatto che l'attacco informatico alla Regione Lazio, sia stata la "risposta" di Putin a Draghi; ovviamente, "lanciando il sasso e poi nascondendo la mano", come nella nota classica tradizione del KGB (di cui Putin è stato agente e dirigente).
***

COME?
Circa le modalità dell'attacco, si possono fare le ipotesi più disparate; però, nel caso di specie, io escluderei il "phishing" (*), perchè la rete della Regione Lazio dovrebbe essere sufficientemente protetta da tale tipo di "intrusione".
Tuttavia, forse, sarebbe meglio se le nostre strutture pubbliche facessero ricorso alla 2FA (autenticazione a due fattori); la quale consiste in un metodo di autenticazione sicura per sistemi e piattaforme informatiche, che consiste nell'utilizzo di due metodi di identificazione invece che uno solo, come attualmente quasi sempre avviene.
Personalmente, io opterei addirittura per il sistema "Zero Trust" (cioè, "non fidatevi neanche della vostra mamma"), il quale è un modello strategico  basato sulla convinzione che "niente", sia interno che esterno al perimetro di rete di un'organizzazione, debba essere ritenuto automaticamente affidabile; per cui  i protocolli ZT (Zero Trust) richiedono che chiunque, e qualsiasi cosa, stia cercando di collegarsi al sistema di un'organizzazione debba essere verificato prima di poter accedere.
Comunque, nel caso specifico dell'aggressione alla Regione Lazio, io propenderei, vista la portata del fenomeno, per una "intrusione" di tipo "fisico"; come quella effettuata dalla CIA per mandare in "tilt" il sistema informatico "ultrablindato" iraniano per la ricerca atomica.
***
"Ma", voi mi direte, "come diavolo si fa ad infilare una "chiavetta USB" nella presa di  computer supersorvegliati?"
In realtà, non c'è alcun bisogno, come si vede nei film:
-  nè di corrompere un impiegato;
- nè di introdursi nottetempo, in calzamaglia nera, nell'ufficio.
Basta un po' di astuzia e di psicologia!
***
Ci munisce di un "portachiavi con pendaglio pendrive", come nell'immagine sotto, e poi lo si lascia (o lo si lancia, se è recintato) nel parcheggio dell'"edificio obbiettivo".
https://cdn-thumbs.imagevenue.com/af/b3/b0/ME13OV61_t.jpg
Il primo impiegato che, parcheggiando lì la sua auto lo vede per terra, ovviamente lo raccoglie e se lo mette in tasca; poi, mentre si dirige verso la sua postazione, non può fare a meno di rimuginare: "Chissà di chi è! Magari per cercare di capire a chi appartiene, do un'occhiata a quello che c'è dentro, senza aprire nessun file, e poi glielo restituisco! Sennò come fa quel poveraccio a rientrare a casa?"
In tal modo, autogiustificando la propria curiosità con una motivazione di carattere altruistico, una volta giunto alla sua postazione, l'impiegato infila la "pendrive" nella presa USB...e "voilà", il gioco è fatto; la "pendrive" è "autoattivante", per cui, una volta inserita nella presa, fa il suo lavoro, e l'INTRANET è compromessa!
Gli Achei sono ormai dentro la città addormentata!
Ci sono anche altri metodi, un po' più sofisticati; ma questo, pur essendo estremamente semplice, è tuttavia parimenti efficace.

                            CONCLUSIONE
Per concludere, come avevo premesso, io ignoro:
- sia chi;
- sia perchè;
- sia come;
ha condotto l'attacco "hacker".
Le mie sono solo illazioni di mero carattere congetturale!
Voi fatevi pure l'idea che preferite!
***
;)

(*)
Come è noto, il termine "phishing" ("pescare" i polli su INTERNET)  è una variante di "fishing" ("pescare" i pesci nel mare);  mi ero sempre chiesto il perchè di quel "ph" al posto della "f", anche se si pronunciano pressochè nello stesso modo.
Poi finalmente credo di aver scoperto che "phishing" deriva dalla fusione di "fishing" ("pescare" i pesci nel mare) e di phreaking (sintesi di phone hacking, cioè di manipolazione attraverso il telefono).
"The term phreak is a sensational spelling of the word freak with the ph- from phone, and may also refer to the use of various audio frequencies to manipulate a phone system. Phreak, phreaker, or phone phreak are names used for and by individuals who participate in phreaking."



baylham

Citazione di: Eutidemo il 03 Agosto 2021, 10:47:20 AM
Basta un po' di astuzia e di psicologia!
***
Ci munisce di un "portachiavi con pendaglio pendrive", come nell'immagine sotto, e poi lo si lascia (o lo si lancia, se è recintato) nel parcheggio dell'"edificio obbiettivo".
https://cdn-thumbs.imagevenue.com/af/b3/b0/ME13OV61_t.jpg
Il primo impiegato che, parcheggiando lì la sua auto lo vede per terra, ovviamente lo raccoglie e se lo mette in tasca; poi, mentre si dirige verso la sua postazione, non può fare a meno di rimuginare: "Chissà di chi è! Magari per cercare di capire a chi appartiene, do un'occhiata a quello che c'è dentro, senza aprire nessun file, e poi glielo restituisco! Sennò come fa quel poveraccio a rientrare a casa?"
In tal modo, autogiustificando la propria curiosità con una motivazione di carattere altruistico, una volta giunto alla sua postazione, l'impiegato infila la "pendrive" nella presa USB...e "voilà", il gioco è fatto; la "pendrive" è "autoattivante", per cui, una volta inserita nella presa, fa il suo lavoro, e l'INTRANET è compromessa!
Gli Achei sono ormai dentro la città addormentata!
Ci sono anche altri metodi, un po' più sofisticati; ma questo, pur essendo estremamente semplice, è tuttavia parimenti efficace.

Non mi sembra molto credibile che un semplice impiegato abbia un accesso informatico tale da mettere in difficoltà in questo modo un sistema, mentre un impiegato esperto, un informatico, non farebbe una sciocchezza del genere: basta utilizzare un vecchio computer isolato dalla rete per verificare il contenuto di una chiavetta smarrita.

Se non ho capito male nel caso della Regione Lazio si tratta di una infiltrazione con un virus ransomware. Le ipotesi, i retroscena sono più complicati da decrittare.


Discussioni simili (5)