I cyber attacchi arrivano via mail: su 20 aziende 18 sono compromesse
Lo speciale contiene due articoli.
Quanto sono vulnerabile le infrastrutture strategiche italiane agli attacchi hacker? Come noto il nostro Paese deve fronteggiare una intensa attività cyber dopo il conflitto scoppiato alla fine del febbraio tra Russia e Ucraina. C’è il rischio che quando la guerra andrà man mano scemando i riflettori sulla potenziale esposizione ad attacchi cyber delle infrastrutture critiche sarà ancora più forte. E come ovvio, maggiore sarà la digitalizzazione dei Paesi coinvolti in scenari di scontro, maggiore sarà il rischio che un attacco cyber risulti decisivo.
Le infrastrutture critiche, come la produzione e la distribuzione di energia, i trasporti, la sanità o anche la pubblica amministrazione, stanno diventando sempre più complesse e dipendenti da reti di dispositivi collegati. Qualche anno fa le reti elettriche e altre infrastrutture critiche funzionavano in modo isolato. Ora sono molto più interconnesse, sia in termini geografici che tra i settori. In pratica cyberattacchi alle infrastrutture critiche possono causare impatti economici e sociali di massa. In quella che è stata definita guerra ibrida – o dottrina Gerasimov – infatti, uno dei principali dogmi è quello di utilizzare le competenze cyber per attaccare e disabilitare le infrastrutture avversarie.
La risposta alla domanda sull’esposizione del nostro paese a potenziali attacchi cyber la si trova in un report rilasciato da Swascan, controllata di Tinexta cyber (Tinexta Group), polo italiano della cybersicurezza, che ha analizzato il potenziale rischio cyber delle infrastrutture critiche italiane nel mese di febbraio 2022. Il servizio cyber risk indicators di Swascan determina e misura il potenziale rischio cyber del settore preso in esame. Per questo focus è stato esaminato il livello di resilienza cyber di 20 infrastrutture critiche ita- liane presenti in questi quattro settori, energia, trasporti, pubblica amministrazione e sanità. La ricerca ha individuato un totale di 2.085 potenziali vulnerabilità, 52.555 e-mail compromesse, 1.317 indirizzi Ip esposti su internet e 52.985 dispositivi integrati in botnet che dall’esterno hanno interagito con gli asset dei target interessati.
L’indagine, presentata da Pierguido Iezzi, ceo e cyber security director di Swascan a inizio aprile 2022, ha riguardato un campione di 20 aziende che gestiscono infrastrutture critiche italiane attive in quattro settori: energia, trasporti, pubblica amministrazione centrale, sanità. Adolfo Urso, presidente del Comitato parlamentare per la sicurezza della Repubblica (Copasir), commentando i dati emersi dal rapporto Swascan sulle infrastrutture critiche italiane ha ribadito come «la Russia è il Paese più attrezzato al mondo per la guerra cibernetica. Dobbiamo quindi alzare il livello di guardia, anche attraverso una migliore e più puntuale informazione per estendere le resilienza del Paese, come fa questo rapporto che identifica le principali vulnerabilità in settori strategici del Paese».
L’analisi eseguita dal security operation center (Soc) di Swascan, utilizzando i servizi proprietari italiani di threat Intelligence, mirati a scoprire le potenziali minacce, ha permesso di identificare, sulla base del campione preso in considerazione, un totale di 2.085 potenziali vulnerabilità, di cui il 13,8% di livello alto e il 76,8% di livello medio, con uno storico di 2.628 email compromesse in media per dominio. Queste ultime interessano gran parte del campione preso in esame: solo due aziende sono prive di e-mail compromesse, 4 aziende ne hanno tra 1 e 100, 5 aziende tra 101 e 500 e ben 9 aziende ne hanno oltre 500.
Una mail compromessa è un’arma potente delle mani di un criminal hacker esperto, questa può essere utilizzata per prendere il controllo degli account; mandare altre mail a fornitori o colleghi o semplicemente per diffondere ancora più velocemente un malware all’interno di un’organizzazione. Delle 20 aziende campione, 18 avevano almeno un indirizzo email compromesso.
Non esistono strategie migliori dei cyber attacchi per causare instabilità, soprattutto quando a essere presi di mira sono i sistemi e le reti che consentono le nostre attività quotidiane. I cyberattacchi contro le infrastrutture critiche, quindi, «sono diventati un’altra potentissima arma di interruzione di massa». D’altronde, un’interruzione dei servizi essenziali, anche se breve, può occupare significative risorse civili e militari in una regione o in un intero paese.
Gli possono servire come minacce esistenziali a regimi instabili. Come armi strategiche, i cyberattacchi alle infrastrutture critiche che causano interruzioni di massa, hanno il potenziale di impegnare significative risorse militari ed economiche nello stesso momento in cui la nazione affronta una minaccia militare.
Gli attacchi possono avvenire inosservati, con i “cattivi” che rimangono dormienti all’interno dei sistemi per un lungo periodo di tempo. La natura di un attacco può cambiare nel tempo, nel senso che un’intrusione può progredire in un’operazione di raccolta di informazioni e furto di dati, prima di degenerare in un attacco denial-of-service o ransomware. La progressione di un attacco può cambiare a seconda della natura dell’attore. L’obiettivo degli attori non statali o criminali nel condurre attacchi informatici può essere guidato dal profitto o incentrato solo nel causare danni economici, come chiedere un riscatto, mentre gli attori statali possono favorire la raccolta di informazioni e la creazione di opzioni strategiche o risultati.
Nel caso della Corea del Nord, per esempio, gli obiettivi possono essere sia finanziari che di raccolta di informazioni, in quanto raccolgono conoscenze tecniche e i mezzi finanziari per acquistare i materiali e le attrezzature necessarie. L’ubiquità dei sistemi in rete e l’ampia disponibilità di strumenti di intrusione informatica non lasciano immune nessun paese o settore di infrastrutture. critiche.
Ecco tutti i modi in cui gli hacker possono attaccare le infrastrutture strategiche
Ci sono diverse modalità di attacco che potrebbero essere messe in campo contro le infrastrutture critiche
1) Ddos: Un attacco Ddos (distributed denial-of-service) è una tecnica di cyber attack utilizzata al fine di interrompere il normale funzionamento di server, servizi o reti tramite un flusso di traffico internet anomalo e oltre la capacità del target;
2) Sfruttamento Vulnerabilità: In cybersecurity, una vulnerabilità è una criticità che può essere sfruttata dai criminal Hacker per ottenere un accesso non autorizzato a un sistema informatico. Dopo aver sfruttato una vulnerabilità, un criminale informatico può eseguire codice dannoso, installare malware e persino rubare dati sensibili
3) Social Engineering: Nel contesto della sicurezza informatica, il social engineering è l’uso dell’inganno per manipolare le persone nel divulgare informazioni riservate o personali che possono essere utilizzate a fini fraudolenti. In altre parole, le persone possono essere ingannate nel condividere informazioni che altrimenti non divulgherebbero. La variante più comune è il phishing, mail costruite ad hoc per ingannare il destinatario e costringerlo a rivelare dati o informazioni sensibili
4) Botnet: Le botnet sono grandi reti di computer compromessi, la cui potenza di elaborazione viene utilizzata all’insaputa dell’utente per svolgere attività criminali. Questo può includere la distribuzione di spam o e-mail di phishing, così come l’esecuzione di attacchi Ddos, ma anche il furto di credenziali di accesso a servizi aziendali e non solo
5) Supply Chain attack: ogni azienda o infrastruttura non è più oramai monolitica, ma si appoggia su una lunga e complessa supply chain digitale. I criminal hacker possono colpire il proprio target proprio andando a compromettere un fornitore
6) 0 – Day: Questa è l’insidia maggiore per ogni organizzazione, gli zero-day sono così noti perché lasciano appunto – zero giorni di tempo agli sviluppatori per correggere una vulnerabilità prima che venga sfruttata. In essenza sono criticità che vengono scoperte solo nel momento in cui un attacco è già in corso.
