È disponibile subito il podcast di oggi de
Il Disinformatico
della Radiotelevisione Svizzera, scritto, montato e condotto dal sottoscritto:
lo trovate
qui sul sito della RSI
(si apre in una finestra/scheda separata) e lo potete scaricare
qui.
Le puntate del Disinformatico sono ascoltabili anche tramite
iTunes,
Google Podcasts,
Spotify
e
feed RSS.
NOTA: questa puntata al momento è disponibile solo sul sito della
RSI ma non sulle altre piattaforme podcast.
Buon ascolto, e se vi interessano il testo di accompagnamento e i link alle
fonti di questa puntata, sono qui sotto.
—
[CLIP: audio dal trailer di Ocean’s Thirteen (2007)]
Il film Ocean’s Thirteen di Steven Soderbergh racconta la vicenda
immaginaria di un attacco a un casinò di Las Vegas, basato in gran parte
sull’elusione dei suoi controlli di sicurezza computerizzati. Nella fantasia
hollywoodiana, questo richiede una gigantesca scavatrice sotterranea e varie
altre diavolerie, acrobazie e seduzioni.
Nella realtà, invece, le cose vanno molto diversamente. Sì, perché in questo
momento la MGM Resorts, proprietaria di alcuni dei più celebri casinò di Las
Vegas, è sotto attacco da parte di un gruppo di informatici che da due
settimane ha reso inservibili i sistemi di prenotazione online e di pagamento
elettronico, le chiavi elettroniche delle camere e i bancomat, creando il
caos, ed è riuscito a forzare la disattivazione di molte slot machine gestite
dalla MGM Resorts, non solo a Las Vegas ma anche in gran parte degli alberghi
della catena in altre località. Le perdite economiche, i disagi per gli ospiti
e il
danno d’immagine
sono incalcolabili.
[Jason Koebler è andato a Las Vegas e ha documentato anche fotograficamente la situazione dei casinò colpiti]
A differenza della versione cinematografica, questo attacco non ha richiesto
trivelle, acrobati o George Clooney: è bastata una telefonata. E non è la
prima volta che succede.
Questa è la storia assurda e spettacolare di questo attacco informatico, ricca
di lezioni di sicurezza che si applicano a qualunque azienda, grande o
piccola, e preziosa per conoscere lo stato dell’arte del crimine online e
imparare a difendersene.
Benvenuti alla puntata del 22 settembre 2023 del Disinformatico, il
podcast della Radiotelevisione Svizzera dedicato alle notizie e alle storie
strane dell’informatica. Io sono Paolo Attivissimo.
[SIGLA di apertura]
Pochi giorni fa una cliente dell’MGM Grand, un albergo di lusso a Las Vegas di
proprietà della catena MGM Resorts, è entrata nella camera sbagliata perché le
chiavi elettroniche dell’hotel non funzionavano correttamente. Il personale è
stato costretto a distribuire migliaia di chiavi fisiche sostitutive. La
cliente ha postato su TikTok un video che mostra che molte slot machine
dell’albergo sono state spente.
Altri clienti dell’MGM Grand hanno scoperto di avere le prenotazioni
annullate, non sono riusciti a fare check-in o pagare con le carte di credito,
e sono stati costretti ad andare in cerca di bancomat al di fuori dell’albergo
per procurarsi contanti per pagarsi da mangiare. I telefoni interni e il
servizio TV nelle camere sono diventati inservibili.
Il sito principale della catena,
Mgmresorts.com, è stato bloccato e
ha iniziato a mostrare solo un invito a contattare telefonicamente il servizio
clienti. Lo stesso caos ha colpito altri alberghi e casinò della MGM Resorts
nella stessa città e in tutti gli Stati Uniti (BBC), costringendo il personale a lavorare con carta e penna. A distanza di due
settimane, le prenotazioni online sono ancora inaccessibili e i disagi per i
clienti continuano (Kevin Beaumont su Mastodon).
Il 12 settembre la
MGM Resorts ha pubblicato sul
sito della SEC, la Securities and Exchange Commission, l’ente federale
statunitense che vigila sulle borse, un
avviso
che parla molto diplomaticamente di una
“questione di sicurezza informatica che riguarda alcuni sistemi
dell’Azienda”. Ma la realtà è assai meno diplomatica.
La MGM Resorts è stata vittima di un attacco informatico, messo a segno usando
una tecnica classica,
descritta
brutalmente su X (il social network un tempo noto come Twitter) da alcuni
alleati degli aggressori con queste parole:
“Per compromettere MGM Resorts, il gruppo ransomware ALPHV è semplicemente
andato su LinkedIn, ha trovato un dipendente, e poi ha chiamato l’helpdesk.
Un’azienda valutata 33 miliardi e 900 milioni di dollari è stata sconfitta
da una telefonata di dieci minuti.”
post di vx-underground.
La telefonata in questione è stata preparata con molta cura dagli attaccanti.
Secondo le informazioni rese pubbliche fin qui, l’helpdesk aziendale di MGM
Resorts sarebbe stato vulnerabile perché
“per ottenere un reset della password, i dipendenti dovevano fornire solo
informazioni personali di base, come il nome e cognome, il loro numero
identificativo in azienda e la data di nascita”
(Bloomberg, paywall). Tutte informazioni facili da ottenere andando semplicemente su un
sito come LinkedIn, dove le persone pubblicano curriculum, dati anagrafici e
situazione di lavoro, senza rendersi conto che in questo modo forniscono ai
criminali il primo appiglio necessario per scavalcare il muro della sicurezza
informatica.
Armati di queste informazioni, gli aggressori avrebbero appunto contattato
l’helpdesk per i dipendenti di MGM Resorts, spacciandosi per uno di quei
dipendenti e convincendo l’addetto all’helpdesk a fare un reset della password
del dipendente impersonato. Sarebbero poi entrati nella rete informatica
dell’azienda usando questa password. Si sa per certo che hanno usato dei
normali software di accesso remoto e la consueta VPN aziendale per fingere di
essere quel dipendente, e che hanno lanciato un malware remoto, riuscendo a
entrare nel sistema nel giro di cinque ore e sfuggendo ai controlli per otto
giorni, fino al 10 settembre scorso. La loro incursione ha costretto gli
addetti di MGM Resorts a spegnere gran parte della propria rete informatica
interna per tentare di contenere l’attacco, scatenando appunto grande
confusione (Financial Times).
forse no, ma su Snagajob è comparsa questa offerta di lavoro urgente per un sysadmin
Red Hat Linux a Las Vegas, con inizio immediato il 21 settembre, per
“aiutare l’MGM Grand Casino a creare il suo nuovo ambiente informatico dopo
il recente attacco ransomware”.
Attacchi come questi sono l’incubo di ogni addetto alla sicurezza informatica,
perché fanno leva su due fattori incontrollabili: le dimensioni dell’azienda,
che portano ad avere una rete informatica vasta e molte persone autorizzate ad
accedervi che non si conoscono fra loro, e la psicologia umana, le cui
fragilità sono ben note in questo campo e sono universali.
Questo caso, però, è diverso dal solito, non solo per la scala dell’attacco e
per il bersaglio così vistoso, ma anche perché i criminali hanno sfruttato una
risorsa non informatica molto particolare.
Parli come me, mi fido di te
Sulla scena virtuale del crimine sono arrivati l’FBI, il governatore dello
stato del Nevada Joe Lombardo, e numerosi consulenti di sicurezza informatica
in aggiunta a quelli già impiegati dalla MGM Resorts. Questi esperti hanno
indicato i probabili colpevoli dell’attacco: un gruppo noto come
“Scattered Spider”
(letteralmente “ragno diffuso”), che ha già effettuato intrusioni informatiche
di questo tipo a scopo di estorsione, con la tecnica classica del
ransomware, che consiste nel rubare o bloccare dati sensibili della
vittima e poi chiedere denaro per non pubblicarli o per sbloccarli. Il gruppo
ha poi rivendicato pubblicamente l’attacco in un’intervista al
Financial Times.
Scattered Spider ha avuto successo perché le procedure di sicurezza del
bersaglio erano troppo deboli e verificavano le identità usando soltanto dati
personali facilmente reperibili, ma soprattutto perché molti dei membri del
gruppo parlano inglese come madrelingua. Secondo gli esperti, infatti, il
gruppo è composto da persone molto giovani che risiedono negli Stati Uniti e
in Europa, e la loro competenza linguistica e culturale rende molto credibili
le loro telefonate in cui simulano di essere dipendenti di aziende
statunitensi. Questo li distingue nettamente dagli altri gruppi criminali
operanti nello stesso settore, che sono prevalentemente russofoni e quindi
farebbero molta fatica a spacciarsi plausibilmente al telefono per un
dipendente americano.
MGM Resorts non è l’unico gestore di casinò preso di mira da attacchi di
questo tipo. Poche settimane fa la Caesars Entertainment Inc., quella del
celebre Caesar’s Palace, è stata oggetto di un’intrusione analoga, per la quale è stato chiesto un riscatto per non pubblicare i dati
trafugati. L’azienda
dichiara di
“aver preso misure per garantire che i dati rubati vengano cancellati dall’attore non
autorizzato, anche se non possiamo garantire questo risultato”. Traduzione: è stato pagato un riscatto di alcune decine di milioni di
dollari, secondo gli addetti che hanno seguito la vicenda (Wall Street Journal).
Se vi state chiedendo come mai sono stati scelti come bersaglio i casinò, la
ragione non è certo legata a scelte etiche dei criminali, che hanno chiarito
molto cinicamente che se un’azienda ha soldi, la attaccheranno, in qualunque
settore sia. Le uniche eccezioni, dicono, sono ospedali e aeroporti, perché si
rischia troppo il carcere e l’accusa di terrorismo. Siamo insomma ben lontani
dai ladri gentiluomini di Ocean’s Thirteen e di tanta tradizione
cinematografica.
Ci sono almeno tre lezioni fondamentali che si possono trarre dalla
spietatezza di questi attacchi: la prima è che pubblicare su LinkedIn,
Crunchbase e simili il nome dell’azienda nella quale si lavora, e in quale
ruolo ci si lavora, è una pessima abitudine che andrebbe abbandonata, magari
sostituendola con un’indicazione generica del tipo di azienda o del suo
settore.
La seconda è che gli aggressori attaccheranno qualunque punto debole: per
esempio prenderanno di mira le procedure di verifica di identità, che non
devono basarsi quindi su dati personali facilmente reperibili, oppure
colpiranno i sistemi informatici ausiliari ma indispensabili, come quello
degli impianti antincendio o quello delle prenotazioni, oppure quello di un
fornitore esterno, che sono meno difesi.
La terza lezione è che i vari sistemi informatici di un’azienda non devono
fidarsi l’uno dell’altro, perché se lo fanno è sufficiente violarne uno per
avere accesso agli altri e si produce un effetto domino che paralizza l’intera
azienda. Nel caso della MGM Resorts, appunto, il caos è stato causato dal
fatto che sono stati gli addetti alla sicurezza a spegnere molti sistemi, per
evitare che gli aggressori li raggiungessero. Ovviamente creare un sistema
aziendale nel quale non ci sono barriere interne è molto più facile e offre
anche una grande efficienza, ma in caso di attacco quell’efficienza diventa
una costosa debolezza. Ed è così che può bastare una telefonata ben studiata
per far crollare un’azienda miliardaria.
Ma c’è anche una quarta lezione, che arriva da un caso diametralmente opposto
a questo.
Quando la MFA non è MFA
Retool è una società californiana che
sviluppa software, con un
paio di centinaia di dipendenti
in tutto: l’esatto contrario del colosso MGM Resorts. Ma anche Retool è stata
attaccata pochi giorni fa: l’aggressore ha iniziato l’attacco inviando degli
SMS ai dipendenti, spacciandosi per un collega in difficoltà e chiedendo ai
destinatari di cliccare su un link dall’apparenza innocua per risolvere un
presunto problema di stipendi.
Un solo dipendente è caduto nella trappola, ma è bastato. Il link, infatti,
portava a una pagina di login fasulla, nella quale il dipendente ha immesso le
proprie credenziali, dandole così all’aggressore.
Fin qui nulla di speciale, ma a questo punto, come
racconta Retool sul proprio sito, il criminale ha telefonato al dipendente, fingendo di essere quel collega
in difficoltà e ne ha simulato la voce con un software apposito, dimostrando
anche di conoscere la planimetria della sede, i nomi di molti colleghi e le
procedure interne dell’azienda. La voce è stata riconosciuta dalla vittima e
l’ha convinta ad abbassare le proprie difese e a dare un singolo codice
temporaneo di autenticazione a due fattori a quel falso collega al telefono.
Quel codice ha permesso all’aggressore di aggiungere un proprio dispositivo al
sistema di autenticazione aziendale e da lì acquisire il controllo di ben
ventisette account di clienti di Retool nel settore delle criptovalute. Uno di
questi clienti è stato così derubato di circa
15 milioni di dollari.
Di solito l’autenticazione a due fattori viene presentata come una soluzione
di sicurezza estremamente efficace, e normalmente lo è, ma in questo caso ha
fallito, e secondo Retool la colpa è di Google, perché la sua app di
autenticazione, Google Authenticator, da qualche tempo spinge gli utenti a
sincronizzare nel cloud una copia dei codici di autenticazione. Questo è
considerato
pericolosissimo
dagli esperti, perché vuol dire che se qualcuno prende il controllo di un
account Google, ottiene accesso anche ai codici di autenticazione di tutti i
siti gestiti tramite Authenticator. Il dipendente di Retool che è stato
ingannato aveva attivato questa sincronizzazione, e questo è un problema che
tocca tutti gli utenti di Authenticator, grandi e piccoli.
Se usate Google Authenticator e avete attivato, come tanti, la
sincronizzazione dei codici nel cloud e adesso vorreste
disattivarla, aprite l’app, cliccate sull’icona del profilo e scegliete
Utilizza senza un account. Ma tenete presente che se il dispositivo sul quale avete Authenticator si
guasta o viene perso, non avrete più modo di riottenere i codici di
autenticazione. Anche in informatica, comodità e sicurezza sono spesso in
contrasto tra loro.
Questi casi di attacchi informatici molto sofisticati, con voci clonate,
ricognizione del bersaglio, sfruttamento di una vulnerabilità poco considerata
e un bottino ingentissimo, dimostrano che il crimine informatico non va
assolutamente sottovalutato. Un recentissimo
rapporto
di swissVR, Deloitte e dell’Università di Lucerna rileva che il 45% delle
grandi aziende svizzere è stata vittima di un attacco informatico e che di
queste vittime il 42% ha subìto un danneggiamento delle proprie attività; il
18% delle aziende con meno di 50 dipendenti è stata oggetto di attacchi
importanti. Il Centro Nazionale per la Cibersicurezza ha documentato oltre
34.000 attacchi solo nel 2022: il triplo rispetto al 2020. Eppure il 30% delle
imprese svizzere non ha nemmeno nominato un gruppo interno per la gestione
degli incidenti informatici (Swissinfo;
Swissinfo). Viene da chiedersi se per caso quel 30% stia aspettando che la lezione di
sicurezza informatica arrivi direttamente da George Clooney in persona.
[CLIP: audio dal trailer di Ocean’s Thirteen (2007)]
Fonti aggiuntive:
Engadget,
Dark Reading,
BitDefender, TechCrunch,
The Hustle,
The Hacker News, Ars Technica.