Stamattina sono stato ospite del programma
Modem
della Radiotelevisione Svizzera (Rete Uno) per parlare della serie di attacchi
informatici che hanno colpito numerosi siti istituzionali nazionali, su due
filoni: distributed denial of service da una parte e
ransomware con esfiltrazione e pubblicazione di dati sensibili.
L’annuncio fatto dal gruppo Play dell‘esfiltrazione dei dati dal sito di Xplain. Fonte:
Bleepingcomputer.com.
Bleepingcomputer.com.
Potete riascoltare la
puntata
qui sotto:
Questo è il mio rapido riassunto delle informazioni pubblicate sugli attacchi
noti fin qui, sugli aggressori e sulle misure di difesa possibili.
-
Ci sono rivendicazioni di un gruppo filorusso che si fa chiamare
NoName. Il Centro Nazionale per la Cibersicurezza conferma
“legami con la Russia del gruppo responsabile” (RSI). -
Il gruppo NoName ha un canale Telegram pubblicamente accessibile, dove
annuncia i propri attacchi in inglese (NoName057(16) Eng) e in russo
(NoName057(16)). -
15 giugno: NoName rivendica DDOS contro RUAG e
“ZVV – la rete di trasporto che copre il cantone di Zurigo e le
aree adiacenti – Svizzera turismo e SwissID, i cui siti web sono risultati
temporaneamente inaccessibili.”
(RSI). - 14 giugno: il Centro Nazionale per la Cibersicurezza (NCSC) pubblica un altro comunicato stampa sull’attacco ai danni di Xplain, nel quale precisa che “tra i dati di Xplain rubati e criptati vi erano probabilmente anche dati operativi dell’Amministrazione federale”, diversamente da quanto annunciato inizialmente. “Le diverse autorità e organizzazioni interessate devono chiarire se i dati trafugati sono attuali e se la loro pubblicazione possa comportare implicazioni di ampia portata. […] Dato che sono stati colpiti dati operativi, diversi servizi dell’Amministrazione federale hanno sporto denuncia penale o stanno prendendo in considerazione misure simili. Ciò permetterebbe di chiarire per quale motivo i dati dell’Amministrazione federale sono finiti nel sistema della ditta Xplain”. Un’ipotesi è che si tratti di dati condivisi con Xplain per risolvere questioni tecniche (cose per esempio del tipo “questo allegato in una mail inviata da un cliente fa scattare l’antivirus/l’antispam, ti giro la mail per fartela analizzare”).
-
14 giugno: NoName rivendica DDOS al sito della Città di Bellinzona, effettuato con circa 1500
computer al ritmo di 70.000 richieste/secondo (RSI). -
14 giugno: NoName rivendica DDOS ai siti del Canton Basilea Città, città di Zurigo, San Gallo
(RSI) (La Regione). -
13-14 giugno: pubblicati nel dark web
“altri dati operativi sottratti in precedenza all’Amministrazione
federale. Questi attacchi di tipo ransomware erano stati inflitti a fine
maggio ai danni di Xplain, ditta svizzera che fornisce software per le
autorità e avevano interessato, tra gli altri, l’Ufficio federale di
polizia (Fedpol) e l’Ufficio federale della dogana e della sicurezza dei
confini (UDSC), nonché le FFS e le autorità di polizia cantonali.”
(RSI). Attribuito al gruppo che si fa chiamare Play.
“Non vi sono tuttavia ancora prove che i sistemi federali siano stati
attaccati direttamente. Visto che sono stati colpiti dati operativi,
diversi servizi dell’amministrazione federale hanno sporto denuncia penale
o stanno prendendo in considerazione misure simili. Ciò permetterebbe di
chiarire per quale motivo questi dati sono finiti nel sistema della ditta
Xplain, una società che sviluppa, tra l’altro, applicazioni per i servizi
cantonali di esecuzione delle pene.”
(RSI). - 14 giugno: NoName rivendica DDOS contro il sito dell’aeroporto di Ginevra (Swissinfo).
-
8 giugno: NoName rivendica DDOS contro il sito del Parlamento svizzero, Parlament.ch (Swissinfo). Non è corretto dire che il gruppo di criminali informatici si è
“intrufolato”, come scrive
La Regione: un DDOS non sfonda le difese, non entra nel sito, ma lo rende
inaccessibile agli utenti legittimi. - 8 giugno: il Centro Nazionale per la Cibersicurezza (NCSC) pubblica un comunicato stampa sull’attacco ai danni di Xplain.
-
3 giugno:
“L’esercito svizzero, l’Ufficio federale della dogana e della sicurezza
dei confini (UDSC), l’Ufficio federale di polizia (Fedpol) e diversi corpi
di polizia cantonali sono indirettamente toccati da un attacco
cibernetico. Secondo rivelazioni pubblicate sabato dal quotidiano romando
Le Temps, l’aggressione ha visto come vittima Xplain, una società
informatica bernese a cui facevano riferimento tutte le entità in
questione… Si parla di sei file compressi contenenti migliaia di
documenti, provenienti dalla società con sede a Interlaken (BE)
specializzata in servizi di sicurezza informatica… UDSC e Fedpol hanno
confermato a Keystone-ATS che sono state divulgate delle informazioni,
minimizzando la portata di quanto accaduto: l’Ufficio delle dogane
sostiene che non sono stati sottratti dati interni, bensì elementi legati
alla corrispondenza con clienti, mentre Fedpol afferma che l’attacco non
ha interessato i suoi progetti, ma soltanto “dati di simulazione
anonimizzati a scopo di test”.”
(Tvsvizzera.it) -
L’attacco contro Xplain sembra un classico caso di
supply chain attack, nel quale l’aggressore prende di mira un fornitore di servizi o risorse
tecniche del bersaglio effettivo e lo usa per raggiungere quel bersaglio.
Tecnica molto efficace, usata già per esempio per i grandi attacchi di
Solarwinds e NotPetya. -
A fine maggio il gruppo Play ha fatto ransomware a Xplain (annuncio pubblico
del gruppo il 23 maggio) e ha colpito anche i media: CH Media e NZZ (The Local). Colpiti indirettamente anche le FSS e il Cantone di Argovia (RSI) il Dipartimento dell’istruzione di Basilea Città, l’amministrazione
comunale di Rolle (Vd),
“l’Università di Neuchâtel e il caseificio Cremo nel Cantone di
Friburgo”
(La Regione).