Una serie di attacchi informatici finalizzati alla frode monetaria e al furto di identità ha interessato anche siti di importanti “imprese e organizzazioni italiane”, rivela a Formiche.net Pierluigi Paganini, Membro del Gruppo di Lavoro Cyber G7 2017 e dell’ENISA (European Union Agency for Network and Information Security).
GLI ATTACCHI
Di che genere di attacchi stiamo parlando? “Parliamo di attacchi di credential harvesting, ovvero di attacchi mirati al furto di informazioni quali credenziali di accesso a servizi web, email ed ovviamente dati relativi a carte di pagamento”. Quali sono gli aspetti rilevanti di quello che è successo? “La dimensione dell’operazione sembra essere correlata alle attività di un gruppo criminale ritenuto smantellato. A scoprire la campagna è stato il noto ricercatore ‘Malware Must Die’ (la segnalazione è del 27 febbraio) il quale ha individuato una botnet composta di dispositivi dell’internet delle cose (IoT) utilizzata dai criminali per lanciare attacchi di forza bruta nei confronti di molteplici servizi web vulnerabili”.
L’ITALIA
Quanto e come è coinvolta l’Italia? “Il ricercatore ‘Malware Must Die’ ha condiviso una lista di obiettivi con me ed il noto esperto di sicurezza conosciuto come ‘Odisseus’. Insieme abbiamo analizzato fino a notte fonda la lista individuando gli indirizzi IP di piattaforme riconducibili a imprese ed organizzazioni Italiane. Chiaramente sono migliaia di account potenzialmente a rischio”. Ci sono nomi rilevanti tra quelli presenti nella lista? “Abbiamo trovato circa 140 indirizzi associati a strutture italiane, tra esse per esempio, Alma Mater Studiorum Università di Bologna, Siae, Ansaldo S.p.A. WAN, Telecom Italia S.p.A., Università degli Studi di Milano, FAO Food and Agriculture Organization of the United Nations, Bankadati Servizi Informatici Soc. Cons. p. A., Intesa Sanpaolo Group Services S.c.p.A., Cedecra Informatica Bancaria SRL, DADAnet Italia, BANCA CARIGE S.p.A., Italiaonline S.p.A., Tiscali SpA, Fincantieri Cantieri Navali Italiani, Server Plan S.r.l., Banca Popolare di Milano, Telecom Italia S.p.A., FastWeb’s Main Location”. Il Team Digitale del governo italiano è stato allertato e “ha confermato che sta già lavorando sul caso”.
GLI OBIETTIVI…
Qual è lo scopo di questi attacchi? “Una volta bucati questi servizi, le credenziali esfiltrate sono state utilizzate per cercare di accedere agli account di altri servizi di pagamento come PayPal”. Che tecniche sono state usate? “Per eludere i meccanismi di sicurezza di questi siti, il gruppo criminale sfrutta procedure invocate dai sistemi mobili (API) per tentare l’accesso. Non entrando nel dettaglio tecnico, possiamo dire che i criminali hanno elaborato una metodica di attacco basata sull’invio di specifici pacchetti del protocollo TCP (un sistema che dovrebbe rendere affidabile la comunicazione dati in rete tra mittente e destinatario, ndr) per sfruttare falle nei server presi di mira”.
… E I RISCHI
“Ma non finisce qui – aggiunge Paganini – perché i dati rubati sono stati anche utilizzati per cercare di prendere possesso di account su piattaforme di gaming, principali social network, portali multiservizi ed ovviamente servizi di online banking. Non contenti, i componenti della cyber gang hanno testato la loro metodica per violare account SSH (crittografia usata per garantire la riservatezza e l’integrità dei dati su una rete non protetta, ndr) relativi ai server di posta elettronica esposti in rete, e sembrerebbe ci siano riusciti”. A questo punto, quali sono i rischi pratici? “I rischi sono molteplici derivanti dal furto di credenziali rubate e dati relativi alle carte di pagamento, si spazia quindi dal furto di identità, all’acquisizione di dati sensibili ed ovviamente alla frode monetaria”.
