Gli 007 francesi rivelano un massiccio attacco informatico contro il software Centreon, utilizzato da colossi come ArcelorMittal, Airbus e Total ma anche dal ministero della Giustizia transalpino. Tutti gli indizi portano a Mosca
Per tre anni, dal 2017 al 2020, gli hacker russi di Sandworm, unità dei servizi segreti militari Gru, hanno violato i server di Centreon, software utilizzato, come si vede sul sito web della società, da diverse aziende francesi tra cui ArcelorMittal, Airbus, Air France, Bolloré, EDF, Orange, Thales e Total ma anche il ministero della Giustizia francese. L’ha comunicato l’Agenzia nazionale francese responsabile della sicurezza informatica (Anssi) in un rapporto. La società Centreon però non ha escluso che gli attacchi siano iniziati già nel 2015, come riporta Le Figaro.
FRANCIA ANCORA NEL MIRINO
Non è la prima volta che il gruppo, noto anche come Unità 74455 e operante da un palazzo noto come la Torre a Chimki, mette nel mirino la Francia — anche se, come sottolinea Politico, Parigi è solitamente restia ad attribuire i cyber-attacchi agli autori. E lo è anche questa volta visto che nel rapporto dell’Anssi si legge di “molte somiglianze con le precedenti campagne del modus operandi di Sandworm” e nulla di più per evitare di impegnarsi politicamente. L’attacco informatico “ricorda i metodi che sono già stati utilizzati dal gruppo di intelligence russo Sandworm, ma ciò non garantisce che si tratti di loro”, ha detto all’Afp Gérome Billois, esperto di sicurezza informatica della società di consulenza Wavestone. A sottolineare la gravità dell’attacco ci sono le parole di Loïc Guezo, a capo dell’associazione di specialisti francesi della sicurezza informatica Clusif, che ha spiegato al Figaro che un simile rapporto dell’Anssi è “eccezionale”.
IL PRECEDENTE “ELETTORALE”
Il precedente tra Sandworm e Francia più clamoroso è datato 2017, quando l’unità ha tentato di hackerare En Marche!, il partito di Emmanuel Macron, che al secondo turno elettorale sconfisse Marine Le Pen e conquistò l’Eliseo. A metterlo nero su bianco non è l’Anssi bensì il dipartimento di Giustizia degli Stati Uniti nella nota con cui nello scorso ottobre ha annunciato di aver accusato sei ufficiali russi di Sandworm di cybercrimini.
LA BACHECA DI SANDWORM
Il team ha in bacheca anche attacchi informatici contro la rete elettrica dell’Ucraina del dicembre 2015, sempre contro l’Ucraina nel 2017 con il malware Petya e contro la cerimonia di apertura delle Olimpiadi invernali 2018 tenutisi a Pyeongchang, in Corea del Sud. Nello stesso anno ha condotto campagne di spearphishing contro l’Organizzazione per la proibizione delle armi chimiche e il britannico Defence Science and Technology Laboratory in seguito la tentato avvelenamento con il Novichok dell’ex spia russa Sergei Skripal, della figlia e di altri cittadini britannici. Anche l’Unione europea, lo scorso luglio, ha emesso sanzioni — le prime cyber-sanzioni nella sua storia — contro Sandworm.
COME SOLARWINDS?
L’offensiva informatica contro Centreon ricorda l’attacco cyber al cuore dell’America condotto alcuni mesi fa contro SolarWinds. Ad agire in quell’occasione, con ogni probabilità, sarebbero stati hacker russi (un’accusa che ha trovato riscontri anche in un rapporto di Kaspersky, società leader nella sicurezza informativa con sede a Mosca). La magnitudo dell’attacco aveva preoccupato anche l’Italia, portando all’attivazione del Nucleo per la sicurezza cibernetica, l’organismo guidato dal vicedirettore generale del Dipartimento delle informazioni per la sicurezza (Dis), Roberto Baldoni. Stefano Mele, partner dello studio legale Carnelutti e presidente della Commissione cibernetica del Comitato atlantico italiano, sottolineava a Formiche.net come l’attore statele in questione avesse “pianificato ed eseguito un capolavoro sul piano operativo: ha messo nel mirino un unico obiettivo, portando a casa, però, in un solo colpo almeno 18.000 intrusioni”. Infatti, aveva individuato SolarWinds, uno dei fornitori globali delle principali agenzie governative e delle aziende americane, per “colpirlo e ‘automaticamente’ — per così dire — avere lo stesso effetto di oltre 18.000 operazioni di spionaggio cibernetico”, aggiungeva l’esperto sottolineando come “la sicurezza della supply chain, oggi più che mai, deve diventare un tema prioritario”.
LE DIFFERENZE
Tuttavia, come evidenziato da diversi esperti come Timo Steffens su Twitter e da Wired, gli attacchi appaiono diversi. Infatti, nel caso “francese” la supply chain non sembra essere stata compromessa. Gli attacchi sembrano essere stati compiuti sfruttando le vulnerabilità dei server.