Skip to main content

Hacker russi, credenziali britanniche nel dark web. Cosa sappiamo sul caso FortiBleed

CONDIVIDI SU:
Aggiungi Formiche su Google

Secondo il Telegraph, credenziali riconducibili a funzionari britannici e a soggetti attivi nelle infrastrutture critiche sarebbero finite sul dark web. Il caso FortiBleed riporta al centro il rischio degli accessi rubati, che possono aprire la strada a operazioni di spionaggio, ransomware e sabotaggio contro amministrazioni pubbliche e servizi essenziali

Credenziali riconducibili a funzionari del governo britannico, personale del Foreign Office e soggetti attivi in settori critici sarebbero finite nei circuiti del dark web. Il National Cyber Security Centre conferma l’operazione globale e chiede verifiche immediate sulle password riutilizzate, sulle credenziali già sottratte in precedenti violazioni, sui sistemi esposti su Internet e sui tentativi automatizzati di accesso.

Il caso, raccontato dal Telegraph, aggiunge alla vicenda una dimensione politica e di sicurezza nazionale. Il quotidiano riferisce che fra gli account compromessi vi sarebbero indirizzi e password attribuiti a funzionari del Foreign Office impiegati all’estero, personale di enti locali e organizzazioni connesse a servizi essenziali, dal sistema sanitario ai fornitori energetici e farmaceutici. Le credenziali sarebbero state offerte nei forum criminali per somme fino a 60mila dollari. Il Ncsc ha riconosciuto, nell’operazione, una campagna globale contro firewall Fortinet e portali Vpn, con “indicazioni di un possibile impatto” anche nel Regno Unito. L’agenzia parla esplicitamente di tentativi di brute force, dictionary attack e credential stuffing: tecniche che combinano elenchi di password già rubate con accessi esposti in rete, sfruttando soprattutto il riutilizzo delle stesse credenziali su più servizi.

Secondo quanto riportato dal Telegraph, le credenziali sottratte non sarebbero soltanto circolate nei canali clandestini, ma messe in vendita sui forum del dark web come veri e propri pacchetti di accesso. Per gli account ritenuti più sensibili, collegati a enti pubblici o infrastrutture critiche, le richieste arriverebbero fino a 60mila dollari, poco meno di 44mila sterline. È il modello ormai consolidato degli initial access broker: gruppi che non colpiscono necessariamente per sottrarre dati o bloccare sistemi, ma monetizzano l’accesso alle reti, rivendendolo a soggetti interessati a condurre successive operazioni di spionaggio, ransomware o sabotaggio. Un firewall o una Vpn sono la porta di servizio delle organizzazioni: da lì passano dipendenti, consulenti, fornitori. Se quella porta finisce nelle mani sbagliate, è possibile per chi entra cambiare configurazioni, aprire altri accessi, preparare il terreno. Accessi illeciti che fanno filiera, quella degli initial access broker, che entrano non per attaccare, ma per vendere l’ingresso a chi lo farà dopo.

Le analisi indipendenti sulla campagna indicano che gli operatori avrebbero raccolto dati di accesso relativi a circa 73.932 dispositivi FortiGate, distribuiti in 194 Paesi e associati a oltre 21mila domini. Secondo SpyCloud, il gruppo avrebbe colpito anche Nas Synology, firewall Sophos e server Mssql, usando scansioni massicce e brute force per poi selezionare gli obiettivi più redditizi. L’infrastruttura analizzata suggerisce un’attività riconducibile a un gruppo russofono e finanziariamente motivato e non a un’operazione statale direttamente attribuibile a Mosca. Concetto ben chiaro a Londra, visto che già nel maggio 2024, la direttrice del Gchq, Anne Keast-Butler, aveva avvertito della crescente saldatura fra servizi russi e gruppi proxy.

Il cso FortiBleed torna a ricordarci l’importanza e la necessità dell’igiene digitale quotidiana tramite segmentazione delle reti, aggiornamenti, monitoraggio degli accessi, autenticazione multifattore e, soprattutto, l’abbandono sistematico delle password riutilizzate. Il tutto per evitare che, nel cyberspazio, una password dimenticata apra la strada verso una crisi nazionale.

 


×

Iscriviti alla newsletter