Venerdì, 23 Giugno 2017 11:31

I Comuni sotto attacco hacker

Scritto da
Vota questo articolo
(0 Voti)

 

(richiesto di pagare il riscatto in BITCOIN per recuperare i dati) altri articoli

Quello che segue è un racconto di un attacco personalizzato e mirato ad un Ente Pubblico, che ho gestito, in tutte le sue fasi personalmente, coadiuvato dagli avvocati Carla Vicenzetto e Giovanna Garzin, con i quali collaboro per questa tipologia di frodi.

Tutto parte da questa mail (scritta in italiano corretto) e destinata all'ufficio protocollo:

E' difficile resistere alla tentazione di aprire l'allegato per capire se il documento è da protocollare o no.

Ho vissuto qualcosa che nelle mappe degli attacchi informatici non esisteva. Un caso dove gli hacker hanno modificato le loro strategie, abbandonando i tradizionali attacchi di massa a favore di attacchi personalizzati e mirati.

La mail meglio "fabbricata" mai vista ... perchè:

  • il testo è attinente ed è scritta in perfetto italiano
  • perchè i documenti in un ente devono essere protocollati.
  • perchè ogni ente ha un indirizzo e-mail Questo indirizzo email è protetto dagli spambots. È necessario abilitare JavaScript per vederlo. o Questo indirizzo email è protetto dagli spambots. È necessario abilitare JavaScript per vederlo. o Questo indirizzo email è protetto dagli spambots. È necessario abilitare JavaScript per vederlo.
  • perchè in ogni comune italiano c'è una Via Roma ... con le buche.
  • perchè la mail è stata studiata per far attivare le "risposte automatiche" (usa tecniche avanzate di "ingegneria sociale" che mirano a far leva sulle vulnerabilità umane cercando di manipolare caratteristiche tipicamente psicologiche per indurre le vittime ad aprire la mail).
  • perchè questi attacchi mirati e personalizzati alla P.A. (anche se più impegnativi e costosi da organizzare) possono generare un profitto dieci volte maggiore degli attacchi generalizzati.
  • e perchè attaccare server, datacenter, bucare firewall, per gli hacker sta diventando sempre più complesso. È più facile provare a bypassare il "firewall umano" normalmente più debole.

Un attacco invisibile alla tecnologia e che sfugge alla risorsa umana, per questo molto difficile da rilevare!

Così ha agito l'organizzazione criminosa che c'è dietro a questo attacco, "fabbricando" un e-mail quasi perfetta sicuramente con la collaborazione di gruppi italiani.

Tutto si nasconde e proviene dai canali sotterranei della rete dove gli hacker si mascherano dietro l'anonimato.

Fa pensare. Perchè ci sono strane coincidenze. Adesso dai sotterranei della rete la stessa identica mail è salita in superficie e sta "contagiando" tutti i Comuni italiani con altra percentuale di successo e conseguenze devastanti.

Provate a pensare a tutti i documenti, regolamenti edilizi, concessioni, bandi di gara, forniture, denunce, documenti di Polizia Locale, etc...; oppure immaginatevi il blocco totale dei sistemi informatici, indispensabili per l'erogazione dei servizi di pubblica utilità in carico all'ente, con conseguenze che ricadrebbero sul cittadino.

Di fronte ad attacchi mirati e così personalizzati, difficili da riconoscere, la domanda che tutti dobbiamo porci non è "mi succederà mai?" ma "quando mi succederà?

Tutti a chiedersi chi sono?

In realtà i ricercatori e gli studiosi non hanno idee chiarissime su chi sono. L'ipotesi è che siano gruppi organizzati di Hacker con a capo vere organizzazioni criminali tradizionali (volutamente battezzata Cypercrime Spa), una vera e propria industria del crimine dove ognuno ha un ruolo ben preciso.

Come ogni episodio c'è sempre un prima, un durante e un dopo. Ora è il tempo del durante.

Strano fenomeno destinato a sgonfiarsi in tempi rapidi: quando vedremo la stampa puntare i riflettori su questa faccenda, sarà già finita.

Infatti se si osserva ci sono tutti i segnali per imparare a distinguerla da un e-mail lecita, ma bisogna migliorare la consapevolezza:

-      gli hacker usano sempre lo stesso mittente Nevia Ferrara (Questo indirizzo email è protetto dagli spambots. È necessario abilitare JavaScript per vederlo." target="_blank" rel="nofollow noopener">Questo indirizzo email è protetto dagli spambots. È necessario abilitare JavaScript per vederlo.” che di certo non è il dominio dell’Agenzia delle Entrate.

-      Perché facendo attenzione al testo della mail le “a accentate” à, vengono riportate à e quindi transcodifica tra diverse lingue (Portoghese ?).

-      Ed infine perché aprendo l’allegato word della denuncia, appare la videata:

E prima di premere su "Apri" ci si può fermare o chiedere consiglio.

E il tempo del dopo?

Il dopo è già qui, gli Hacker non hanno aspettato a “fabbricare” la mail “mirata” alle aziende per massimizzare il guadagno in tutta tranquillità:

Sempre la solita “Nevia Ferrara” (e questo non li aiuta); in questo caso invia un e-mail con oggetto: Trasmissione Curriculum Vitae Nevia Ferrara Analista Contabile. 

Testo in italiano perfetto e molto convincente dove propone la sua candidatura e … in allegato il magico file word

EPILOGO E SUGGERIMENTI

Fortunatamente il danno per l'ente gestito è consistito solamente in tempo:

  • dedicato per il ripristino di un computer compromesso e pochi file sul server in quanto erano a disposizione le copie di backup.
  • dedicato a produrre la denuncia alla Autorità Giudiziaria.
Oggi una difesa adeguata è possibile, oltre che necessaria, ma bisogna prendere questo argomento maledettamente sul serio.

Cosa ci deve insegnare questo episodio: ogni programma efficace della Cybersecurity deve iniziare dal “fattore umano

Ecco quindi una lista di primi suggerimenti adatti ad enti, aziende o singoli individui per mettersi al riparo dagli attacchi più frequenti:

  • Non abbassare mai la guardia
  • Fare delle persone in azienda la prima linea di difesa
  • Fare sempre le copie dei vostri dati e isolarle dalla rete (offline)
  • Consentire l’accesso ai dati soltanto se necessario
  • Applicare rapidamente e sempre gli aggiornamenti a tutti i Software utilizzati
  • Proteggere e Crittografare i dati importanti e sensibili
  • Rivisitare la normativa privacy, il regolamento e misure minime di sicurezza
  • Per gli enti pubblici fare riferimento alla circolare Agid 2/2017

Il tempo del dopo

mentre stavo correggendo l’articolo, nella corrispondenza scambiata con gli Hacker e grazie alla quale abbiamo esteso il nostro bagaglio culturale, ricavando informazioni che hanno contribuito anche ad arricchire questo articolo, gli stessi hacker hanno comunicato che hanno chiuso il progetto PEC2017 rendendo disponibile il Decryptatore Gratuito.

Non sappiamo perchè, ma sarebbe interessante capirne i motivi:

o hanno fatto una valanga di soldi, o , restando attivi,  hanno il timore di essere scoperti, oppure sono stati assunti da qualche multinazionale della sicurezza IT, o … fateci sapere il vostro parere postando i vostri commenti qui sotto.

Il lato divertente di tutto questo:
"oltre il danno la beffa" :

Gli hacker non sanno che il loro attacco è stato in grado di indurre in errore l'impiegata di uno dei tanti comuni italiani colpiti: ha inviato una pattuglia di Vigili Urbani a verificare il dissesto in Via Roma, 16.

... proprio "una mail quasi perfetta"

Ecco la chat dell'episodio :

... in ogni città c'è una Via Roma,16 e quasi sicuramente con qualche buca!

Se vogliamo vederla meglio: la causa è sempre una "mal interpretazione di segnali" da parte della "risorsa umana"!

Dietro ad ogni tecnologia c'è sempre una persona che la utilizza ... meglio se preparata.

Stefano Benato

twitter FACEBOOK altri articoli

Presidente Veneto Tecnologia

socio Clusit

CEO di Hard Service srl

-------------------------------

Letto 755 volte Ultima modifica il Venerdì, 23 Giugno 2017 12:42