Il dominio cibernetico nulla dimentica. Anche se a noi certi eventi sembrano lontani, quasi rimossi dalle nostre memorie, per i criminali digitali non lo sono affatto. Il Dark Web è un luogo oscuro e misterioso dove accadono cose al di fuori degli occhi della maggior parte di noi, ma anche se al di fuori del nostro campo visivo, ciò che accade ha conseguenze reali. Uno di questi problemi è il furto di dati riservati come informazioni personali, finanziarie o militari che poi vengono rivendute sul mercato nero.
Quando ciò accade, i dati rubati non scompaiono. Anche dopo che l’attacco è stato scoperto, gestito, risolto e i dati pubblicati sono stati fatti sparire da azioni di contrasto e takedown, in realtà il bottino dei criminali riaffiora dopo mesi o persino anni dopo l’attacco.
Questo è proprio quello che sta accadendo ai dati protagonisti di uno dei più controversi incidenti di sicurezza del 2022 che ha coinvolto MBDA, importante multinazionale specializzata nella realizzazione di sistemi missilistici e antimissilistici (in uso anche in Ucraina), e corpi militari sia italiani che internazionali.
L’evoluzione della minaccia informatica ci insegna come combatterla
Indice degli argomenti
Il nuovo rilievo del data leak di NATO e Difesa
Durante le ultime settimane i movimenti intestini del deep web hanno fatto riaffiorare alla luce una vecchia conoscenza: Ares.
Questo particolare attore criminale è in realtà un gruppo organizzato specializzato nella compra-vendita di lotti di dati rubati, una sorta di data broker a cui si appoggiano numerosi micro criminali informatici per monetizzare il bottino delle loro intrusioni in azienda e anche gruppi criminali organizzati per acquisire informazioni sui loro prossimi bersagli, a volte anche gruppi coinvolti in interessi geopolitici.
Durante il mese di febbraio 2023, Ares ha messo in vendita un lotto di dati che in molti ricorderanno dagli eventi dell’estate di anno scorso, quando lo scandalo dei 60 GB di dati fuoriusciti da MBDA ha persino costretto la NATO ad avviare un’indagine.
L’annuncio di Ares parla chiaro: “NATO / Italy Ministry of Defence / MBDA” e sia le dimensioni sia i riferimenti temporali corrispondono al famoso lotto di documenti trafugato dall’attore cyber criminale Adrastea nel luglio 2022.
Vendita dei dati riservati italiani da parte dell’attore criminale Ares.
I dati nel pacchetto ricalcano una serie di annunci di vendita che Adrastea stesso aveva pubblicato nel corso del terzo quadrimestre 2022. Oltre ai dati relativi a MBDA, sono menzionati riferimenti a dati confidenziali NATO, documenti classificati ad accesso ristretto, come progetti e documentazioni tecniche di sistemi antimissile e strumentazione ad alto valore strategico, accordi, contratti, e documenti interni provenienti da organizzazioni miliari e personali di alto rango.
Dettaglio sulle tipologie di dati messe in vendita dall’attore criminale Ares.
Cosa sappiamo del data leak di NATO e Difesa
Come anticipato, questi dati sono già comparsi nei radar durante il mese di luglio del 2022 a seguito della pubblicazione di un annuncio su di un noto forum underground.
Annuncio di vendita originale dei dati trafugati a MDDA da Adrastea.
La questione non si è affatto esaurita con il primo annuncio: Adrastea ha in realtà operato nel corso dei mesi e le risposte dell’Azienda non sono mancate. Ricapitoliamole qui:
- 27 luglio 2022: Adrastea si registra sul forum XSS;
- 29 luglio 2022: Adrastea si registra sul forum Breached;
- 30 luglio 2022: Adreastea pubblica il primo post sul forum Breached dichiarando di possedere 60 GB di dati appartenenti a MBDA e relativi a molteplici progetti (Plancton, Cronos, CA Sirius, EMADS, MCDS B1NT), attività commerciali con il Ministero della Difesa e l’Unione Europea, design e specifiche di missili e sistemi di protezioni costali, inclusa corrispondenza con partner industriali come Rampini Carlo, Netcomgroup, Rafael, Thales, ST Electronics ecc.);
- 1 agosto 2022: MBDA emana un comunicato ufficiale in cui ritiene false le illazioni di “hackeraggio” delle sue reti interne e dichiara che l’origine dei dati è un disco esterno, letteralmente un “external hard drive”, un dispositivo USB o una memoria di massa che è finita fuori dal controllo dell’azienda;
Comunicato di MBDA in risposta agli annunci di vendita dei suoi dati riservati.
- 5 Agosto 2022: Adrastea pubblica un ulteriore annuncio su forum XSS “ESERCITO|DIFESA|NATO” pubblicando alcuni file provenienti da MBDA e dichiarando di possederne. Il prezzo per il lotto è 3 Bitcoin;
Ulteriore annuncio di vendita di dati da parte di Adrastea.
- 6 agosto 2022: Adrastea pubblica altro annuncio su forum Breached “RESTRICTED & CONFIDENTIAL DATA FROM ESERCITO & DIFESA & NATO”. Viene condiviso un archivio su Mega contenente un piccolo campione di file trafugati;
Nuovo annuncio di vendita di dati.
- 26 agosto 2022: la testata ingelse BBC riporta che la NATO ha aperto un fascicolo sulla questione MBDA “Nato is assessing the impact of a data breach of classified military documents being sold by a hacker group online”;
- 3 settembre 2022: Adrastea apre canale Telegram e pubblica altre porzioni di dati in buona misura riconducibili al lotto di dati di MBDA;
Canale Telegram di Adrastea e pubblicazione dati.
- 15 ottobre 2022: circola la notizia che i sistemi “Aspide” e “Spada” di MBDA saranno utilizzati presto in Ucraina;
- 13 ottobre 2022: Adrastea pubblica un nuovo annuncio di vendita: questa volta oltre a MBDA e NATO viene coinvolto ed i servizi di Intelligence delle Filippine, nazione chiave per la stabilità geopolitica del Sud-Est asiatico per il blocco occidentale. All’interno sono presenti dati con classificazione segreta.
Ennesimo annuncio di vendita dati da parte dell’attore criminale Adrastea.
Chi è e come opera l’attore criminale Adrastea
Adrastea è un attore criminale controverso. Dopo mesi di annunci di vendita per i famosi 60 GB ha cambiato attività: gli ultimi annunci si sono concentrati sulla rivendita di accessi ad aziende locali.
A ottobre 2022, Adrastea ha infatti cominciato a promuovere nuove attività di access-brokering (Initial Access Broker) tentando di vendere accessi alle reti di una ventina di aziende in giro per il mondo, due anche in Italia. Le aziende prese di mira sono piccole imprese, studi professionali di commercialisti, e piccoli comuni. Tant’è che i dati tecnici pubblicati dai criminali mostrano vari PC senza configurazioni di Active Directory, scenario tipico per molta della PMI nostrana.
Adrastea è un attore di minaccia classificato come gang micro-criminale in base alle caratteristiche osservate nei suoi modus operandi, a partire dai volumi di dati trafugati e ricettati, nell’ordine dei GB: dimensioni di molto inferiori alle quote di dati gestite dalle organizzazioni criminali di prima fascia: Petabyte nel caso di gang a doppia estorsione.
Anche la comunicazione pubblica che hanno tenuto è indicatore della tipologie di organizzazione dietro Adrastea, una comunicazione saltuaria, poco strutturata e molto diversa dagli stili utilizzate dai gruppi criminali organizzati più noti.
Un attore dunque micro-criminale che, nonostante ciò, ha messo le mani su dati sensibili in un periodo storico altrettanto sensibile.
Le implicazioni della riapparizione dei data leak
Dei dati recentemente messi in vendita da Ares possiamo avere maggiori informazioni. Infatti, nel settembre 2022 Adrastea aveva anche pubblicato una serie di listati contenenti i nomi ed i percorsi dei file trafugati.
La lista comprende circa 40 mila file e vi sono referenziati anche degli archivi di posta in formato “.pst”. Archivi il cui nome corrisponde ad aziende multinazionali e società di consulenza ingegneristiche locali operanti nel napoletano, con buona probabilità, partner di MBDA stessa.
Inoltre, vari dei nomi file riportati nei listati hanno nomi e direttori in italiano (e.g. “./Varie/” “./personale” “./trasferte”), a suggerire che la provenienza dei dati trafugati da Adrastea e poi rivenduti da Ares, possa proprio essere da personale italiano, collaboratori nella supply chain progettuale di MBDA.
Conclusioni
Il furto di dati è sempre stata una delle minacce principali per le aziende e le organizzazioni, ma la situazione è diventata sempre più preoccupante negli ultimi anni. Non solo il numero di attacchi è aumentato, ma anche la complessità e l’efficacia delle tecniche utilizzate dagli hacker, e, non da meno, la loro capillarità tramite il micro-crimine.
I gruppi micro-criminali popolano l’underground digitale da tempo immemore: sono piccoli manipoli, massimo una dozzina o addirittura freelance, di criminali digitali che conducono attacchi verso aziende e privati per loro profitto. Certo, meno pericolosi delle gang ransomware come le defunte Conti e Hive, o le nuove Royal e Play, ma la loro capacità offensiva è tutt’altro che da sottovalutare.
Inoltre, il micro-crimine informatico è in costante evoluzione, con nuove tecniche e tattiche che emergono continuamente e quello che ci indica ciò che è accaduto con Adrastea e MBDA è che esiste ancora oggi un grande potenziale inespresso nel cyber crimine: ovvero la prossimità fisica del microcrimine informatico.
Prossimità che può fungere da collante tra la sparizione di un disco esterno aziendale e la vendita di dati riservati nei mercati dell’underground criminale. Uno scenario da includere anche nei piani di gestione del rischio supply chain.
