Il data breach a Sogin, ora confermato, significa forse che il nucleare italiano è sotto attacco cyber.
In una nota ufficiale pubblicata ieri sera, la Sogin (Società Gestione Impianti Nucleari) ha confermato l’attacco cyber al suo sistema informatico a cui è seguito un data breach che ha esposto ben 800 GB di dati riservati.
Al momento la SOGIN non ha ancora fornito ulteriori dettagli sulla natura dell’incidente di sicurezza, ma si è impegnata a indagare con le autorità competenti su quanto accaduto.
Alla società, con partecipazione diretta del MEF (Ministero dell’Economia e delle Finanze), è affidata la gestione dei rifiuti radioattivi, delle scorie e di tutto ciò che ha a che fare con il nucleare in Italia.
Indice degli argomenti
Le prime evidenze del data breach a SOGIN
Le prime evidenze dell’attacco informatico si hanno già da domenica scorsa, quando è stato individuato un annuncio sui due forum underground più noti del settore, RaidForum e (a distanza di poche ore) anche il russo XSS, nel quale l’utente zerox296 rivendicava il possesso di 800 GB di dati interni della SOGIN.
Nell’annuncio (identico su entrambi i forum, a parte il contenuto del sample) si legge che i dati sono in vendita negli stessi canali citati per 250.000 dollari da corrispondere in criptovaluta Monero.
L’allarme pubblico è partito con un tweet di Marco Govoni, appunto nella mattinata di domenica.
Questa me l’ero persa: un possibile #dataleak di #SoginSpA (rifiuti nucleari) da 800GB?? #cybersecurity @nuke86 @sonoclaudio pic.twitter.com/Yxcqn1kQfo
— {Marco Govoni} (@marcogovoni) December 12, 2021
Dalla nostra analisi emerge che anche il gruppo ArvinClub ha monitorato e rilanciato la vicenda su Telegram qualche ora prima, pur non avendo capitolo in merito all’incidente.
L’utente zerox296 non è sconosciuto nei canali underground. Il suo primo rilevante impatto, infatti, risale a luglio 2021 quando lui con il suo gruppo fecero trapelare e rivendicarono l’attacco informatico al gigante saudita Aramco tramite, spiegano loro stessi, vulnerabilità zero-day nei sistemi interni alla società di Cloud Storage.
Attacco a Sogin, il nucleare italiano: perché dobbiamo preoccuparci
Cosa sappiamo dell’attacco informatico a SOGIN
Così come riportato dall’autore degli annunci, l’attacco ha tutte le carte in regola per configurarsi come furto di dati, anche se resta da capirne la natura: se operato internamente alla società o se si è trattato di un attacco esterno che ha sfruttato qualche vulnerabilità nella filiera digitale della SOGIN per penetrare nel suo sistema informatico.
Il contenuto del furto è dimostrato da un sample, il più completo dei quali è rilevabile sull’annuncio di XSS, che offre una più ampia gamma di documenti rispetto a RaidForums, limitato invece al solo progetto CEMEX che, come riferitoci da Claudio Sono, non offre autenticità al furto visto l’ampio risvolto mediatico che ebbe il progetto all’epoca (parliamo del 2016), anche con grande reperibilità online di alcuni di questi documenti.
Sull’annuncio del forum XSS, invece, il sample è più eterogeneo e comprende una diversità di documenti più ampia, cosa che fa presagire una più reale autenticità del furto di dati.
Tra questi documenti, infatti, troviamo curriculum di dipendenti/collaboratori, cartografie di siti collegati ai progetti che la SOGIN intraprende e certificazioni di sicurezza fisica: le date qui variano dal 2016 (progetto CEMEX, appunto) al 2020.
A completamento del sample presentato, l’utente zerox296 fa rientrare anche un download (effettuabile tramite un noto sito di condivisione file online), contenente un ampio file di testo (95 MB in formato .txt) che contiene poco meno di 500.000 righe nelle quali vengono elencati i file esfiltrati di cui l’attore malevolo sarebbe in possesso.
Analizzando l’elenco troviamo una grande eterogeneità dei file contenuti nella macchina (o nelle macchine) attaccate, con la presenza di file comuni (probabilmente di svago) insieme ad altri file estremamente tecnici, riferibili appunto a una macchina che lavora all’interno di un contesto industriale.
C’è infatti, per esempio, tutto il necessario a far funzionare una workstation WindChillDS, prodotto di PTC, utilizzato proprio a livello industriale per il monitoraggio di impianti e la collaborazione tra colleghi di un determinato team di sviluppo per la gestione delle varie fasi progettuali.
Ma ci sono anche documenti che denominano un contenuto importante come chiavi di accesso, password, documenti fiscali, documenti bancari.
I lati oscuri da chiarire in tutta la vicenda
Insomma, viene da pensare che ci sia qualcosa dietro la vendita di un contenuto simile e se, per 250.000 dollari, sia più un affare o, forse, nasconda la necessità di concludere un affare in tempi brevi.
I documenti trapelati, infatti, hanno un’importanza strategica per il nostro Paese considerando anche che la SOGIN è collegata alle più importanti e critiche aziende italiane (la società è cliente di Leonardo S.p.A., Engineering, Saipem ed Enel, solo per citarne alcune).
La vicenda conserva ancora molti lati oscuri, sicuramente da chiarire, primi fra tutti la natura di questo attacco, proprio per l’importanza che riveste Sogin nel territorio italiano e visti i precedenti ormai noti dell’attore di questo leak, che con il suo gruppo è responsabile di attacchi a sistemi e infrastrutture cloud.
