I peggiori timori degli esperti cyber sulla sicurezza del sistema green pass sono confermati.
Ieri è arrivata la comunicazione ufficiale da parte delle autorità (nello specifico il CNAIPIC) che hanno scoperto una rete di creazione di green pass falsi creati da criminali a beneficio di no vax: la compromissione avviene tramite phishing via e-mail verso farmacie, strutture qualificate per utilizzare tali piattaforme oppure tramite social engineering con chiamate VoIP agli stessi soggetti.
Il phishing è stato usato per fare cliccare su un link verso una piattaforma falsa dove rubare le credenziali degli utenti.
Phishing e chiamate VoIP truffa, vishing, per indurre la vittima target a installare un software di desktop remoto preimpostato, in modo da poter “spiare” tutti i movimenti del computer compromesso fino ad arrivare alla cattura dei dati di interesse (URL, utente e password) riguardanti la piattaforma.
È la conclusione a cui è giunta l’indagine della Polizia Postale di Napoli che si è conclusa con 15 indagati con l’ipotesi di appartenenza a un’associazione a delinquere finalizzata alla falsificazione di documenti sanitari. Indagati anche 67 di loro presunti “clienti”, che hanno comprato i pass falsi creati in questo modo e in vendita sul web o su canali Telegram.
Già dal 5 novembre avevamo parlato di gravi problemi di sicurezza nel sistema sanitario italiano in relazione alla generazione dei Green Pass e alla compromissione delle credenziali dei Panel DGC. E ora la conferma.
I Panel DGC, lo ricordiamo, sono gli applicativi governativi di tipo as-a-service che erogano il servizio di inserimento dei dati vaccinali e di generazione dei Green Pass per farmacie, hub vaccinali e strutture sanitarie locali su tutto il territorio nazionale.
Italia ed Europa sotto attacco informatico, nel mirino il sistema sanitario: cosa succede
Indice degli argomenti
Green Pass falsi: un’analisi di tutta la faccenda
Monitorando la vicenda ormai da mesi, possiamo effettuare un’analisi sulla base dei materiali raccolti finora confermati di volta in volta dal susseguirsi delle vicende giudiziarie.
Oggi più che mai risulta impossibile non sostenere l’esistenza di diversi gruppi criminali organizzati sul fronte green pass. I numeri delle dichiarazioni rilasciate in queste ore, infatti, giustificano (in base alle nostre evidenze) solo una parte di questo “mercato”.
C’è, da parte dei gruppi criminali che si stanno occupando del nostro sistema sanitario, tutto l’interesse a estromettere dall’attività illecita di “concorrenza” i gruppi più piccoli e meno organizzati. Questo giustificherebbe anche il fatto che a oggi è ancora disponibile un sito sotto rete Tor visibile nella figura sottostante.
Con ogni probabilità non collegato ai 15 responsabili ora indagati che, probabilmente, sono le pedine più piccole di questa vicenda.
La fragilità della nostra infrastruttura viene evidenziata e resa nota oggi, con l’utilizzo del phishing via email e telefonico (il cosiddetto vishing o voice phishing), che giustifica un elevato grado di analfabetismo digitale del personale che opera con soluzioni tecnologiche.
Igiene informatica non al passo con i tempi, qualità sicuramente per la quale tutta la PA deve puntare al miglioramento a tutti i livelli di responsabilità, fino all’ultimo anello della farmacia di turno alla quale viene affidato l’uso di una piattaforma governativa critica in termini di sicurezza.
Green Pass rubati, gratis sul web ed eMule: che sta succedendo
Le vulnerabilità del nostro sistema sanitario
Discorso a parte riveste invece la vulnerabilità dei sistemi interni e più centrali al nostro sistema sanitario, che aprirebbe nuovi scenari a tutta l’organizzazione dietro questa operazione che ha come finalità ultima l’obiettivo Green Pass, ma con tutta probabilità il conseguente attacco alla UE.
Ci sono evidenze raccolte per le quali gruppi APT molto più organizzati siano responsabili di questo genere di compromissioni, portando a termine tale azione proprio da service providers vulnerabili, ovviamente collegati alla PA (quindi strategici per lo stato), attraverso i quali il gruppo che ne ha ricavato l’accesso riesce a muoversi internamente, centrando obiettivi con caratteristiche simili (appartenenti per esempio al sistema sanitario, o anche facenti parte della Pubblica Amministrazione).
DarkOwl, ad esempio, ha evidenziato da mesi il gruppo xGroup, dimostrando che si tratterebbe di un insieme di persone capace di portare a termine quanto descritto sopra; e a tal proposito, la lezione di LazioCrea (in Italia) dovrebbe farci riflettere.
Un esempio tecnico di queste vulnerabilità che abbiamo avuto modo di raccogliere in questi mesi è quella attinente ad Anti-Web, nota da anni e in alcuni casi non ancora fixata, dalle ultime evidenze sei presenti in Italia. Si tratterebbe della CVE 2017-17888, appunto del 2017 e che riguarda Anti-Web Remote Command Execution con punteggio di rischio decisamente elevato (8.8).
Della quale ho recuperato per l’occasione una lista dei prodotti interessati e relativi fornitori.
Questa esposizione potrebbe interessare server ospitanti piattaforme sanitarie, che con lo sfruttamento di questa vulnerabilità (in maniera estremamente semplice tramite script Python), potrebbe rendere fattibile l’accesso non autorizzato a terze parti, su di esse.
Conclusioni
Rimangono ancora molti dubbi sulla vicenda (la quantità di persone coinvolte e il numero di Green Pass veicolati tali da giustificare un vero business) e dovremo aspettare i prossimi sviluppi per approfondire l’argomento.
Ma il fatto che un piccolo gruppo di questo fenomeno criminale sia sotto indagine delle autorità, fa pensare chiaramente all’esistenza di un gruppo primario di riferimento, ad oggi ancora sconosciuto.
