È apparso nei giorni scorsi un curioso annuncio di vendita, su canali underground spesso frequentati da threat actors internazionali, relativamente a una vulnerabilità (oggetto dell’affare) che dovrebbe interessare il nostro Ministero delle infrastrutture e della mobilità sostenibili.
Indice degli argomenti
In vendita dati interni del Ministero dei trasporti: il caso
L’attore della minaccia non è sconosciuto alle cronache cyber: si trattarebbe, infatti, del gruppo coreano Kelvin Security, organizzato e specializzato proprio in data breach verso grandi vittime di rilevanza per il Paese che sceglie come target da colpire.
A parte operare su Telegram per l’organizzazione delle attività informatiche criminali, gli affiliati del gruppo criminale sfruttano spesso la visibilità offerta dai forum underground, molto trafficati per attività redditizia illecita come la rivendita di dati esfiltrati.
Ciò che ha fatto suonare un campanello d’allarme, anche presso la Cyber Threat Intelligence di Yoroi è stato proprio un post pubblicato il 25 agosto scorso nel quale si prende di mira proprio il Ministero dei Trasporti italiano. CyberSecurity360 ha ricevuto la segnalazione e indagato la vicenda, proprio tramite la ricerca di Luigi Martire, Senior Malware Analyst presso Yoroi, secondo cui l’autore del post sembrerebbe abbastanza “affidabile” nelle sue operazioni.
In effetti tra le vittime del gruppo criminale è facilmente rilevabile la quantità di banche, enti, istituzioni e grandi multinazionali con partecipazione pubblica, che solo nell’ultimo anno hanno avuto a che fare con questo gruppo criminale informatico.
Exploit e credenziali del MIT sfruttabili per programmare un data breach?
“Alcuni screenshot hanno data molto recente (23 agosto) e sembra essere un leak reale”, prosegue Martire. Il condizionale è sempre d’obbligo vista la scarsità di informazioni a supporto di questa operazione, però Cybersecurity360 ha richiesto un commento in merito direttamente al Ministero e avremo cura di pubblicarlo, aggiornando questo articolo, non appena ricevuto eventuale riscontro.
L’oggetto della vendita, come indicato direttamente sull’annuncio criminale, è dunque proprio la vulnerabilità, con credenziali di accesso (login) e script per sfruttarla (exploit). Tale vulnerabilità, se sfruttata, consentirebbe a utenti malintenzionati di estrarre dati interni dall’infrastruttura italiana relativamente a piani d’emergenza, personale tecnico, bolle di trasporto e documenti di traffico ferroviario (presumibilmente attribuibili a RFI).
L’autore afferma di esser riuscito ad esfiltrare, con questa tecnica, un totale di 36.000 documenti.
L’annuncio di vendita dei dati ora è stato eliminato
Il mistero sui dati interni dell’infrastruttura nazionale dei trasporti e della mobilità si infittisce dopo che, al quinto giorno di permanenza online dell’annuncio, con i sample appena descritti, tra la notte di ieri e questa mattina (29 e 30 agosto), l’annuncio sparisce e non è più disponibile online nel luogo dove inizialmente è apparso.
Questo ovviamente non elimina l’eventuale gravità della situazione, se confermata, in quanto il gruppo criminale continua la propria attività attraverso molteplici canali, prescindendo dai forum underground che ne danno solamente ulteriore visibilità.
“I membri di Kelvin Security non sembrano essere degli sprovveduti, quindi abbastanza anomala come situazione”, termina l’esperto di Yoroi, Luigi Martire.
Articolo in aggiornamento, CyberSecurity360 monitorerà l’evoluzione di questa vicenda e rimane disponibile a pubblicare qualsiasi comunicato stampa o nota ufficiale del Ministero dei trasporti, al fine di poterne evidenziare ulteriori dettagli.
