Una grande quantità di dati interni e sensibili esfiltrati dai server della Regione Sardegna sono stati pubblicati online a quanto ha verificato Cybersecurity360. L’infrastruttura informatica dell’Ente sembra esser stata colpita da un attacco ransomware già dai primi mesi del 2022.
Il gruppo criminale Quantum non sembra aver dimenticato o eliminato dai loro archivi questo attacco.
Aggiornamento del 25 giugno 2022
La Regiona Sardegna ha emesso un comunicato ufficiale sull’incidente informatico. “La Regione Autonoma della Sardegna rende noto che lo scorso 17 giugno la Regione ha ricevuto comunicazione della pubblicazione nel dark web di cartelle contenenti dati personali dei propri dipendenti e degli utenti di alcune Direzioni generali”, si legge nelle prime righe del documento. Inoltre l’avviso riporta indicazioni di carattere generale sull’impatto che questo attacco ha avuto, informando la cittadinanza che c’è stato un furto di dati e quali dati sono stati esfiltrati dai criminali.
Il comunicato contiene anche un allegato che suddivide il databreach in aree di interesse logistico (uffici, settori e dipartimenti) interessati dalla perdita dei dati e la localizzazione degli stessi nelle diverse province.
Ricordiamo, come specificato in dettaglio anche di seguito nell’articolo, che questo attacco ha avuto origine nel mese di febbraio 2022 e che quello di cui si parla in questo comunicato, interessa unicamente il rinvenimento pubblico dei dati all’epoca rubati dall’infrastruttura regionale.
Il comunicato è stato pubblicato il 24 giugno 2022, stessa data in cui si apprende che il Garante per la Protezione dei Dati Personali ha aperto un fascicolo in merito alla vicenda.
Indice degli argomenti
SardegnaIT colpita da ransomware Quantum Locker
Era il febbraio 2022 quando il giornalista Raffaele Angius pubblica un’inchiesta su Indip riguardo proprio la ricostruzione di quello che sembra essere a tutti gli effetti un attacco ransomware ai danni della Regione Sardegna, supportata tra le altre cose anche dalle dichiarazioni sull’incidente informatico, rilasciate alla redazione dall’amministratore delegato di SardegnaIT Alessio Grazietti.
Sì, perché l’attacco è stato sferrato contro la società in-house della Regione Sardegna chiamata SardegnaIT, che si occupa appunto di tutta l’infrastruttura tecnologica per conto proprio dell’ente pubblico.
La società riferiva di cinquanta server compromessi per i quali sarebbero stati condotti tutti gli adempimenti necessari al ripristino della funzionalità con conseguente “pulizia” del software malevolo.
Diversa sorte, invece, hanno avuto i dati della regione Sardegna contenuti su tali server compromessi. Finora, infatti, non ci sono stati comunicati né dichiarazioni ufficiali in merito alla possibilità di eventuali fughe di dati. Ma, di fatto, difficile immaginare che un attacco inferto contro un’importante società strategica di un ente pubblico non porti con sé un conseguente data breach.
Effettivamente, Quantum Locker non ha rivendicato l’attacco con un post pubblico sul proprio sito, ma ha pubblicato i dati che al momento sono liberamente accessibili a chiunque.
Cybersecurity360.it ha fatto espressa richiesta di informazioni in merito a questa vicenda, direttamente a SardegnaIT e avrà cura di aggiornare questo articolo quando riceverà una risposta della società in merito.
I dati rubati a Regione Sardegna
Al momento, sembrerebbe che il gruppo criminale Quantum Locker sia riuscito a rubare ben 155 GB di dati sensibili e interni alla Regione Sardegna (gestiti proprio sui server colpiti di SardegnaIT): questa sarebbe la dimensione dell’impatto che questo attacco ha generato. In maniera del tutto silente forse, ma decisamente dalle importanti proporzioni.
La più grande fuga di dati per una PA
E le proporzioni, in questo caso, contano. Un archivio di 155 GB di documenti rappresenterebbe, allo stato attuale, la più grossa fuga di dati che una pubblica amministrazione italiana abbia subito.
Si parla, infatti, di 169.225 files interni resi pubblici su Internet, tuttora liberamente accessibili a chiunque, direttamente sotto rete Tor. Una quantità enorme se pensiamo che questo numero comprende unicamente documenti, immagini, video e testi. All’interno non c’è la solita esfiltrazione massiva di tutta la macchina compromessa, che quindi avrebbe un gran numero di file di sistema, installazioni di programmi e via dicendo. No, in questo caso i dati che stiamo elencando e analizzando sono stati oggetto di un furto mirato e depurato da ogni dato che potesse aumentarne la dimensione ma indebolirne l’importanza strategica.
Dal punto di vista tecnico, verrebbe da ipotizzare un attacco rivolto a fileserver messi a disposizione della Regione e dei suoi dipendenti come spazio interno di archiviazione delle più diverse tipologie di documentazione di utilizzo quotidiano negli uffici di un ente pubblico.
Le analisi sui dati rubati sono ancora in corso e una quantità così grande richiederà sicuramente un certo tempo di elaborazione prima di poter dare risultati completi della situazione.
Quello che possiamo affermare già da ora è che l’archivio disponibile online comprende un gran numero di documenti d’identità, anagrafiche complete (numeri di telefono, indirizzi email, residenza e domicilio), mansionari, documenti sulle spettanze, cambi di ruolo e documenti sulle condizioni di salute, per quanto riguarda i dipendenti di regione Sardegna.
Mentre, invece, lato cittadini troviamo esposti anche in questo caso un importante numero di anagrafiche, in relazione a verifiche sui tributi (pagati/non pagati) dei contribuenti, quindi verbali di accertamento, nonché contratti stipulati con titolari di imprese che coinvolgono almeno dal 2010 al 2021 tutto il territorio isolano e materiale presentato dai cittadini per gare d’appalto.
La parte che sembra rivestire un ruolo di maggiore sensibilità è data dai documenti (forse di più riservata conservazione) sulle verifiche e i sopralluoghi, con tanto di verbali, sugli abusi edilizi in giro per la Sardegna. 6.430 foto dettagliate di sopralluoghi collegati ad abusi edilizi. Non viene nascosto niente, in effetti ognuno di questi dossier, da Alghero a Cagliari, sono ricchi di dettagli, personali e amministrativi, di quanto accaduto negli anni passati.
La grande quota è sicuramente occupata dai documenti, contratti (firmati e non) tra imprese e Regione e tra cittadini e Regione, scansioni di verbali, contenziosi, determine e comunicazioni interne, nonché esiti di note disciplinari verso i dipendenti: 87.072 documenti in formato PDF e 27.550 documenti in formato Word.
Cartelle piene di video e foto relative a sopralluoghi in costruzioni e cantieri oggetto di verifica. Ma anche video integrali di riunioni decisionali interne del personali dipendente. Un archivio enorme dunque, che non può passare inosservato, soprattutto agli occhi delle persone coinvolte direttamente nella proprietà di questi dati.
Mulè: “Lo stato è sicuro, il problema sono le PMI”
La scoperta del data breach dai server della Regione Sardegna, arriva appena dopo il turbolento attacco informatico (sempre ransomware) subito dal Comune di Palermo e quello dell’Università di Pisa, anche se cronologicamente è da attribuire al mese di febbraio 2022.
#Ransom | #Ransomware | #Quantum pubblica (per errore) i dati (155 GB) di #RegioneSardegna
[Rif. inchiesta di @faffa42 | nota per @nuke86] pic.twitter.com/FgozdWIykq— Claudio (@sonoclaudio) June 17, 2022
Giorni in cui anche il Governo italiano fa dei passi in avanti in ambito cyber security ed è lo stesso Sottosegretario alla Difesa Giorgio Mulè ad affermare che “con l’Agenzia Nazionale sulla Cybersicurezza l’Italia si è dotata di uno strumento efficace”, ponendo l’attenzione non più sugli enti pubblici che sarebbero quindi sotto sicura protezione, ma sulle PMI che ancora hanno davanti un cammino di adeguamento abbastanza lungo.
Da queste riflessioni capiamo che allo stato attuale ci stiamo ritrovando ad analizzare attacchi avvenuti evidentemente prima dell’assunzione da parte dell’Italia di “strumenti efficaci” contro il crimine informatico. E allo stesso tempo suonano anche come parole di speranza per il futuro, il quale dovrebbe essere, a rigor di logica, più scarno di attacchi contro le strutture pubbliche nostrane, perché di fatto Comune di Palermo, Università di Pisa e Regione Sardegna sono tutti appartenenti al cluster “enti pubblici”.
È altresì vero che dietro un attacco rivolto a ente pubblico c’è, nella maggioranza dei casi, una società di servizi IT che opera per conto dell’ente. Però questo non deve cambiare le sorti del futuro miglioramento cyber del nostro Paese, proprio in funzione del fatto che la scelta di fornitori IT è ricompreso tra le caratteristiche di uno “strumento efficace” alla sicurezza informatica dello Stato.
Articolo pubblicato il 18 giugno 2022 e aggiornato in seguito alla pubblicazione del comunicato ufficiale da parte della Regione Sardegna
