Il grave data breach che ha causato l’esposizione degli 800 GB di dati, relativi a un periodo compreso tra il 2004 e il 2020, esfiltrati alla Sogin S.p.A., società statale che ha in appalto il decommissioning nucleare e la messa in sicurezza dei rifiuti radioattivi in Italia, sottolinea una volta di più la rilevanza del fattore umano in tutti gli attacchi hacker, di qualunque portata siano.
Indice degli argomenti
Le evidenze del data breach a Sogin
Il 13 dicembre 2021 la stessa Sogin ha confermato a mezzo comunicato stampa di aver avuto evidenza di un attacco hacker al proprio sistema informatico. All’interno del comunicato, la società ha affermato di avere “immediatamente informato le Autorità competenti con le quali sono state messe in atto le procedure per porre rimedio all’accaduto e verificare l’eventuale violazione di profili collegati alla privacy e alla sicurezza dei dati”, dichiarando che “la sicurezza sia nucleare che convenzionale degli impianti e la loro operatività è sempre stata garantita”.
Dalle analisi effettuate, sembrerebbe che il sample rilasciato su Raidforum e sulla piattaforma russa XSS riguardi un progetto di Sogin risalente al 2016 sul complesso Cemex dell’Eurex di Saluggia, relativo allo smaltimento di 230 metri cubi di scorie liquide nell’impianto in provincia di Vercelli: ciò, a prima vista, ha fatto pensare a un tentativo di truffa da parte dell’utente zerox296 che ha messo in vendita il materiale sulle due piattaforme per l’equivalente di 250mila dollari in criptovaluta Monero.
Tuttavia, secondo alcuni esperti di sicurezza informatica, il materiale rilasciato sul forum russo XSS appare più completo e aggiornato, con dati riferibili anche al 2020, rispetto a quello presente su RaidForum, dal momento che riporta un maggior numero di documenti che dimostrano l’autenticità del leak.
Gli stessi esperti sottolineano che, al di là della maggiore o minore sensibilità del materiale divulgato, è rilevante il fatto che siano stati rubati 800 GB di dati da una società come Sogin, connessa al 100% al MEF (Ministero dell’Economia e delle Finanze) e a diverse aziende strategiche per il Paese; dal momento che in quegli 800 GB potrebbero trovarsi dati molto più rilevanti di quelli diffusi nei sample.
Il punto di accesso: un PC aziendale usato per scopi personali
Il contenuto del leakage, finito sui forum del Dark Web per mano di zerox296 (noto già per il data breach dello scorso luglio ai danni del colosso petrolifero saudita Aramco), riguarda documentazione sensibile di vario genere: password in chiaro, appalti, disegni tecnici di macchinari e impianti, preventivi, una mappa che localizza uno dei siti che Sogin ha in gestione, ovvero l’impianto dell’Itrec di Trisaia, in Basilicata, una lista di aggiornamenti software e hardware richiesti; ma anche curriculum di dipendenti, consuntivi di trasferte del personale, foto di riunioni, per un totale di più di 470mila voci, tra cui anche il necessario a far funzionare una workstation utilizzata a livello industriale per il monitoraggio di impianti.
Sono tuttavia presenti anche diversi contenuti di carattere personale, come foto condivise sulla piattaforma di messaggistica WhatsApp o chiavi di accesso annotate su un documento Word: elementi, questi, che lasciano pensare che il materiale sarebbe stato trafugato grazie all’intrusione all’interno di un computer aziendale, che potrebbe essere stato tuttavia utilizzato anche come PC personale.
Ciò che avrebbe consentito all’attaccante, da molti identificato con lo stesso utente “zerox296”, di penetrare nei sistemi della Sogin e trafugare l’enorme mole di dati, sarebbe dunque stata sostanzialmente quella “sciatteria” di cui parlano molti dei rapporti sulle minacce informatiche pubblicati negli ultimi anni, che identificano nella distrazione o nella carenza di consapevolezza nella gestione di procedure e infrastrutture, la causa della maggior parte degli attacchi cyber che hanno coinvolto realtà private e pubbliche, così come i singoli cittadini.
La rilevanza del fattore umano
Come evidenziato dal Data Breach Investigations Report del 2020 pubblicato da Verizon, più del 67% degli eventi del tipo data breach dipende dal fattore umano: disattenzione, scarsa consapevolezza nell’uso delle nuove tecnologie e nell’adozione dei corretti processi possono comportare un aumento delle violazioni basate su errori umani.
Nell’ultimo Data Breach Investigations Report di Verizon Business (DBIR 2021), che ha analizzato 29.207 incidenti, di cui 5.258 violazioni confermate, si evidenzia che gli attacchi di phishing sono aumentati dell’11%; l’85% delle suddette violazioni è stato determinato dal fattore umano e oltre l’80% è stato scoperto esternamente all’organizzazione.
Secondo il rapporto, corroborato dalle analisi condotte da NTT, le credenziali di accesso ai servizi sono al centro delle “attenzioni” da parte degli attaccanti nel 61% dei casi. Ma i rischi non sono legati esclusivamente al fattore umano. Attualmente, infatti, la migrazione di molte attività in cloud ha spostato l’attenzione sulle minacce alle Web application, su cui si concentra circa il 39% delle violazioni, in quanto rappresentano spesso un “vettore” per successive azioni di hacking.
Il fattore umano rimane comunque la principale causa di data breach (nell’85% dei casi secondo il DBIR 2021), in particolare nel settore sanitario, finance e insurance; mentre nel 36% dei casi (un balzo di più di dieci punti rispetto all’anno precedente) i breach sono causati dalle azioni di phishing e altre tecniche di social engineering, con particolare riferimento all’ambito della PA.
I dati forniti nel Dossier Viminale 2021 evidenziano che gli attacchi hacker come quello subito dalla Sogin sono quasi decuplicati, rilevando un +21,2% di attacchi diramati nel corso dell’ultimo anno.
Attacchi hacker e smart working: cosa impariamo
Nel corso del Forum di Cernobbio, la Ministra Lamorgese ha dichiarato che “La vulnerabilità della rete desta preoccupazione perché coinvolge la tenuta e la capacità di resilienza di fronte ad attori ostili da parte di sistemi informatici pubblici e privati”, sottolineando come il fenomeno di social engineering e del phishing abbia proliferato nel corso del 2020, agevolato anche dall’introduzione della pratica dello smart working casalingo.
Ciò è confermato dalle recenti analisi svolte da Palo Alto Network secondo cui, nel periodo compreso tra settembre 2019 e aprile 2021, si è assistito ad un significativo incremento degli attacchi di phishing, che dal monitoraggio del traffico e dei link verso i siti compromessi rilevati, appare aumentato in maniera consistente nel periodo in cui le persone hanno iniziato ad adottare la pratica del lavoro da remoto.
In particolare, è stato osservato un trend crescente particolarmente rapido di nuovi url di phishing, soprattutto nel periodo compreso tra febbraio 2020 e settembre 2021, con il picco più alto rilevato a giugno 2020.
Questo accade perché l’ambiente casalingo è spesso meno protetto rispetto a quello dell’ufficio, data l’assenza dei firewall aziendali. Gli analisti di Palo Alto Network hanno infatti notato una significativa diminuzione del traffico verso i server responsabili del filtraggio delle URL (circa il 30% in meno rispetto agli anni precedenti), che dovrebbero evitare la ricezione di e-mail di phishing, di pari passo con la diffusione della pratica dello smart working.