Rubati documenti riservati e liste di clienti. Vittime ditte medie e grandi nel campo di sanità, banche, energia e telecomunicazioni. I criminali sfruttano un bug di Microsoft per il quale esiste una patch, ma non sempre è stata installata
Un cyber attacco di origine governativa cinese sta causando sconquassi tra aziende medie e grandi italiane, di vari settori strategici: sanità, industria manifatturiera, banche, energia e telecomunicazioni. I criminali stando entrando nei sistemi delle vittime e rubando documenti riservati, liste e dati di clienti.
Sfruttano un bug del server Microsoft Exchange. La stessa Microsoft ha comunicato la presenza di questo bug a marzo e ha fornito anche una patch, ossia un aggiornamento informatico per correggerlo. Il problema è che molte aziende non l’hanno installato ancora oppure hanno subito un attacco prima che l’aggiornamento fosse disponibile. Ed è italiano un numero rilevante di queste aziende attaccate, a quanto riportano diversi analisti. Ad esempio, in un rapporto Checkpoint di qualche giorno fa risulta che l’Italia è tra i primi Paesi al mondo a subire questi attacchi.
Conferma Yoroi, un’altra società specializzata in cyber security: “Siamo vittime eccellenti di questo tipo di attacco, molto pericoloso, perché Exchange è un server di posta molto diffuso da noi, in particolare in aziende medio-grandi, come grosse aziende sanitarie e big dell’energia, dell’industria, delle telecomunicazioni”, conferma Pierluigi Paganini, professore al master cybersecurity dell’università Luiss di Roma.
“Da qualche giorno è allarme rosso tra i nostri clienti. Ci chiamano perché sospettano di essere stati vittima di quest’attacco, che perlopiù è silenzioso. E noi poi scopriamo, in moltissimi casi, che in effetti è avvenuto e ha sottratto database di clienti o altre informazioni strategiche”, aggiunge Alberto Pelliccione, tecnico informatico a capo di ReaQta, una delle società di cyber security più note in Europa.
“L’origine del problema è legata al Governo cinese, secondo quanto riportato da Microsoft”, racconta Pelliccione. “In sostanza, l’azienda aveva scoperto una vulnerabilità importante nel proprio Exchange, attraverso cui è abbastanza facile introdursi nei sistemi dell’azienda. Microsoft ha condivisione quest’informazione con i propri partner principali, come di consueto. Una talpa, tra questi partner, legato in qualche misura al Governo cinese ha però fatto trapelare l’informazione, che è quindi è stata sfruttata”. Secondo Pelliccione, “ci sono due ipotesi. O il bug è stato venduto, per una cifra nell’ordine dei milioni di dollari. Oppure è stato comunicato al Governo cinese su pressioni politiche di quest’ultimo”.
“Abbiamo visto che gli attacchi alle aziende italiane sono di massa – aggiunge. I criminali li hanno programmati per entrare in tutte le reti dove trovano un server Exchange vulnerabile, come con una pesca a strascico, e sottraggono in automatico lo stesso tipo di documenti. Se trovano qui qualcosa di utile poi ritornano manualmente per rubare dati più specifici. Lo abbiamo visto fare con una grossa azienda sanitaria”. “Questo tipo di attacco di massa farebbe pensare più a cybercriminali comuni che ad attaccanti collegati al Governo cinese. Possibile quindi che adesso siano in azione attaccanti che hanno comprato dai cinesi questi strumenti di offesa, che sfruttano la vulnerabilità Microsoft”. “Gli hacker legati a Pechino quindi avrebbero agito solo in una prima fase, per mesi in silenzio, quando il bug non era ancora stato comunicato da Microsoft e non c’era una patch”, aggiunge Pelliccione.
Una nota dell’agenzia stampa internazionale Bloomberg riporta che una grande azienda telefonica avrebbe subito disservizi alla rete interna correlati a questo problema. L’azienda specifica a Repubblica che i disservizi non sono frutto di un attacco cyber ma di un errore tecnico nel predisporre le difese contro quell’attacco. “Una spiegazione plausibile, anche se ancora non è chiaro cosa sia successo davvero”, dice Paganini. (Fonte)
