Allarme cybercrime in pandemia: attacco hacker ai vaccini anti-Covid

Allarme cybercrime in pandemia: attacco hacker ai vaccini anti-Covid

IBM lancia l’allarme sull’attacco hacker ai vaccini anti-Covid. Nel mirino dei cybercriminali la “catena del freddo“, necessaria alla distribuzione delle dosi nel mondo. Attuata una campagna globale di phishing, rivolta alle principali aziende coinvolte nello stoccaggio e nel trasporto dei vaccini. Il Rapporto Clusit 2020 conferma l’impatto della pandemia sul cybercrime.

Le notizie di possibili attacchi informatici collegati alla pandemia da Sars-CoV-2 si susseguono: pochi giorni fa Reuters ha riportato l’allarme lanciato da IBM, importante azienda statunitense nel settore informatico.

Secondo il report dell’IBM Security X-Force, che si occupa di monitorare e rispondere alle minacce informatiche, i cybercriminali avrebbero preso di mira la “catena del freddo” dei vaccini anti-Covid attraverso una campagna di phishing.

Cos’è il phishing?

Il nome phishing richiama l’espressione italiana di “abboccare”, dall’inglese fishing (“pescare”). La vittima che rischia di abboccare può essere:

  • casuale se l’attacco è generalizzato, senza un destinatario specifico
  • specifica se l’attacco mira ad un determinato obiettivo

L’attacco avviene solitamente via mail, al cui interno il destinatario ritrova un link a cui collegarsi per risolvere problemi o malfunzionamenti. Quando l’attacco è mirato ad una specifica azienda, il messaggio è ricco di informazioni precise e ciò spinge l’utente a collegarsi a questo link, da cui viene inoltrato su un sito web che sembra credibile; il sito web richiede le credenziali d’accesso e a quel punto la vittima ha abboccato.

Spesso l’obiettivo è solo quello di sottrarre dati, ma una volta avuto accesso alla rete aziendale attraverso le credenziali sottratte, i cybercriminali possono anche installare dei malware sui computer a cui riescono ad accedere. In questo modo vengono raccolte informazioni, causati malfunzionamenti nei sistemi utilizzati e criptati file sensibili. Il passo successivo può essere il riscatto, richiesto per rendere i dati nuovamente intellegibili o per non divulgarli.

Com’è avvenuto l’attacco?

Nello caso specifico denunciato da IBM, le mail di phisihing sono state inviate a nome di un dirigente di Haier Biomedical, un fornitore cinese della “catena del freddo”, ovvero di quell’insieme di aziende e di loro fornitori che nel complesso assicurano che i vaccini vengano mantenuti alla giusta temperatura dalla produzione fino alla somministrazione. Haier Biomedical è specializzato in particolare nel trasporto di vaccini e nella conservazione di materiale biologico. Le mail sono arrivate a circa dieci società e organizzazioni diverse, tra cui la Direzione Generale della Commissione Europea per la Fiscalità e l’Unione Doganale, che gestisce le questioni fiscali e doganali in tutta l’UE e che ha contribuito a stabilire le regole sull’importazione dei vaccini. Tutte le organizzazioni coinvolte sembrano essere associate ad un programma di filiera gestito da Gavi, un’organizzazione internazionale che si occupa di vaccini. Tra i bersagli anche delle organizzazioni che operano nel settore dell’energia; aziende specializzate in pannelli solari, che verranno utilizzati per alimentare i frigoriferi nei Paesi caldi.

Perché colpire la “catena del freddo” ?

I vaccini anti-Covid hanno bisogno di temperature basse per mantenere inalterata la loro efficacia; il vaccino della Pfizer, ad esempio, prevede una conservazione ad una temperatura tra i -70 e i -80 gradi. La bassissima temperatura richiesta rappresenta l’elemento di maggior difficoltà dell’intera catena di distribuzione. Alla luce della vulnerabilità dei sistemi di sicurezza e della criticità di un’operazione di tale portata, i vaccini anti-Covid sono un bersaglio ideale. La “catena del freddo” deve essere sicura; lo spegnimento da remoto di un frigorifero o il dirottamento di un mezzo contenente le dosi, potrebbero rappresentare un attacco hacker senza precedenti.

“Se non pagate, spegniamo i frigoriferi.”

Foto di kalhh da Pixabay
Cybercrime: attacco hacker (Foto di kalhh da Pixabay )

L’emergenza coronavirus ha intensificato l’attività del cybercime, portando ad un aumento del 6,7% gli attacchi informatici registrati nel primo semestre 2020 rispetto al periodo compreso tra gennaio e giugno 2019. Lo evidenziano i dati contenuti nel Rapporto Clusit 2020, redatto dall’Associazione Italiana per la Sicurezza Informatica, presentati nel corso del Security Summit Streaming Edition.

Rapporto Clusit 2020
Rapporto Clusit 2020

Nel primo semestre 2020 sono stati 850 gli attacchi classificati come gravi, con un aumento di quelli riconducibili a:

  • Cybercrime (+7,1%)
  • Cyber Espionage (+11,4%)
  • Information Warfare (+25%).

Gli esperti di Clusit ne hanno individuati 119 (14%) direttamente collegati al COVID-19. I cybercriminali hanno sfruttato sin da subito l’emergenza sanitaria, per poi intensificare gli attacchi  proprio nel periodo più acuto della pandemia. Gli attacchi a tema COVID-19 sono stati perpetrati nel 61% dei casi con campagne di “Phishing” e “Social Engineering”, anche in associazione a “Malware” (21%), colpendo principalmente i cosiddetti “bersagli multipli” (64% dei casi): si tratta di attacchi studiati per danneggiare rapidamente e in parallelo il maggior numero possibile di persone e organizzazioni.

In forte crescita anche gli attacchi nei confronti delle categorie “Critical Infrastructures” (+85%), “Gov Contractors” (+73,3%), “Research / Education” (63%) e “Government” (+5,6%). Tuttavia, in termini assoluti, il settore “Government – Military – Intelligence” è stato il secondo settore nel mirino degli attaccanti (con il 14% degli attacchi), seguono i settori “Healthcare” e “Online Services” (10% degli attacchi).

Ne abbiamo parlato con il dott. Claudio Telmon, membro del Comitato Direttivo di Clusit.

Claudio Telmon
Claudio Telmon

Quale è stato l’impatto della pandemia sul cybercrime?

Fin da febbraio si è visto a livello mondiale ma anche a livello italiano un forte aumento degli attacchi informatici al settore della sanità, che continua ad essere uno dei settori più colpiti. Ha fatto molto scalpore l’attacco hacker ad un ospedale tedesco, in cui una donna sarebbe morta perché trasferita in un altro pronto soccorso per il mancato funzionamento dei sistemi informatici. In particolare l’aumento degli attacchi alla sanità si sovrappone all’evoluzione che hanno avuto contestualmente gli attacchi ransomware.

Cos’è il Ransomware?

Il Ransomware è un attacco informatico che colpisce l’utente, di solito attraverso phishing, per installare un malware che ha come obiettivo cifrare tutti i dati a cui riesce ad accedere, chiedendo in cambio un riscatto (in inglese “ransom”). Il Ransomware ha modificato la prospettiva degli attacchi informatici alle aziende di basso profilo, convinte di non rientrare tra i possibili bersagli degli hacker e di conseguenza meno attente per quanto riguarda la sicurezza. In questo modo qualsiasi azienda diventa un bersaglio interessante, perché i dati cifrati, pur non essendo importanti per gli hacker, lo sono per l’azienda attaccata. I criminali, oltre alla cifratura, mirano ad estrarre dati utili, chiedendo in cambio un riscatto, anche solo per evitarne la divulgazione.

Quali sono gli obiettivi del cybercrime?

L’obiettivo minimo della criminalità informatica è: fare soldi. Seguendo la stessa logica che utilizzano con il Ransomware, i cybercriminali chiedono un riscatto minacciando un possibile danno, come il blocco della distribuzione dei vaccini o il danneggiamento di alcune partite intervenendo sulla “catena del freddo”. Nel caso specifico, ossia la segnalazione di IBM, pare che dietro l’attacco ai vaccini anti-Covid ci sia una fonte governativa, senza specificare la nazione coinvolta. Alla luce di questo, emergono chiare manovre politico-economiche, i cui scopi potrebbero essere:

  • danneggiare l’economia di un Paese, ritardandone la ripresa economica post-vaccino;
  • danneggiare un governo, in particolare una parte politica, interferendo nella gestione e nella distribuzione del vaccino a favore della parte politica concorrente.

Come è possibile che aziende di così alto profilo, dotate di misure di cybersicurezza, siano vittima di questi attacchi?

La campagna di phishing denunciata da IBM è molto sofisticata e mirata, per questo è più corretto parlare di spearphishing. Infatti alle aziende è arrivata un’email fatta su misura, inviata a nome di dirigenti dei fornitori coinvolti nella catena del freddo, specializzati proprio nel trasporto di vaccini e nella conservazione di campioni biologici. Non è una campagna casuale in cui si mandano mail a tappetto, ecco perché è più facile cascarci. 

Questo mette in evidenza due cose fondamentalmente:

  1. Spesso l’attenzione maggiore è rivolta ad aziende “critiche”, nella cui supply chain, però, ritroviamo aziende medio-piccole che non hanno la stessa capacità di gestire la propria sicurezza. Facciamo un esempio: un attacco potrebbe essere perpetuato a carico di un fornitore di un sistema di condizionamento gestito come manutenzione da remoto e attraverso il fornitore si potrebbe arrivare alla rete aziendale del vero bersaglio, a cui si accede appunto per la manutenzione dei condizionatori. Questo mostra come colpire un’azienda che ha un ruolo apparentemente marginale, come un fornitore, possa comunque dare accesso ad aziende di alto profilo e diventare una strada interessante per un attacco informatico;
  2. C’è la necessità di propagare i requisiti di sicurezza anche ai fornitori, ai sub-fornitori etc. Infatti le grandi aziende, pur avendo sistemi ben protetti, scambiano dati con diversi soggetti, che non hanno reti altrettanto protette.

L’Italia attualmente che livello di cybersicurezza ha?

L’Italia è rimasta indietro per molto tempo, ma negli ultimi anni ha messo in atto una serie di iniziative per contrastare il cybercrime. Si tratta di iniziative europee ma anche italiane, volte a proteggere le infrastrutture critiche e il “perimetro cibernetico”, ossia il  controllo e la gestione di tutti i sistemi che garantiscono il funzionamento complessivo del Paese: sanità, trasporti, energia, etc. L’Italia ha colto la criticità del tema; molte imprese sono impegnate in percorsi di trasformazione digitale, mettendo in campo strategie di sicurezza. Anche l’intelligenza artificiale, strumento automatizzato in grado di monitorare ed elaborare in breve tempo un elevato numero di segnali, potrebbe essere utilizzato, come già accade, per garantire la sicurezza dagli attacchi informatici. Se da un lato l’intelligenza artificiale rappresenta un supporto alla cybersecurity, dall’altro può diventare uno strumento di uso comune anche tra i cybercriminali. Infatti ogni volta che vengono migliorate le strategie di difesa, diviene più sofisticata anche la natura dell’attacco.

Ideare un piano adeguato di stoccaggio, distribuzione e somministrazione dei vaccini anti-Covid è il più grande sforzo logistico della storia. Bisognerà far fronte anche delle minacce apparentemente virtuali, ma capaci danneggiare milioni di persone già colpite duramente dalla pandemia.

L’allarme cybercrime è reale.

 

Foto di copertina di Gerd Altmann da Pixabay

Anna Fortunato

Formazione scientifica e passione per la divulgazione. “Somewhere, something incredible is waiting to be known.”
Social media & sharing icons powered by UltimatelySocial