Vaccini, un’ondata di cyberattacchi, l’allarme degli esperti
Assalto hacker allo sviluppo dei vaccini: ecco gli ultimi attacchi
ALCUNI giorni fa IBM aveva individuato una campagna di phishing globale che aveva ed ha ancora come bersagli aziende e organizzazioni impegnate nello sviluppo della catena del freddo per distribuire i vaccini contro Sars-CoV-2, un tassello fondamentale della supply chain mondiale. Si tratta solo dell’ultimo capitolo di quella che secondo CybergON è stata in questi mesi una scatenata guerra informatica alla proprietà intellettuale e alle informazioni che ruotano intorno allo sviluppo e alle sperimentazioni dei vaccini da parte di numerose imprese, istituzioni e laboratori in tutto il mondo. Secondo il report 2020 di Enisa, l’Agenzia europea per la sicurezza delle reti e dell’informazione, lo spionaggio è la motivazione dietro al 20% dei data breach e ha visto un significativo incremento proprio tra luglio e novembre, periodo in cui la speculazione sui vaccini anti-Covid si è fatta più intensa. Fino a concretizzarsi ad autunno inoltrato con gli annunci dei top manager delle case farmaceutiche come Pfizer e Moderna e all’avvio delle somministrazioni in diversi paesi, dalla Gran Bretagna agli Stati Uniti.
CybergON ha dunque ripercorso il sentiero intrapreso dai gruppi criminali che hanno pianificato attacchi a case farmaceutiche e laboratori di ricerca più o meno dalla scorsa primavera, cioè da quando i media hanno iniziato a parlare in termini più concreti e circostanziati dei vaccini, dei tempi e delle prospettive. Sono tre i paesi coinvolti nei tentativi di esfiltrazioni di dati, almeno fino ad oggi. Tre colossi della cyberwar sui fronti più diversi: Russia, Cina e Corea del Nord.
L’obiettivo delle operazioni di cui si è avuto notizia nel corso dei mesi è stato duplice. Da una parte ai gruppi legati a Russia e Cina interessava poter visionare i risultati delle sperimentazioni degli altri paesi e confrontarli con le soluzioni sviluppate autonomamente. Dall’altra, in particolare nel caso del regime coreano, lo scopo era sottrarre brevetti e indicazioni di produzione per poterli sviluppare in modo autonomo. “Emerge così l’attenta pianificazione criminosa che mette a dura prova agenzie di intelligence come l’Nsa americana e il Ncsc britannico, impegnate nel proteggere risorse più delicate e che le relegano sempre più a ruoli di pedine di un gioco ormai già predestinato” si legge in una nota firmata da CybergON.
Se il 38% dei criminali informatici è finanziato dal paese di provenienza e dai suoi reparti di intelligence, gli interessi dei criminali informatici sono tuttavia anche economici, architettati cioè con l’intento di chiedere riscatti dopo la sottrazione di informazioni sensibili e alla loro vendita attraverso i molti canali del dark web. La stessa Ema, la European Medicines Agency che sta per autorizzare il ritrovato di Pfizer-BioNTech nei paesi dell’Unione, è stata oggetto di un cyberattacco nel corso del quale sono stati rubati alcuni documenti legati proprio al vaccino in questione, in particolare quelli che riguardano la richiesta di autorizzazione all’immissione in commercio.
A maggio, quando la stragrande maggioranza dei ritrovati era ancora nel pieno delle fasi precliniche o al massimo nella prima fase su pochi volontari, il dark web era già popolato da vaccini fasulli venduti dagli Stati Uniti per 400 dollari e da litri di plasma di pazienti Covid-19 per 1.700 dollari. Ma è il 16 luglio scorso che si è verificato il primo vero attacco a diversi laboratori americani, inglesi e canadesi da parte del famigerato gruppo Cozy Bear, conosciuto anche come Apt29 (Advance Persistant Threat), che secondo molti analisti sarebbe espressione dei servizi di Mosca. Un’operazione svolta con un modus operandi differente da quello visto in passato, che consisteva in attacchi di spear-phishing con link malevoli e furto di credenziali riutilizzate per successivi movimenti laterali. In questa nuova campagna di attacco il gruppo ha sfruttato le vulnerabilità dei sistemi come CVE-2019-19781 Citrix e CVE-2019-11510 Pulse Secure VPN.
Il 21 luglio 2020 è stato poi registrato un altro attacco, questa volta a quanto pare di origine cinese: il 33enne Jiazhi Dong e il 34enne Xiaoyu Li hanno preso di mira i server di alcune aziende coinvolte nello sviluppo e nella ricerca sui vaccini alla ricerca, in quel caso senza successo, di vulnerabilità da sfruttare. Questi due criminali assoldati dall’intelligence cinese (il regime lascia a gruppi come Apt10 o Apt42 o singoli hacker la libertà di arricchirsi con i loro crimini digitali a patto che consegnino informazioni preziose per la causa nazionale) hanno un lungo curriculum alle spalle: già 11 anni fa riuscirono a sottrarre un gran numero di brevetti industriali da aziende spagnole, olandesi, britanniche, svedesi, tedesche e giapponesi per un valore di centinaia di milioni di dollari.
Lo scorso 13 novembre, invece, è stata Microsoft a denunciare una serie di attacchi targati Russia e Corea del Nord, sempre ai danni di laboratori e impianti di produzione di vaccini in sperimentazione clinica negli Stati Uniti, (da mesi nel mirino anche per quanto riguarda le strutture ospedaliere), Canada, Francia, Corea del Sud e India. In quel caso si è trattato di un’ondata di azioni “brute force” o “password spray”, tecniche per forzare le password e gli accessi ai sistemi, ai danni di sette aziende. Sotto accusa è finito il gruppo russo noto come Fancy Bear (Apt28 che Microsoft classifica come Strontium) coinvolto in miriadi di simili operazioni. Altri due sarebbero invece il gruppo Lazarus della Corea del Nord e un gruppo che il colosso di Redmond ha identificato come Cerium oltre al gruppo Zinc. Queste tre sigle hanno invece scelto per le loro azioni altre strade a base di “spear-phishing”, vale a dire una truffa veicolata tramite e-mail (o altri canali di messaggistica) indirizzata a una persona, un’organizzazione o un’azienda specifica, in cui il mittente si attribuisce di volta in volta una “maschera” diversa. In questo caso anche quella di massimi dirigenti dell’Organizzazione mondiale della sanità.
In quell’occasione Microsoft aveva invitato i leader mondiali a occuparsi con attenzione anche di questo fronte e a fare fronte comune “per la sicurezza delle nostre istituzioni sanitarie” nonché a far rispettare “la legge contro gli attacchi informatici che prendono di mira coloro che si sforzano di aiutare tutti noi”. Un appello ribadito anche dal presidente del gruppo, Brad Smith, all’ultimo Forum per la pace di Parigi concluso il 13 novembre.
Il 27 novembre è stata poi la volta dell’attacco ad AstraZeneca, azienda britannica su cui l’Unione Europea ha scommesso molto, ordinando 400 milioni di dosi. “Criminali nordcoreani hanno bersagliato i dipendenti sfruttando tecniche di ingegneria sociale – spiega il rapporto – in particolare i criminali hanno offerto, tramite LinkedIn o WhatsApp, posti di lavoro specializzati per cui l’interessato” è stato spinto a fornire “informazioni sensibili che sarebbero state riutilizzate successivamente per fare breccia nel perimetro aziendale”. Di mezzo, ai primi di dicembre, ci è finita anche la Irbm, l’azienda di Pomezia che ha collaborato col colosso farmaceutico.
Il 3 dicembre è stato invece il turno invece delle operazioni ai danni di chi lavora alla catena del freddo necessaria per il trasporto dei vaccini: è forse uno degli aspetti più inquietanti e dei rischi più elevati, nel caso del vaccino Pfizer (che deve essere mantenuto a temperature comprese tra -60 e -86 gradi centigradi) ma anche degli altri che necessitano di essere spediti a temperature inferiori ma pur sempre refrigerati. In caso di attacco ransomware a buon fine, infatti, i criminali potrebbero richiedere salatissimi riscatti per evitare lo spegnimento dei sistemi di raffreddamento.
L’ultima tappa di questa recente ma intenso assalto ai vaccini ai vaccini è dello scorso 10 dicembre, quando sono stati appunto attaccati alcuni server dell’Ema. “Sars-Cov-2 non ha solo digitalizzato interi paesi ma ha anche scombinato le carte in tavola di potenze mondiali che si contrastano in una guerra “cibernetica” fatta di vulnerabilità e dati sensibili – conclude il rapporto della business unit di Elmec Informatica dedicata alla cybersecurity – il famoso patto di non aggressione cyber firmato nel 2015 tra l’allora presidente americano Barack Obama e quello cinese Xi sembra solo un lontano ricordo”
