20.800 account di funzionari italiani sono finiti sotto il mirino degli hacker, e sono attualmente in vendita sul Darkweb. Come racconta la società specializzata Group-IB, l'attacco non ha riguardato solo l'Italia: sono oltre 30 infatti i paesi coinvolti, ma nel nostro paese si trova oltre la metà (52%) delle 40.000 vittime. Seguono Arabia Saudita e Portogallo. L'azienda ha immediatamente allertato i CERT dei paesi coinvolti: La Stampa riporta tuttavia una smentita da parte di "fonti informate", secondo cui le autorità italiane non avrebbe ricevuto alcuna notifica.
Tra i siti colpiti Group-IB segnala difesa.it e il Ministero degli Esteri, e specifica che l'intrusione sarebbe durata circa 18 mesi. Secondo gli esperti dell'azienda i dati sarebbero stati rubati usando spyware specializzato e con email di phishing e spear phising (studiato per colpire bersagli specifici).
"L'infezione era nascosta in un allegato email. Una volta aperto lanciava un trojan progettato per il furto di dati personali. Per esempio, Pony Formgrabber copia le credenziali di login dai file di configurazione, database e aree di memoria segrete in oltre 70 programmi, e poi manda le informazioni rubate ai server C&C dei criminali". I software usati sarebbero in ogni caso molti e variegati, in modo da poter colpire con precisione in ogni contesto.
Guardando ai dati in vendita, i ricercatori rilevano che le informazioni sono in gran parte di tipo personale, mentre i dati di accesso a servizi governativi sono relativamente scarsi – potrebbe significare che erano pochi già in partenza, ma anche che sono stati rivenduti con altri sistemi. Aleksandr Kalinin, responsabile del CERT interno a Group-IB, sottolinea come la causa principale in questi casi è la scarsa formazione del personale, che risulta facile da aggirare con una email ben confezionata.
È importante sottolineare che le vittime non sono per forza solo i dipendenti pubblici: le azioni di spionaggio sui computer infatti hanno estratto anche i dati di persone terze, che hanno interagito con i bersagli. In altre parole, chi ha scambiato mail con una persona colpita, potrebbe similmente aver sofferto il furto di dati.
Le tempistiche indicate da Group-IB coincidono grossolanamente con gli attacchi subiti dalla Farnesina a giugno 2017. Ai tempi si era parlato di Anonymous e della sottrazione di alcuni dati. È possibile, ma andrà verificato, che in quell'occasione sia anche partito l'attacco di cui abbiamo appreso in questi giorni.
Leggere questi articoli ti fa venire voglia di saperne di più? Soddisfa la tua curiosità con Hacklog Volume 1 e Hacklog Volume 2. In versione digitale sono gratis!