Ministero delle Infrastrutture e dei trasporti, cosa sappiamo dell’attacco cyber

A inquietare sono le date. Perché nei 10 giga di dati che su Telegram il collettivo Cyber Cat rivendica di aver sottratto al ministero delle Infrastrutture e dei trasporti ci sono anche verbali datati 28 e 26 giugno. Documenti freschissimi, che i criminali informatici, ritenuti vicini alla Russia, dicono di aver rubato infiltrandosi nella macchina di una persona che lavora al dicastero guidato da Matteo Salvini. Il gruppo, che avrebbe agito per mano di un utente che si fa chiamare Ekwa23, ha annunciato l’operazione su Telegram ma al momento non ha chiesto un riscatto per le informazioni, secondo il classico schema degli attacchi ransomware: rubo, blindo le informazioni e ti chiedo dei soldi per riaverle indietro, pena la pubblicazione e il conseguente danno di immagine e per violazione dei dati personali.

Finora l’impatto dell’esfiltrazione di dati sembra rispondere più a ragioni della propaganda pro-Russia. Ossia portare alla luce falle nei sistemi di protezione di obiettivi sensibili, come un ministero, nei paesi considerati avversari dopo l’invasione dell’Ucraina. Acquisire informazioni utili a condurre nuovi attacchi. Far sentire la comunità vulnerabile. Lo dimostra la strategia degli attacchi ddos (distributed denial of service), che mettono ko un servizio internet dopo averlo sovraccaricato di richieste, usata in maniera sistematica dal fronte pro-Russia per minare la fiducia dei cittadini nelle capacità di autorità e operatori di resistere all’offensiva cibernetica. A dare notizia per primo dell’attacco è stato l’utente Frankie McEyes su Twitter.

Cosa sappiamo:

1. Cosa hanno rubato
2. Ministero nel mirino

Cosa hanno rubato

Il bottino che Cyber Cat ha reso disponibile online (e che Wired ha potuto analizzare con l’aiuto di Claudio Sono, ricercatore in ambito informatico) contiene per lo più dati e documenti che il ministero delle Infrastrutture e dei trasporti sarebbe comunque tenuto a rendere pubblici. Proprio i documenti datati 26 e 28 giugno corrispondono a verbali di sedute pubbliche per assegnare i lavori di messa in sicurezza della sponda nord del canale industriale di Porto Marghera, a Venezia, uno dei più grandi poli logistici e commerciali d’Europa. Quei documenti sono destinati a essere resi noti comunque. Ciò non vuol dire che l’attacco è da sottovalutare. Primo, perché senza opportune misure di intervento, potrebbe ripetersi, magari con conseguenze più dannose. Secondo, perché le informazioni acquisite possono essere adoperate per congegnare attacchi più sofisticati.

Nel complesso, il blocco contiene verbali di sedute di commissioni incaricate di valutare le proposte per l’assegnazione di appalti pubblici, specie nel quadrante del Nord Est. Ci sono poi documenti di gare per servizi interni, come i buoni pasto e le pulizie, gestiti attraverso Consip, la centrale degli acquisti della pubblica amministrazione. Elenchi di dati di imprese coinvolte in attività del ministero. Elenchi telefonici. Visure camerali delle imprese.

Ministero nel mirino

L’attacco è stato sferrato contro il computer di una figura apicale di un ufficio distaccato del ministero e, a una prima analisi, sembra che il materiale riguardi operazioni di diretta responsabilità di questa persona. È stato copiato anche il desktop, con un file di testo che contiene una sola parola e la copia di un articolo di giornale sui destini delle imprese che hanno realizzato il Mose, il sistema di paratie che protegge Venezia dall’acqua alta. Alcuni documenti riguardando anche i rapporti tra il ministero e il Consorzio Venezia nuova, la società che ha costruito e ha in gestione il Mose.

Wired ha chiesto informazioni al ministero in merito all’attacco e alle misure messe in campo per mitigarlo, ma non ha ricevuto risposta prima della pubblicazione di questo articolo. A Wired risulta che dell’attacco siano informate le autorità italiane per la sicurezza informatica, tra cui l’Agenzia nazionale per la cybersecurity. Questa non è la prima volta in cui il ministero delle Infrastrutture e dei trasporti cade vittima di un attacco cibernetico. A marzo e a maggio gruppi vicini alla Russia, tra cui la gang NoName057, hanno sferrato attacchi ddos contro il suo sito.