Raffica di attacchi contro siti istituzionali svizzeri: il punto della situazione stamattina a Modem (RSI)

Stamattina sono stato ospite del programma Modem della Radiotelevisione Svizzera (Rete Uno) per parlare della serie di attacchi informatici che hanno colpito numerosi siti istituzionali nazionali, su due filoni: distributed denial of service da una parte e ransomware con esfiltrazione e pubblicazione di dati sensibili. 

L’annuncio fatto dal gruppo Play dell‘esfiltrazione dei dati dal sito di Xplain. Fonte: Bleepingcomputer.com.

Potete riascoltare la puntata qui sotto:

Questo è il mio rapido riassunto delle informazioni pubblicate sugli attacchi noti fin qui, sugli aggressori e sulle misure di difesa possibili.

• Ci sono rivendicazioni di un gruppo filorusso che si fa chiamare NoName. Il Centro Nazionale per la Cibersicurezza conferma “legami con la Russia del gruppo responsabile” (RSI).
• Il gruppo NoName ha un canale Telegram pubblicamente accessibile, dove annuncia i propri attacchi in inglese (NoName057(16) Eng) e in russo (NoName057(16)).  
• 15 giugno: NoName rivendica DDOS contro RUAG e “ZVV – la  rete di trasporto che copre il cantone di Zurigo e le aree adiacenti – Svizzera turismo e SwissID, i cui siti web sono risultati temporaneamente inaccessibili.” (RSI). 
• 14 giugno: il Centro Nazionale per la Cibersicurezza (NCSC) pubblica un altro comunicato stampa sull’attacco ai danni di Xplain, nel quale precisa che “tra i dati di Xplain rubati e criptati vi erano probabilmente anche dati operativi dell’Amministrazione federale”, diversamente da quanto annunciato inizialmente. “Le diverse autorità e organizzazioni interessate devono chiarire se i dati trafugati sono attuali e se la loro pubblicazione possa comportare implicazioni di ampia portata. [...] Dato che sono stati colpiti dati operativi, diversi servizi dell’Amministrazione federale hanno sporto denuncia penale o stanno prendendo in considerazione misure simili. Ciò permetterebbe di chiarire per quale motivo i dati dell’Amministrazione federale sono finiti nel sistema della ditta Xplain”. Un’ipotesi è che si tratti di dati condivisi con Xplain per risolvere questioni tecniche (cose per esempio del tipo “questo allegato in una mail inviata da un cliente fa scattare l’antivirus/l’antispam, ti giro la mail per fartela analizzare”).
  
• 14 giugno: NoName rivendica DDOS al sito della Città di Bellinzona, effettuato con circa 1500 computer al ritmo di 70.000 richieste/secondo (RSI).
• 14 giugno: NoName rivendica DDOS ai siti del Canton Basilea Città, città di Zurigo, San Gallo (RSI) (La Regione).
• 13-14 giugno: pubblicati nel dark web “altri dati operativi sottratti in precedenza all’Amministrazione federale. Questi attacchi di tipo ransomware erano stati inflitti a fine maggio ai danni di Xplain, ditta svizzera che fornisce software per le autorità e avevano interessato, tra gli altri, l'Ufficio federale di polizia (Fedpol) e l'Ufficio federale della dogana e della sicurezza dei confini (UDSC), nonché le FFS e le autorità di polizia cantonali.” (RSI). Attribuito al gruppo che si fa chiamare Play. “Non vi sono tuttavia ancora prove che i sistemi federali siano stati attaccati direttamente. Visto che sono stati colpiti dati operativi, diversi servizi dell’amministrazione federale hanno sporto denuncia penale o stanno prendendo in considerazione misure simili. Ciò permetterebbe di chiarire per quale motivo questi dati sono finiti nel sistema della ditta Xplain, una società che sviluppa, tra l'altro, applicazioni per i servizi cantonali di esecuzione delle pene.” (RSI).
• 14 giugno: NoName rivendica DDOS contro il sito dell’aeroporto di Ginevra (Swissinfo).
  
• 8 giugno: NoName rivendica DDOS contro il sito del Parlamento svizzero, Parlament.ch (Swissinfo). Non è corretto dire che il gruppo di criminali informatici si è “intrufolato”, come scrive La Regione: un DDOS non sfonda le difese, non entra nel sito, ma lo rende inaccessibile agli utenti legittimi.
• 8 giugno: il Centro Nazionale per la Cibersicurezza (NCSC) pubblica un comunicato stampa sull’attacco ai danni di Xplain.
• 3 giugno: “L'esercito svizzero, l'Ufficio federale della dogana e della sicurezza dei confini (UDSC), l'Ufficio federale di polizia (Fedpol) e diversi corpi di polizia cantonali sono indirettamente toccati da un attacco cibernetico. Secondo rivelazioni pubblicate sabato dal quotidiano romando Le Temps, l'aggressione ha visto come vittima Xplain, una società informatica bernese a cui facevano riferimento tutte le entità in questione... Si parla di sei file compressi contenenti migliaia di documenti, provenienti dalla società con sede a Interlaken (BE) specializzata in servizi di sicurezza informatica... UDSC e Fedpol hanno confermato a Keystone-ATS che sono state divulgate delle informazioni, minimizzando la portata di quanto accaduto: l'Ufficio delle dogane sostiene che non sono stati sottratti dati interni, bensì elementi legati alla corrispondenza con clienti, mentre Fedpol afferma che l'attacco non ha interessato i suoi progetti, ma soltanto "dati di simulazione anonimizzati a scopo di test".” (Tvsvizzera.it)
• L’attacco contro Xplain sembra un classico caso di supply chain attack, nel quale l’aggressore prende di mira un fornitore di servizi o risorse tecniche del bersaglio effettivo e lo usa per raggiungere quel bersaglio. Tecnica molto efficace, usata già per esempio per i grandi attacchi di Solarwinds e NotPetya.
• A fine maggio il gruppo Play ha fatto ransomware a Xplain (annuncio pubblico del gruppo il 23 maggio) e ha colpito anche i media: CH Media e NZZ (The Local). Colpiti indirettamente anche le FSS e il Cantone di Argovia (RSI) il Dipartimento dell'istruzione di Basilea Città, l'amministrazione comunale di Rolle (Vd), “l'Università di Neuchâtel e il caseificio Cremo nel Cantone di Friburgo” (La Regione).