Dal ransomware agli attacchi alla supply chain, quest’anno ha mescolato hack classici con hack insoliti e furti di dati.
Nel 2020, i rischi digitali e le violazioni della sicurezza sono diventati un problema ancora più grande per utenti e aziende, il che, in linea di principio, non è così sorprendente in un’era di costante sviluppo della tecnologia e di Internet.
Tuttavia, quest’anno è stato unico in quanto il Covid-19 ha cambiato radicalmente e persino tragicamente la vita delle persone in tutto il mondo. La pandemia ha creato un ambiente senza precedenti per la tecnologia informatica, rimodellando Internet e costringendo masse di persone a lavorare da casa. Le aziende farmaceutiche hanno iniziato a lottare per il diritto di essere le prime ad avere accesso alla ricerca sui vaccini, e una tale corsa ha creato nuove opportunità per gli stati di spiarsi a vicenda e ha influenzato favorevolmente la crescita della criminalità online.
Per tradizione, negli ultimi giorni dell’anno in uscita, riassumiamo i risultati e scegliamo gli eventi di più alto profilo che hanno fatto rumore quest’anno. In questo articolo parleremo di violazioni della sicurezza, furto di dati, attacchi ransomware e tutta la frenesia digitale che si è verificata nel 2020. Siediti e preparati a leggere molti fatti interessanti.
Hack SolarWinds
A partire da domenica 13 dicembre, è arrivata a ondate la notizia che le agenzie governative degli Stati Uniti come il Dipartimento del Commercio, il Tesoro, il Dipartimento della Sicurezza Nazionale e il Dipartimento dell’Energia, le società e gli obiettivi internazionali sono stati vittime di una massiccia campagna di spionaggio a livello nazionale.
Gli hacker, ampiamente segnalati come "alcuni hacker russi", hanno effettuato un attacco alla catena di approvvigionamento del fornitore IT statunitense SolarWinds. Gli hacker hanno violato la società nell’ottobre 2019 e hanno iniettato il loro codice dannoso negli aggiornamenti software del suo strumento di monitoraggio della rete Orion. Senza saperlo, qualsiasi cliente che installava la patch Orion rilasciata tra marzo e giugno 2020 installava anche una backdoor.
Con questo attacco, gli hacker hanno ottenuto l’accesso a circa 18.000 reti client SolarWinds (secondo la società stessa). Le reti di molti dei clienti dell’azienda in tutto il mondo si sono rivelate compromesse. Allo stesso tempo, gli obiettivi non sono solo le organizzazioni statali, ma anche le aziende private di vari settori dell’economia nazionale.
Le conseguenze dell’attacco variavano a seconda della vittima. In alcuni casi, gli hacker hanno installato solo una backdoor, in altri hanno utilizzato a lungo l’accesso ai computer delle vittime. Alcune delle vittime sono state molto sfortunate: con l’aiuto del loro PC sono state effettuate ricognizioni ed esfiltrazione di dati. Inoltre, anche importanti società di infrastrutture (nei settori petrolifero, elettrico e manifatturiero) hanno installato una backdoor, ma non si sa esattamente quanto ampiamente sia stata utilizzata dagli aggressori e fino a che punto si siano spinti. Questa situazione evidenzia la minaccia rappresentata dagli attacchi alla catena di approvvigionamento, in quanto consentono ai truffatori di accedere a grandi quantità di dati in un istante.
Cinguettio
A luglio , un’ondata di hack da capogiro ha invaso le pagine di Twitter. Ha colpito i conti di Joe Biden, Barack Obama, Elon Musk, Kanye West, Bill Gates e Michael Bloomberg, nonché grandi conti aziendali di aziende come Apple e Uber. Gli account hanno pubblicato tweet che dicevano qualcosa del genere: “Ho deciso di aiutare le persone con i soldi. Tutti i bitcoin inviati all’indirizzo sottostante ti verranno restituiti in quantità doppia! Se invii 1000$, ti rimborserò 2000$. Il tuo denaro viene accettato entro 30 minuti.
Gli aggressori hanno ottenuto pieno accesso agli account: questo è, infatti, uno scenario da incubo che qualsiasi hacker sogna di diventare realtà. Tuttavia, questo attacco era solo una parte di una truffa bitcoin che ha finito per incassare i truffatori circa $ 120.000. In totale, i truffatori hanno preso di mira 130 account e ne hanno preso il controllo 45. In una frenetica battaglia per contenere le conseguenze della pericolosa situazione, Twitter ha bloccato temporaneamente tutti gli account verificati, impedendo loro di pubblicare tweet e modificare la password dell’account.
Le successive indagini hanno rivelato che gli aggressori hanno chiamato il " Servizio clienti " di Twitter e hanno indotto la risorsa ad accedere al sito di phishing per ottenere le credenziali di amministrazione del sito (inclusi nome utente, password e codici di autenticazione a più fattori). Gli aggressori sono stati quindi in grado di utilizzare questi dati per reimpostare le password degli account utente presi di mira. Alla fine di luglio, tre sospetti sono stati arrestati e accusati della truffa, tra cui il diciassettenne Graham Ivan Clark di Tampa, in Florida, che avrebbe architettato l’intero attacco digitale. A seguito di questa violazione, Twitter ha affermato di aver compiuto un grande sforzo per rivedere il sistema di controllo degli accessi dei propri dipendenti.
Blueleaks
Il 17 giugno, un gruppo di attivisti di fuga ha rilasciato 269 gigabyte di informazioni sulle forze dell’ordine negli Stati Uniti, comprese le loro e-mail, documenti, file audio e video.
DDOSecrets ha affermato che i dati provenivano da una fonte che affermava di far parte dell’effimero collettivo di hacker Anonymous. Rilasciato dopo l’uccisione di George Floyd, un deposito dati di oltre un milione di file includeva documenti e messaggi privati della polizia sulle iniziative delle forze dell’ordine per identificare e rintracciare i manifestanti.
Gran parte delle informazioni proviene da "hub di convergenza" delle forze dell’ordine che raccolgono e condividono informazioni con i gruppi delle forze dell’ordine in tutto il paese.
"Questo è il più grande furto di dati mai commesso dalle forze dell’ordine statunitensi", ha affermato Emma Best, co-fondatrice di DDOSecrets. "Questa ‘fuga di informazioni’ consente alla gente comune di analizzare le azioni della polizia incaricata di proteggere il pubblico, compresa la risposta del governo al Covid-19 e le proteste di Black Live Matters".
Ospedale universitario di Düsseldorf
A settembre, un attacco ransomware originariamente mirato alla Heinrich Heine University di Düsseldorf ha invece bloccato 30 server presso l’ospedale universitario di Düsseldorf, rompendo il sistema dell’ospedale e impedendo un’adeguata assistenza ai pazienti.
Vale la pena notare che gli attacchi involontari da parte di hacker agli ospedali universitari possono essere considerati un evento comune. L’incidente dell’ospedale universitario di Düsseldorf è stato particolarmente significativo perché è la prima volta che una morte umana è stata causata da criminali informatici.
A seguito dell’attacco, una donna sconosciuta bisognosa di cure di emergenza è stata trasferita dall’ospedale universitario di Düsseldorf a un’altra struttura a 61 km dall’ospedale, ritardando le cure di un’ora. Di conseguenza, non è sopravvissuta. I ricercatori osservano che è difficile stabilire in modo definitivo una relazione causale che abbia portato a questa morte. Tuttavia, questo incidente è chiaramente un importante promemoria del reale impatto degli attacchi ransomware sulle strutture mediche e su qualsiasi infrastruttura critica della città.
Banco accettazione
Alla fine di ottobre, in mezzo a un’ondata di attacchi ransomware contro gli ospedali, gli hacker hanno minacciato di rilasciare i dati rubati da una delle più grandi reti di salute mentale della Finlandia, Vastaamo, a meno che le persone e l’organizzazione stessa non pagassero per mantenere i dati privati.
Gli hacker avrebbero potuto ottenere queste informazioni conducendo un’operazione speciale per infiltrarsi nell’azienda. Simili tentativi di estorsione digitale sono stati fatti per molti decenni, ma la situazione di Vastaamo era particolarmente grave perché i dati rubati, ottenuti circa due anni fa, includevano registri di psicoterapia e altre informazioni sensibili sulla salute del paziente.
Vastaamo ha collaborato con la società di sicurezza privata Nixu, la polizia criminale finlandese e altre forze dell’ordine per indagare sui crimini. Funzionari governativi stimano che l’ episodio abbia toccato le cartelle cliniche di decine di migliaia di pazienti. Gli hacker hanno chiesto alle singole vittime di pagare circa € 200 (o $ 230) in bitcoin entro 24 ore dalla pubblicazione del loro messaggio o € 500 ($ 590) in un secondo momento per impedire che le informazioni private venissero rese pubbliche.
I media finlandesi hanno anche riferito che i truffatori hanno chiesto circa $ 530.000 in bitcoin a Vastaamo in modo che anche i dati rubati non venissero pubblicati. Un hacker chiamato " ransom_man " ha pubblicato informazioni private su almeno 300 pazienti Vastaamo sul servizio Web anonimo Tor per dimostrare che le informazioni rubate erano vere.
Garmin
Alla fine di luglio, gli hacker hanno lanciato un attacco contro Garmin, produttore di navigatori e orologi intelligenti. Hanno violato Garmin Connect, una piattaforma cloud che sincronizza i dati sulle attività degli utenti tra i dispositivi e parti del sito Web Garmin.com. Anche i sistemi di posta elettronica e i call center dei clienti dell’azienda sono stati disattivati.
Oltre agli atleti, agli appassionati di fitness e ad altri clienti abituali, i piloti di aerei che utilizzano i prodotti Garmin per il posizionamento, la navigazione e il cronometraggio hanno riscontrato problemi di prestazioni con i propri dispositivi di bordo. Le app flyGarmin e Garmin Pilot sono rimaste inattive per giorni, con un impatto su parte dell’hardware Garmin utilizzato sull’aereo, come gli strumenti di pianificazione del volo e gli aggiornamenti ai database aeronautici essenziali della FAA.
Alcuni rapporti indicano che anche l’ app nautica Garmin ActiveCaptain è stata colpita dagli hacker. Questo incidente evidenzia come i dispositivi IoT possono essere soggetti a guasti del sistema. Immagina quanto sia terribile quando gli strumenti nell’ufficio del pilota smettono di funzionare durante l’atterraggio o il decollo di un aereo.
Bonus. Hacker sponsorizzati dal governo cinese
Quest’anno, la Cina ha continuato la sua baldoria hacker globale. Gli hacker sponsorizzati da Pechino si sono infiltrati nelle società industriali di Taiwan per rubare grandi quantità di proprietà intellettuale, dal codice sorgente e dai kit di sviluppo software ai progetti di chip.
Il primo ministro australiano Scott Morrison ha dichiarato a giugno che il governo australiano e altre organizzazioni sono state oggetto di ripetuti attacchi da parte di hacker. L’Australia si è impegnata a investire quasi 1 miliardo di dollari nei prossimi 10 anni per espandere le sue capacità di sicurezza informatica difensiva e offensiva. Sebbene Morrison non abbia specificato quale paese abbia attaccato l’Australia, si ritiene che si riferisse alla Cina.
Australia e Cina sono state coinvolte in un’intensa guerra commerciale che ha costretto a ripensare il rapporto tra i due paesi. Il rapporto Reuters riporta anche le operazioni di hacking cinesi in corso in tutta l’Africa dopo che l’Unione africana ad Addis Abeba, in Etiopia, ha individuato aggressori cinesi che rubavano filmati CCTV archiviati sui server.
Anche gli Stati Uniti hanno subito quest’anno spionaggio digitale e furto di proprietà intellettuale attribuiti alla Cina, principalmente nei settori dell’assistenza sanitaria e dello sviluppo di vaccini per combattere il Covid-19.