:quality(100)/https://www.repstatic.it/content/contenthub/img/2021/05/27/190054398-61c47ee5-871c-420e-8f12-413268a07540.jpg)
Che lo scorso fine settimana non fosse stato tranquillo si era compreso dall’apprensione per la falla Log4Shell che minaccia i sistemi di tutto il mondo. Tuttavia un’altra inquietante notizia non ha avuto il risalto mediatico che merita, parlo di un attacco all’azienda Sogin (Società di Gestione degli Impianti Nucleari), ovvero della società pubblica responsabile del decommissioning degli impianti nucleari italiani e della gestione dei rifiuti radioattivi.
La notizia è sconcertante se consideriamo che come dichiarato sul sito aziendale, il Gruppo è un operatore con un know-how unico in Italia.
Come vi dicevo, domenica i colleghi Marco Govoni, Dario Fadda, e Claudio Sono mi hanno allertato circa la presenza su un un noto hacking forum di un annuncio che rivendicava il furto di ben 800GB di dati appartenenti alla SOGIN.
Figura 2 - Annuncio su Hacking forum Raid Forums
Increduli ci siamo messi immediatamente al lavoro cercando di verificare l’autenticità dei sample condivisi dall’autore dell’annuncio, consci del fatto che se il volume di dati esfiltrati e la natura sensibile delle informazioni fosse confermata, saremmo dinanzi ad una delle più importanti violazioni di dati subite da una azienda controllata dalla Stato italiano.
La richiesta del venditore per 800 Gb di dati presumibilmente esfiltrati dall’azienda è di 250 mila dollari in criptovalute, una miseria se pensiamo all’importanza strategica delle informazioni e ai potenziali rischi connessi alla loro divulgazione.
Le possibili spiegazioni sono diverse, l’attore potrebbe essere interessato a monetizzare rapidamente l’attacco, oppure in uno scenario più complesso e preoccupante gli attaccanti potrebbero essere intenti alla divulgazione di informazioni in modo da poter creare caos e rendere complesse le investigazioni sulla violazione. In quest’ultimo scenario gli attori malevoli potrebbero avere interesse a rendere complessa l’attribuzione dell’attacco e la finalità con una azione diversiva.
Tra i documenti rilasciati a dimostrazione dell’avvenuta intrusione troviamo foto di dipendenti, curriculum, planimetrie di impianti ed alcuni documenti finanziari.
Trai i file pubblicati online come prova dell’attacco vi è anche un file di testo contenente un indice delle informazioni che sarebbero in possesso del venditore. Alcune delle informazioni rilasciate parrebbero essere in chiaro e comprendere file di password, circostanza che suggerisce la mancata applicazione di requisiti minimi di sicurezza.
L’archivio sembrerebbe includere informazioni relative ad un ampio intervallo temporale, secondo un’analisi pubblicata da Fadda, gli attaccanti sarebbero in possesso di documento che vanno dal 2004 al 2020.
Il giorno 13 dicembre, Sogin ha pubblicato una nota stampa che conferma di aver subito un attacco al suo sistema informativo, tuttavia non sono fornite informazioni circa la natura dell’intrusione.
“Roma, 13 dicembre 2021. Sogin comunica che ieri ha avuto evidenza di un attacco hacker al suo sistema informatico. La Società ha immediatamente informato le Autorità competenti con le quali sono state messe in atto le procedure per porre rimedio all’accaduto e verificare l’eventuale violazione di profili collegati alla privacy e alla sicurezza dei dati. Sogin rappresenta che la sicurezza sia nucleare che convenzionale degli impianti e la loro operatività è sempre stata garantita.” recita la nota stampa.
Dietro l’annuncio dell’attacco troviamo un utente dal nome zerox296, noto alla comunità di sicurezza mondiale per aver reclamato il furto di un 1 terabyte di dati dal colosso petrolifero Saudi Aramco mesi addietro.
Il volume è l’arco temporale delle informazioni trafugate è estremamente preoccupante. Ricordiamo che Sogin ha collaborazioni attive con altre aziende strategiche italiane come Leonardo e Saipem che forniscono servizi a settori come quello delle infrastrutture critiche nazionali.
Cosa potrebbe accadere se le informazioni trafugate finissero nelle mani di un attaccante?
La risposta è molto preoccupante, vi potrebbero essere ripercussioni sulla sicurezza nazionale per molteplici motivi, in primis perché si tratta di una impressionante mole di informazioni relative ad infrastrutture critiche nazionali che sono potenziali obiettivi di attori nation-state, gruppi di criminali informatici ed attivisti.
Le informazioni potrebbero essere utilizzare per finalità di spionaggio sulle attività del governo italiano e di realtà di primaria importanza che sono collegate a Sogin a vario titolo.
Parliamo del patrimonio informativo relativo ad impianti coinvolti nello sviluppo del programma nucleare nazionale degli ultimi decenni.
Pericoloso anche lo scenario di un attacco con finalità di sabotaggio, tra le informazioni gestite dall’azienda vi sono documenti che descrivono le modalità di stoccaggio delle scorie radioattive e le planimetrie di impianti di lavorazione e stoccaggio. Queste informazioni potrebbero essere utilizzate da gruppi di terroristi o attivisti per attacchi dimostrativi.
Potremo andare avanti per ore, citando i rischi dell’esposizione di queste informazioni, la realtà è che ci troviamo dinanzi ad un attacco molto preoccupante che necessita massima attenzione da parte delle istituzioni onde evitare catastrofiche ripercussioni nei prossimi mesi.
/https%3A//www.repstatic.it/content/contenthub/img/2023/08/30/134641285-3527b478-337f-4e72-b01c-89c3a352ad94.jpg)
/https%3A//www.repstatic.it/content/contenthub/img/2023/08/02/115416496-8697b345-4331-4bfa-9a82-c4e489bdaa2f.jpg)
/https%3A//www.repstatic.it/content/contenthub/img/2023/07/18/153056123-9b1d3698-57a9-4ca8-bbd2-106049a20741.jpg)