Attacco agli ospedali Fatebenefratelli e Sacco. Il pericolo dei Cyber Non State Actors

Partiamo del caso del giorno, un attacco informatico ha colpito nella giornata del primo maggio i sistemi dell'azienda ospedaliera Asst Fatebenefratelli Sacco. Ancora una volta una struttura sanitaria è messa in ginocchio da attacco dagli effetti tristemente familiari. In molti, infatti, propendo per l’ipotesi ransomware in relazione dell’impatto sulla struttura e sui suoi servizi.

L’operatività del Pronto soccorso e dei punti prelievo dei presidi ospedalieri dell'Asst Fatebenefratelli Sacco (Fatebenefratelli, Sacco, Buzzi e Melloni) sarà limitata per almeno un paio di giorni, si lavorerà con modulistica cartacea con ovvie ripercussioni sui pazienti. Ad all’armare l’eloquente dichiarazione della struttura sanitaria, "la soluzione del problema non ha al momento tempi definibili."

Molti giornalisti mi han contattato per chiedermi se ritengo che possa trattarsi di un attacco legato al conflitto in corso tra Russia ed Ucraina, il timore è che si tratti spillover, ovvero della possibilità che un’ arma cibernetica utilizzata da uno dei due stati, possa esser sfuggito di controllo colpendo le nostre strutture. Ipotizziamo si tratti di un attacco ransomware, la prima cosa che ci viene in mente è che la motivazione dietro l’attacco sia esclusivamente finanziaria. Criminali informatici che prendono di mira le vulnerabili strutture ospedaliere per richiedere un riscatto.

Questo è tuttavia è falso se analizziamo l’accaduto alla luce del conflitto in corso, caratterizzato da una cospicua presenza di attori Cyber-Non-Nation-State su campo di battaglia. Capiamo chi sono, perché devono preoccuparci, e che legame potrebbero avere con l’attacco in questione. Gli Cyber-Non-Nation-State, sono attori non direttamente legati da un governo, le cui operazioni tuttavia potrebbero avere un impatto significativo sugli affari internazionali, sulla politica e sull'economia, tanto quanto gli stati stessi.

Gli attori non statali includono società multinazionali, collettivi di attivisti informatici come Anonymous, organizzazioni non governative (Ong), gruppi di sindacati della criminalità informatica, organizzazioni militari private, organi di stampa, gruppi terroristici, sindacati, gruppi etnici organizzati, ed altri.

Nel caso del conflitto Russia-Ucraina osserviamo operazioni condotte da gruppi di attivisti come Anonymous, cyber partigiani, gruppi criminali come le Gang Conti e Stormous schierati con il Cremlino, e gruppi di hacker volontari come Ucraine IT Army che hanno risposto alla chiamata alle armi di Kiev.

Nella seguente tabella sono rappresentate le varie fazioni, riconoscerete la complessità dello scenario.

Abbiamo detto che alcune gang criminali hanno espresso supporto al governo russo, elemento di grande preoccupazione per noi analisti del settore.

Questi gruppi hanno dimostrato negli anni la capacità di colpire infrastrutture critiche di tutto il mondo, compresi ospedali. Qualora decidessero di collaborare con la Russia potrebbero di fatto compiere operazioni volte a distruggere le operazioni in settore critici in paesi ritenuti ostili, coadiuvando le operazioni militari con una cruciale differenza … gli attacchi condotti da gang ransomware non possono essere attribuiti facilmente ad un eventuale governo committente consentendo allo stesso di eludere le sanzioni internazionali.

Ma per quale motivo un gruppo criminale dovrebbe aiutare un governo? Molte delle gang ransomware sono composte ma membri russi, bielorussi e criminali dell’Est Europa, e per anni hanno operato indisturbate a patto che non infettassero i sistemi dei paesi della Russia e della Comunità degli Stati Indipendenti (Csi), composta da nove delle quindici ex repubbliche sovietiche.

Oltre a questo, la linea di confine tra gruppi criminali ed attori che operano per governi è molto sottile, dietro le quinte vi sono spesso interessi comuni di gruppi di potere ed una immunità mai dichiarata ma di fatto vigente. Veniamo alla domanda degli amici giornalisti, si tratta di spillover? Possibile che un gruppo criminale abbia colpito l’Italia su indicazione del Cremlino, di fatto rendendo impossibile alle nostre autorità un’accusa esplicita a Mosca?

In questa fase, sappiamo davvero poco dell’attacco, ma lo scenario sopra descritto è tutt’altro che improbabile. In queste ore molteplici gruppi criminali stanno conducendo operazione di ricognizione sulle nostre strutture, così come in passato, e le informazioni acquisite potrebbero essere utilizzate per una futura offensiva coordinata. Per questo motivo, oggi più che mai il sistema paese deve investire in sicurezza, senza la quale non possiamo parlare di innovazione tecnologica e transizione digitale, né tantomeno di Industria 4.0.

La cyber security è indispensabile per la sovranità nazionale e deve essere considerata un investimento da incentivare da parte dal governo e dalle imprese. Se non cambiamo approccio al problema finiremo con il soccombere ad un numero crescente di attacchi, la cui attribuzione sarà per noi sempre più complessa.