CybergON, business unit di Elmec Informatica dedicata alla cybersecurity, ha ripercorso gli attacchi informatici da parte di Russia, Cina e Nord Corea. Tra gli obiettivi: laboratori, centri di ricerca e catena del freddo per il trasporto dei vaccini
Stando a quanto rilevato da CybergON, business unit di Elmec Informatica dedicata alla cybersecurity, negli ultimi mesi si è scatenata una vera guerra informatica alla proprietà intellettuale e alle informazioni sullo sviluppo e sulle sperimentazioni dei vaccini per il Covid 19. Secondo il Report Enisa 2020, l’Agenzia europea per la sicurezza delle reti e dell’informazione, lo spionaggio è la motivazione dietro al 20% dei data breach e ha visto un significativo incremento tra luglio e novembre, periodo in cui la speculazione sui vaccini anti covid si è fatta sempre più intensa.
CybergON ha, quindi, ripercorso il sentiero intrapreso dai gruppi criminali che hanno pianificato attacchi a case farmaceutiche e laboratori di ricerca da quando l’ipotesi di un vaccino si è fatta strada tra le testate giornalistiche.
Secondo la ricostruzione di CybergON, sono stati individuati tre Paesi coinvolti nei tentativi di esfiltrazioni di dati fino a oggi: Russia, Cina e Nord Corea. Gli interessi dei criminali informatici sono puramente economici, lucrano grazie ai riscatti dopo la sottrazione di informazioni sensibili e alla loro vendita nel dark web. Tuttavia, spiega CybergON, è stimato che il 38% dei criminali informatici è finanziato dalla Nazione di provenienza e dai suoi reparti di Intelligence.
“Gli intenti della Russia e della Cina – si legge nella nota diffusa da CybergOn – dietro agli attacchi sono chiari: poter visionare i risultati delle sperimentazioni che risultano simili ai loro vaccini e possedere diverse varianti da quelle create nei loro laboratori. Infine, la Corea del Nord, non avendo le competenze scientifiche per creare un vaccino autoctono ha come principale obiettivo l’appropriamento del brevetto per poterlo sviluppare in modo autonomo. Emerge così l’attenta pianificazione criminosa che mette a dura prova Agenzie di intelligence come l’NSA americana e il NCSC britannico, impegnate nel proteggere risorse più delicate e che le relegano sempre più a ruoli di pedine di un gioco ormai già predestinato”.
Interessante ripercorrere la timeline degli attacchi informatici ricostruita da CybergON, nella quale si scopre che già a maggio, quando il vaccino era solo in una prima fase clinica, il dark web, cartina tornasole per le pratiche illecite e criminose, era già popolato da vaccini fasulli venduti dagli USA per 400 dollari e da litri di plasma di pazienti Covid 19 per 1.700 dollari.
Il 16 luglio del 2020, spiega CybergON, viene invece registrato il vero primo attacco a diversi laboratori americani, inglesi e canadesi da parte del famoso gruppo Cozy Bear, conosciuto anche come ATP29 (Advance Persistant Threat) e legato ai servizi di sicurezza russi. Il modus operandi del gruppo criminale è differente da quello visto in passato, che – sottolinea CybergON – consisteva in attacchi di spear-phishing con link malevoli e furto di credenziali riutilizzate per successivi movimenti laterali. In questa nuova campagna di attacco sfruttano vulnerabilità dei sistemi come CVE-2019-19781 Citrix e CVE-2019-11510 Pulse Secure VPN.
Il secondo attacco rilevato è quello del 21 luglio 2020, con i due hacker cinesi, Jiazhi Dong e Xiaoyu Li, che entrano nei server di alcune aziende coinvolte nella lavorazione sul vaccino. Questi due criminali assoldati dall’Intelligence Cinese, hanno un CV – o meglio una fedina penale – davvero impressionante: attivi già nel lontano 2009 hanno esfiltrato brevetti industriali in paesi come Spagna, Olanda, UK, Svezia, Germania, Giappone per centinaia di milioni di dollari. Sono stati i primi a colpire durante l’emergenza. Tre vittime: due società americane che studiano la cura per il virus, attaccate il 27 gennaio e il 1 febbraio; più una terza colpita una settimana dopo aver annunciato il proprio coinvolgimento nella ricerca sul vaccino.
Microsoft il 13 novembre 2020 denuncia, invece, hacker russi e nordcoreani, sostenuti dagli Stati, per attacchi a laboratori produttori di vaccini in sperimentazione clinica in USA, Canada, Francia, Corea del Sud e India. In questo caso si tratta di un’ondata massiva di brute forcing, una tecnica illecita per forzare le password, arriva dai criminali russi denominati Strontium. Altri due gruppi criminali nord coreani, Zinco e Cerium, portano avanti la loro offensiva: mentre il primo invia mail di spear-phishing per rubare credenziali agli utenti, il secondo manda mail ingannevoli mascherate da comunicazioni dei rappresentanti dell’Organizzazione mondiale della sanità.
Il 27 novembre avviene poi l’attacco ad Astrazeneca, azienda farmaceutica che sta sviluppando il primo vaccino al mondo senza RNA. Secondo la ricostruzione, i criminali nordcoreani bersagliano i dipendenti sfruttando tecniche di ingegneria sociale. In particolare i criminali offrono, tramite LinkedIn o WhatsApp, posti di lavoro specializzati per cui l’interessato fornisce informazioni sensibili che sarebbero state riutilizzate successivamente per fare breccia nel perimetro aziendale.
Tuttavia gli hacker non si limitano a bersagliare i centri di ricerca. Il 3 dicembre 2020 IBM notifica la possibilità di attacchi da Cina, Russia e Corea del Nord che punterebbero alla catena del freddo necessaria per il trasporto dei vaccini. Sarebbe proprio la conservazione a circa -70° centigradi della Pfizer il possibile anello debole nella catena del sistema logistico per il vaccino, per cui in caso di attacco ransomware, i criminali potrebbero richiedere riscatti onerosi per evitare lo spegnimento dei sistemi di raffreddamento.
CybergON riporta infine che il 10 dicembre vengono attaccati alcuni server dell’EMA, l’Agenzia europea del farmaco con sede ad Amsterdam, dove sono conservati alcuni documenti che riguardano la “presentazione normativa” del vaccino BNT162b2 delle due case farmaceutiche Pfizer-BioNtech, rispettivamente USA e Germania. Il nullaosta dell’European Medicines Agency per il vaccino è atteso per il 29 dicembre e ha già notificato che questo cyber attacco non interferirà con la revisione. L’ente è inoltre in processo di validazione anche per il vaccino di Moderna, di Astrazeneca (Oxford-Pomezia) e di Johnson&Johnson.
“Sars-Cov-2 – conclude il rapporto della business unit di Elmec Informatica dedicata alla cybersecurity – non ha solo digitalizzato interi Paesi, ma ha anche scombinato le carte in tavola di potenze mondiali che si contrastano in una guerra “cibernetica” fatta di vulnerabilità e dati sensibili. Il famoso patto di non aggressione cyber firmato nel 2015 tra l’allora presidente americano Barack Obama e quello cinese Xi sembra solo un lontano ricordo”.
