Perché gli hacker prendono di mira l’Enac

Articolo di Pierluigi Paganini su Il Manifesto il 16/07/2020

Cybersecurity. I troppi interrogativi sull’attacco di pochi giorni fa all’ente per l’aviazione civile, considerato ente strategico per la sicurezza nazionale

L’ENAC, l’Ente Nazionale per l’Aviazione Civile, è stata colpita da un attacco informatico che ha causato disservizi ai sistemi informatici.

L’attacco ha immediatamente catturato l’attenzione dei media che hanno elaborato diverse ipotesi su quanto sarebbe successo all’ente.

A partire dal giorno 10 Luglio, il sito web dell’ENAC non è raggiungibile, problemi sarebbero stati riportati al sistema di posta elettronica interno all’ente e ad alcuni sistemi di archiviazione gestiti dalla struttura.

Immediatamente dopo l’attacco, l’ENAC ha scongiurato una violazione dei dati, anzi nel comunicato ha precisato che i tecnici stanno ripristinando i sistemi colpiti utilizzando i backup disponibili.

“Sulla base di quanto emerso nel corso delle attività di ripristino avviate nell’immediato, non sono stati sottratti dati. I dati contenuti nei sistemi informatici dell’Ente sono, in ogni caso, salvaguardati in un sistema di backup”, puntualizzando di aver “tempestivamente messo in atto tutti gli interventi tecnici necessari a ripristinare, nel minor tempo possibile, la piena operatività dei sistemi e delle infrastrutture informatiche dell’ente.” Recita un comunicato emesso dall’Ente. “[L’Enac ha] tempestivamente messo in atto tutti gli interventi tecnici necessari a ripristinare, nel minor tempo possibile, la piena operatività dei sistemi e delle infrastrutture informatiche dell’ente”.

“L’ENAC, in contatto con le autorità di riferimento per gli attacchi di pirateria informatica, sta continuando le azioni di ripristino per garantire al più presto la ripresa dello svolgimento del servizio pubblico reso attraverso le attività proprie dell’Ente e dei suoi dipendenti”, conclude la nota.

Quanto descritto dalla nota rilasciata dall’ente e la concomitante indisponibilità prolungata del sito web suggerisce una infezione da parte di un ransomware, sebbene si ignori completamente la famiglia di malware cui apparterrebbe.

Quest’ultimo dettaglio è tutt’altro che trascurabile perché molti dei gruppi criminali dietro i principali ransomware come Maze, REvil e NetWalker non si limitano a chiedere il riscatto alle vittime per decifrare i file.

Questi gruppi prima di cifrare i dati delle vittime li rubano per poi ricattare le organizzazioni che non intendo pagare il riscatto. Questa pratica estorsiva ha come intento quello di indurre le vittime a pagare il riscatto anche quando dispongono di backup dei dati, per evitare che gli stessi diventino di dominio pubblico.

Qualora dietro l’attacco all’ente vi fosse qualcuno di questi gruppi sarebbe lecito attendersi la richiesta del pagamento di un esoso riscatto come osservato in passato per altre aziende vittime di questi specifici attori.

I responsabili dell’ENAC hanno immediatamente denunciato l’accaduto all’autorità competenti, compreso il Centro Nazionale Anticrimine Informatico per la Protezione delle Infrastrutture Critiche.

Tra le informazioni gestite dall’ente vi sono sicuramente dati sensibili e persino informazioni classificate come segrete, tuttavia l’agenzia precisa “che il sistema di gestione della documentazione classificata NatoUEO gira su un sistema separato che non è in rete e non è stato oggetto di attacco.“

La buona notizia è che l’Enac non conserva dati personali dei passeggeri, ma solo informazioni sul traffico aereo, inoltre pare non vi siano stati impatti sull’operatività degli aeroporti gestiti dall’Ente.

Tuttavia, secondo diverse fonti, tra le informazioni che potrebbero esser state trafugate vi sono i nomi dei passeggeri sui voli gestiti dall’ente, informazione che potrebbe essere di interesse sia per gruppi criminali che per attori nation-state.

I primi potrebbero utilizzare queste informazioni per poi lanciare campagne di phishing mirato agli utenti che han fatto viaggi specifici e rubare loro ulteriori informazioni, persino finanziarie attraverso attacchi di ingegneria sociale.

Un attore che opera per conto di un governo potrebbe invece essere interessato a queste informazioni per tracciare gli spostamenti di “persone di interesse.

Quanto precisato dall’ente tuttavia sembrerebbe smentire la conservazione di informazioni personali relative ai passeggeri.

“L’Enac non conserva dati personali dei passeggeri che utilizzano il trasporto aereo, ma ha esclusivamente dati di traffico complessivi, relativi al numero dei passeggeri che transitano negli aeroporti nazionali.”

Non abbiamo al momento informazioni precise sull’impatto al sistema di posta elettronica interno dell’ENTE, una sua compromissione potrebbe avere effetti devastanti considerando la mole di dati gestiti e scambiati a mezzo email dalla strutture con diversi enti. Gli effetti dell’attacco potrebbero propagarsi ad altre organizzazioni in contatto con l’ENTE nei prossimi giorni o settimane.

Cerchiamo quindi di fare qualche ipotesi su quanto è accaduto, chiedendoci innanzitutto chi potrebbe aver avuto interesse a colpire l’ENAC.

Un gruppo criminale come quelli menzionati non avrebbe interesse nel rubare i dati dell’agenzia in quanto non vi sono informazioni di interesse specifico che potrebbero essere rivendute nell’ecosistema criminale.

Tuttavia, non possiamo completamente escludere la matrice criminale, l’attacco potrebbe essere il risultato di un’azione opportunistica di un gruppo che individuata una falla ha compromesso la rete dell’organizzazione ed una volta dentro ha infettato il maggior numero di sistemi possibili.

Purtroppo, sono molteplici in modo con i quali un attaccante può compromettere la rete di una organizzazione.

Dalla fine del 2019, il National Cyber Security Centre (NCSC) del Regno Unito e l’agenzia di intelligence americana NSA hanno riferito di gruppi APT (Advanced Persistent Threat) che stavano sfruttando vulnerabilità nei sistemi utilizzati per connessioni alle reti aziendali, sistemi Virtual Private Network o VPN, di noti produttori come Fortinet, Palo Alto Networks e Pulse Secure.

Nelle scorse settimane gli esperti di sicurezza hanno messo in guardia su possibili attacchi che sfruttano falle presenti in sistemi prodotti da F5 Networks, anche in questo caso.

Lo sfruttamento di queste falle potrebbe consentire ad un attaccante di compromettere una macchina nella rete dell’organizzazione presa di mira ed una volta all’interno cercare di propagarsi compromettendo altre macchine ed esfiltrando il maggior quantitativo di informazioni possibili.

E se l’attacco avesse finalità di spionaggio? Quest’ipotesi è tutt’altro che trascurabile. La natura dell’obiettivo e le informazioni potenzialmente accessibili all’attaccante rendono questa ipotesi estremamente plausibile.

Gli attaccanti operanti per conto di governi stranieri potrebbero aver avuto interesse ad accedere a qualche sistema contenente documentazione classificata Nato-UEO oppure operare con finalità di sabotaggio.

I punti di Controllo NATO-UEO sono organi di sicurezza istituiti nell’ambito degli enti e comandi, centrali e periferici, per la gestione dei documenti UE classificati fino al livello UE-SEGRETO. L’accesso a questo tipo di informazioni potrebbe avere implicazioni significative sulla sicurezza delle operazioni.

La buona notizia è che questi dati sarebbero gestiti da sistemi non impattati dall’attacco.

Altra ipotesi vede un attaccante per conto di un governo che è in realtà interessato ad avere informazioni su altri obiettivi strategici in qualche modo legati all’ENAC ed in questa fase avrebbe operato per raccogliere dati da utilizzare in un successivo attacco contro un’altra infrastruttura critica del paese.

Non possiamo infine neppure escludere che si tratti di una operazione diversiva oppure di un test in preparazione di qualche attacco altrettanto pericoloso.

L’attacco all’ENAC è molto preoccupante in quanto l’ente per l’aviazione civile è considerato una un’infrastruttura critica del nostro Paese, ovvero una struttura dal cui funzionamento dipendono funzioni vitali del nostro stato.

Per questo motivo è lecito attendersi che siano messe in essere misure straordinarie di difesa ed un sistema di condivisione di informazioni relative ai principali attacchi con il CSIRT nazionale, con i CERT internazionali e gli altri operatori del settore.

Evidentemente qualcosa non ha funzionato, certamente le strutture competenti faranno tesoro di quanto sta accadendo in queste ore.