In Russia in vendita agli hacker gli accessi di aziende svizzere

La Svizzera è un obiettivo di primo piano per i pirati informatici in Russia, Paese dove nel frattempo è nata una nuova figura professionale: quella dell'operatore che vende – per qualche centinaio di dollari – l'accesso ai sistemi di un'impresa, anche elvetica. Lo spiega l'esperto di sicurezza Abdelkader Cornelius in un'intervista al periodico Beobachter nel numero da oggi in edicola.

"È davvero spaventoso ciò che sta accadendo in questo momento", afferma l'esperto. "Stanno succedendo due cose allo stesso tempo: da un lato abbiamo hacker russi motivati politicamente a causa della guerra in Ucraina, che agiscono senza interessi finanziari; dall'altro lato ci sono i loro ‘colleghi’ del mondo della criminalità informatica, spinti dai soldi. Questi due gruppi si sostengono a vicenda, una mano lava l'altra".

Gli attori del comparto ransomware (cioè quelli che penetrano nei sistemi ricorrendo a un programma malevolo, criptano i file e chiedono un riscatto per sbloccarli) vedono dal successo degli hacker a sfondo politico quanto sia facile penetrare nelle infrastrutture in Svizzera, aggiunge il fondatore e proprietario dell'impresa di sicurezza berlinese PCS Cyber Security.

"Anche altri Paesi occidentali sono stati colpiti: tutti coloro che sostengono in qualche modo l'Ucraina sono nel mirino degli hacker russi. Ma la Svizzera è un obiettivo particolarmente lucrativo dal punto di vista finanziario". Questo perché nella Confederazione hanno sede molte aziende famose e quindi di valore. "I pirati informatici sanno che qui si possono fare molti soldi. La Svizzera è sicuramente un obiettivo top agli occhi degli aggressori".

Gli attacchi diventano inoltre più intensi. "Questo può essere illustrato dall'esempio della banda di estorsori Play. Tra le altre cose, sono responsabili degli attacchi al gruppo NZZ Media e al fornitore di software Xplain", che come noto lavorava anche per le autorità federali. "Qui vediamo una dimensione completamente nuova di questi attacchi: gli hacker sono riusciti ad acquisire i dati dei clienti delle aziende ricattate, cosa che è fatale".

"L'universo degli aggressori cambia continuamente", prosegue lo specialista. "Le bande scompaiono, si fondono, formano alleanze o competono tra loro. Recentemente è emerso un nuovo operatore nel cosmo di lingua russa. Si definisce un broker e ha aperto un negozio online sul darknet: vende i cosiddetti accessi iniziali, cioè nient'altro che nome utente e password di intere reti aziendali".

"Al momento questo trader ha in offerta 38 aziende di tutto il mondo – e ogni giorno se ne aggiungono di nuove: attualmente offre anche l'accesso a quattro società elvetiche", aggiunge Cornelius. "Per 700 dollari è possibile acquistare l'accesso alla rete di una ditta di costruzioni svizzera con 200 dipendenti: in questo modo si può penetrare in oltre 100 computer aziendali".

Ma il broker in questione – chiede il cronista di Beobachter – come si è procurato questi accessi? "Da un lato, attualmente esiste un numero molto elevato di vulnerabilità di sicurezza nei prodotti delle principali aziende di software del mondo", risponde l'intervistato. "Vengono ad esempio sfruttati i cosiddetti accessi remoti, ossia applicazioni attraverso le quali gli utenti possono accedere alle reti aziendali, ad esempio dall'ufficio di casa. In questo ambito si registrano grandi negligenze. Ci sono persino produttori che hanno consigliato ai loro clienti di acquistare nuovi dispositivi perché i prodotti in uso non possono più essere protetti efficacemente. D'altra parte sussistono migliaia di vulnerabilità nei dispositivi con software di Microsoft. Il problema è questo: purtroppo molte reti non vengono aggiornate o vengono aggiornate solo con grande ritardo".

"In molti luoghi mancano le competenze tecniche e il personale necessario. I reparti informatici di molte aziende sono talmente oberati di lavoro che non riescono più a tenere il passo. Ogni giorno vengono alla luce nuove falle nella sicurezza. Ma non mancano solo le risorse, bensì anche le competenze e le responsabilità".

C'è una differenza fra entità statali e imprese? "Sì, la situazione è molto più grave nelle amministrazioni pubbliche e nell'ambito statale che nel settore privato. Tuttavia, gli aggressori non fanno distinzione tra i loro obiettivi: ovunque possano penetrare, lo fanno. Che si tratti di aziende o di enti pubblici".

Che dire dei distributed denial of service contro gli uffici pubblici, gli attacchi che mettono in ginocchio le amministrazioni sovraccaricandoli di traffico dannoso? Non si è indifesi contro queste aggressioni, ribatte l'esperto, è possibile armarsi per farvi fronte. "Ma questo ha un costo. Purtroppo, molte autorità sono poco preparate ad affrontare tali attacchi".

Secondo Cornelius diversi cantoni e molte città pensano di essere troppo poco importanti per interessare i delinquenti informatici. "Ma ogni utente è interessante per gli hacker. I criminali non vedono la Svizzera come un Paese neutrale, né come un luogo di rifugio da non attaccare perché un giorno potrebbero trarne profitto. Per i malintenzionati la Svizzera è un obiettivo attraente quanto la Germania, l'Austria, gli Stati Uniti o altri Paesi occidentali", conclude l'intervistato.