Cyber-attacco al Ministero della Transizione ecologica (MITE). La Timeline

Come di consueto, per attacchi di assoluto rilievo sul panorama italiano, realizziamo degli articoli che possano aggregare l’evoluzione dell’attacco informatico producendo la “Timeline”, per far comprendere, in modo semplice e complessivo, gli eventi che si sono susseguiti in un attacco informatico.

Questa volta ad essere colpito è il Ministero della Transizione ecologica (MITE) che nella giornata del 06/04 è andato offline per motivi ignoti, anche se il ministro Cingolani, in una intervista a Radio1 ha riportato in anteprima la notizia, relativamente a “minacce esterne rilevate sulla rete informatica del Ministero“

Giornata del 06/04/2022

Il primo che ha riportato la notizia è stato il ministro Roberto Cingolani, collegato in diretta con Radio 1 quando il sito del Mite è andato in disservizio, il quale ha riportato le seguenti parole:

Christmas Sale -40% 𝗖𝗵𝗿𝗶𝘀𝘁𝗺𝗮𝘀 𝗦𝗮𝗹𝗲! Sconto del 𝟰𝟬% 𝘀𝘂𝗹 𝗽𝗿𝗲𝘇𝘇𝗼 𝗱𝗶 𝗰𝗼𝗽𝗲𝗿𝘁𝗶𝗻𝗮 del Corso "Dark Web & Cyber Threat Intelligence" in modalità E-Learning sulla nostra Academy!🚀 Fino al 𝟯𝟭 𝗱𝗶 𝗗𝗶𝗰𝗲𝗺𝗯𝗿𝗲, prezzi pazzi alla Red Hot Cyber Academy. 𝗧𝘂𝘁𝘁𝗶 𝗶 𝗰𝗼𝗿𝘀𝗶 𝘀𝗰𝗼𝗻𝘁𝗮𝘁𝗶 𝗱𝗲𝗹 𝟰𝟬% 𝘀𝘂𝗹 𝗽𝗿𝗲𝘇𝘇𝗼 𝗱𝗶 𝗰𝗼𝗽𝗲𝗿𝘁𝗶𝗻𝗮. Per beneficiare della promo sconto Christmas Sale, scrivici ad [email protected] o contattaci su Whatsapp al numero di telefono: 379 163 8765. Supporta Red Hot Cyber attraverso:  L'acquisto del fumetto sul Cybersecurity Awareness Ascoltando i nostri Podcast Seguendo RHC su WhatsApp Seguendo RHC su Telegram Scarica gratuitamente “Byte The Silence”, il fumetto sul Cyberbullismo di Red Hot Cyber Se ti piacciono le novità e gli articoli riportati su di Red Hot Cyber, iscriviti immediatamente alla newsletter settimanale per non perdere nessun articolo. La newsletter generalmente viene inviata ai nostri lettori ad inizio settimana, indicativamente di lunedì.

“Mentre vi parlo, oltre alla sicurezza energetica, vi dico che abbiamo minacce esterne rilevate sulla rete informatica del Ministero”.

Pertanto in via cautelativa tutti i sistemi sono stati messi in sicurezza con l’effetto dell’indisponibilità del servizio in questo momento, cosa per altro confermata dal servizio http://check-host.net/ con una query da poco lanciata sul sottodominio.

Cingolani ha anche detto che “La sicurezza è il primo parametro da tenere a mente”, e questa è cosa buona e giusta.

Rispetto a quanto riportato dal Corriere, sembrerebbe che si tratti di un attacco informatico non meglio precisato, confermato da delle fonti esterne del giornale.

Di fatto i disservizi alle infrastrutture del Ministero sono iniziate in concomitanza con i disservizi che abbiamo visto la scorsa settimana all’Agenzia delle entrate e alla Sogei, anche se di fatto potrebbe trattarsi solo di una coincidenza.

Ricordiamo che i problemi relativi all’incidente avvenuto alla Sogei erano di natura elettrica all’interno della rete di alimentazione dei data center, dove un buon numero di apparati ha avuto dei problemi in cascata, cosa che è stata ripristinata sostituendo gli apparati e rifacendoli ripartire.

Cingolani sempre in radio ha riportato, alla domanda se potesse essere un attacco proveniente dalla Russia che è:

“Impossibile rispondere in questo momento, ora ci sono le strutture preposte che lavorano, ma in questo momento la sicurezza deve essere obiettivo di tutti gli italiani”

Giornata del 07/04/2022

Come abbiamo visto nella giornata di ieri, il sito del Ministero della Transizione ecologica è risultato offline e anche oggi, 7/04/2022 alle 15:30, a distanza di un giorno, il sito risulta ancora down.

Sembrerebbe si sia trattato di un attacco informatico non meglio precisato, anche se non è arrivata alcuna conferma ufficiale riguardo all’hack.

Ad annunciare il disservizio è stato proprio il ministro Roberto Cingolani, collegato in diretta con Radio 1 quando il sito del Mite è andato in disservizio, il quale ha riportato le seguenti parole:

“Mentre vi parlo, oltre alla sicurezza energetica, vi dico che abbiamo minacce esterne rilevate sulla rete informatica del Ministero”.

Giornata 08/04/2022

Molti giornali iniziano a dire, correttamente, che è necessaria una dichiarazione ufficiale da parte del Ministero e che è corretto che i contribuenti sappiano quello che sta accadendo all’interno delle infrastrutture IT del Ministero.

Mi ci stiamo avvicinando a due giorni pieni di disservizio.

Un disservizio così lungo fa pensare ad un attacco con un malware non meglio definito, e che l’infrastruttura sembra sia stata scollegata dalla rete per “precauzione”, per evitare una diffusione, così come confermato da Cingolani sempre nell’intervista di ieri.

Tenendo in considerazione le parole di Cingolani, si potrebbe trattare di un “malware precursore”, ovvero quei malware inoculati all’interno delle organizzazioni, che sono il primo step di infezione prima del lanciare i payload di cifratura dei dati e quindi il cryptolocker.

Se un’azienda rileva che le sue reti stanno comunicando con quelli che sembrano server C&C attraverso malware come cobalt strike, Emotet, Phorpiex, SmokeLoader, Dridex o TrickBot, cerca di disattivare immediatamente queste connessioni, in quanto questi malware, essendo “precursori”, potranno scatenare più avanti l’esecuzione del payload di cifratura.

Se così si tratta, il BLUE team che lavora al Ministero è stato molto efficace e proattivo, distaccando prontamente i server dalla rete, ed eliminando i canali di comunicazione del malware verso l’esterno, cosa rarissima in questo periodo.

Infatti, nella stragrande maggioranza dei casi, i SOC non si accorgono dell’infezione iniziale lasciando scorrazzare i criminali informatici all’interno delle reti, i quali, attraverso movimenti laterali, possono esfiltrare silenziosamente quanti più dati possibili per poter successivamente mettere a segno quella che si chiama “la seconda estorsione”, ovvero il pagamento di un compenso per la mancata pubblicazione di dati sensibili.

Ad una domanda esplicita posta a Cingolani di fornire informazioni sull’attacco, sembra aver evitato di fornire una risposta in quanto le indagini risultano in corso.

Giornata del 09/04/2022

Finalmente il Ministero della transizione ecologia ha ammesso l’attacco informatico, specificando che si è trattato di un malware precursore, inoculato all’interno dell’organizzazione settimane prima attraverso (probabilmente) ad una campagna di malspam.

Infatti, sembrerebbe che in precedenza si siano rilevate delle mail di phishing ai danni del MITE già dal 23 di Marzo, che aveva come obiettivo inoculare all’interno della rete il malware Ursnif.

Detto questo è confermata l’ipotesi iniziale fatta da RHC nella giornata di ieri, ovvero non si è trattato di un incidente ransomware, ma solo di una fase iniziale, appunto una infezione da malware “precursore”.

Sembra infatti che i criminali informatici abbiano utilizzato i beacon Cobalt Strike per diffondere backdoor all’interno dell’azienda.

Quindi questa volta i complimenti vanno al SOC dell’azienda, che sono riusciti in tempo a fermare l’infezione, anche se i lavori sono in corso per evitare che tale malware non si diffonda in rete ed infetti ulteriori server e che possano comunicare verso i Command & Control (C2) degli attaccanti.

RHC monitorerà la questione in modo da aggiornare il seguente articolo, qualora ci siano novità sostanziali. Nel caso ci siano persone informate sui fatti che volessero fornire informazioni sulla vicenda, oppure la stessa azienda voglia fare una dichiarazione, possono accedere alla sezione contatti, oppure in forma anonima utilizzando la mail crittografata del whistleblower.

Seguici su Google News, LinkedIn, Facebook e Instagram per ricevere aggiornamenti quotidiani sulla sicurezza informatica. Scrivici se desideri segnalarci notizie, approfondimenti o contributi da pubblicare.

Redazione

La redazione di Red Hot Cyber è composta da un insieme di persone fisiche e fonti anonime che collaborano attivamente fornendo informazioni in anteprima e news sulla sicurezza informatica e sull'informatica in generale.

Lista degli articoli