Nel corso di un’audizione al Senato francese, il ministro dell’Interno Laurent Nuñez ha illustrato in modo dettagliato le modalità del cyberattacco che ha colpito il suo dicastero, precisando fin da subito che parte delle informazioni resta coperta dal segreto informatico e da un’indagine giudiziaria ancora in corso.
Il ministro ha ricostruito la sequenza degli eventi: l’allerta è scattata il 25 novembre, quando la Direzione generale della Polizia nazionale ha rilevato la modifica delle password di diversi account di posta elettronica. Le verifiche successive hanno permesso di stabilire che l’intrusione ha riguardato esclusivamente caselle email della Polizia nazionale.
Secondo quanto spiegato da Nuñez, l’attaccante ha preso il controllo degli account compromessi e li ha utilizzati per effettuare ricerche mirate, digitando parole chiave legate a segreti, nomi di applicazioni e password. L’operazione è stata resa possibile da una grave mancanza di igiene digitale: alcuni dipendenti si scambiavano le credenziali di accesso direttamente via email.
 Avvio delle iscrizioni al corso Cyber Offensive Fundamentals Vuoi smettere di guardare tutorial e iniziare a capire davvero come funziona la sicurezza informatica? La base della sicurezza informatica, al di là di norme e tecnologie, ha sempre un unico obiettivo: fermare gli attacchi dei criminali informatici. Pertanto "Pensa come un attaccante, agisci come un difensore". Ti porteremo nel mondo dell'ethical hacking e del penetration test come nessuno ha mai fatto prima. Per informazioni potete accedere alla pagina del corso oppure contattarci tramite WhatsApp al numero 379 163 8765 oppure scrivendoci alla casella di posta [email protected].
Se ti piacciono le novità e gli articoli riportati su di Red Hot Cyber, iscriviti immediatamente alla newsletter settimanale per non perdere nessun articolo. La newsletter generalmente viene inviata ai nostri lettori ad inizio settimana, indicativamente di lunedì. |
Grazie a queste informazioni, l’hacker è riuscito ad accedere a un portale che raccoglie circa 150 applicazioni della polizia. Sette di queste sono state effettivamente consultate, tra cui il TAJ (sistema di gestione dei precedenti giudiziari), l’FPR (archivio delle persone ricercate) e i database di Interpol, tutti contenenti dati estremamente sensibili.
Dal TAJ, che comprende circa 19 milioni di schede, sono stati esfiltrati 72 record individuali. Inoltre, sono state sottratte “diverse decine di migliaia di righe” di dati riassuntivi, contenenti informazioni di base come nome e stato civile, ma prive della motivazione dell’iscrizione. Dal database FPR risultano sottratti 23 record completi e circa 3.000 voci sintetiche. Per quanto riguarda Interpol, sono stati consultati dieci record e uno solo è stato effettivamente esfiltrato.
Il ministro ha voluto chiarire un aspetto fondamentale: non si è verificata né la modifica né la distruzione dei dati. L’aggressore non ha alterato i file né compromesso procedure operative in corso. L’obiettivo dell’attacco era esclusivamente l’esfiltrazione di informazioni, presumibilmente a fini di rivendita.
Un uomo di 22 anni è stato arrestato nell’ambito dell’indagine. Era già noto alle forze dell’ordine per episodi di swatting – chiamate anonime false per provocare interventi delle forze di polizia – e per il dirottamento di linee telefoniche.
L’intrusione è stata inoltre rivendicata su un forum di compravendita di dati dal “Shiny Hunters”, probabilmente come ritorsione per una precedente operazione di polizia. Dalla metà di dicembre non sono più stati rilevati “segnali attivi di attacco”. L’ultimo indizio di intrusione risale al 16 dicembre, mentre l’arresto è avvenuto il giorno successivo.
Nuñez ha infine illustrato le misure correttive adottate con urgenza. Tutte le password degli account di posta elettronica sono state reimpostate e circa mille account obsoleti sono stati disattivati. I team tecnici hanno condotto un’approfondita analisi forense per ricostruire ogni movimento dell’aggressore all’interno dei sistemi, individuando con precisione le sette applicazioni compromesse e l’accesso ad altri due portali, senza che su questi ultimi siano state rilevate azioni concrete.
Parallelamente, l’autenticazione a due fattori è stata immediatamente introdotta per tutte le applicazioni del portale colpito e verrà estesa progressivamente all’intero sistema informatico del Ministero.
Il ministro ha riconosciuto che si tratta di un cambiamento impegnativo per un’amministrazione che conta circa 300.000 utenti e centinaia, se non migliaia, di sistemi informatici. Tuttavia, ha ammesso che la transizione è inevitabile: “Non si può passare da una semplice password a un’autenticazione forte dall’oggi al domani senza incidere profondamente sull’organizzazione”.
Ti è piaciuto questo articolo? Ne stiamo discutendo nella nostra Community su LinkedIn, Facebook e Instagram. Seguici anche su Google News, per ricevere aggiornamenti quotidiani sulla sicurezza informatica o Scrivici se desideri segnalarci notizie, approfondimenti o contributi da pubblicare.
Cybercrime
Vulnerabilità
Innovazione
Cyberpolitica
Cultura