Red Hot Cyber
La cybersecurity è condivisione. Riconosci il rischio, combattilo, condividi le tue esperienze ed incentiva gli altri a fare meglio di te.
Cerca

C’è probabilmente Anonymous dietro la violazione della Rosneft

Redazione RHC : 14 Marzo 2022 12:49

La filiale tedesca del colosso petrolifero russo Rosneft ha subito un attacco informatico e ora sta cercando di affrontarne le conseguenze.

Secondo un avviso della tedesca Welt, Rosneft Deutschland sarebbe stata attaccata dagli hacktivisti di Anonymous a sostegno dell’Ucraina nella notte tra l’11 e il 12 marzo.

Gli hacker affermano di aver distrutto diverse dozzine di dispositivi Apple, di essere penetrati in profondità nei sistemi amministrativi dell’azienda e di aver ottenuto copie delle immagini disco dei laptop dei dipendenti.

L’Ufficio federale tedesco per la sicurezza delle informazioni (BSI) ha offerto all’azienda la propria assistenza nel ripristino dei sistemi e ha lanciato un avvertimento ad altri rappresentanti del settore energetico.

BSI sospetta che dietro l’attacco ci siano membri del movimento hacktivista Anonymous, che cercano di porre fine al conflitto in Ucraina. A quanto pare, Anonymous aveva già attaccato e paralizzato il sito web internazionale di Rosneft alla fine di febbraio.

Pochi giorni fa è stato riferito che il gruppo aveva ottenuto l’accesso ai server della filiale tedesca della società statale russa e ne aveva rubato i dati.

L’attacco non ha influito sull’attività o sulle spedizioni correnti, ma i sistemi sono stati notevolmente colpiti. In particolare sono stati violati diversi processi, tra cui la possibilità di concludere contratti.

Gli hacker affermano di essere riusciti ad accedere ai server di Rosneft Germany e a scaricare oltre 20 TB di dati.

Allo stesso tempo, sono riusciti a penetrare molto profondamente nei sistemi di Rosneft Deutschland. Così in profondità da trovare facilmente copie di backup dei laptop di dipendenti e dirigenti.

A quanto pare questi dati già circolano nelle underground, come riportato nel post del profilo twitter di Information World Humanity, che diffuso una serie di schermate dei dati esfiltrati.

Rosneft Anonimo
Print screen di Information World HUmanity dei dati pubblicati

Le persone dietro l’hack affermano che non riveleranno tutti i dati. Gli obiettivi principali sono i politici e i gruppi di pressione.

Al centro del business petrolifero tedesco c’è l’oleodotto Druzhba, che porta petrolio dalla Russia alla città tedesca di Schwedt attraverso la Polonia.

La stessa Rosneft è il più grande produttore di petrolio in Russia. L’ex cancelliere tedesco Gerhard Schroeder è a capo del consiglio di sorveglianza della società.

Toby Lewis, Global Head of Threat Analysis di Darktrace ha riportato:

“Alcune fonti affermano che il “ramo” tedesco di Anonymous si è infiltrato con successo nella filiale tedesca della compagnia petrolifera statale russa Rosneft, rubando oltre 20 Terabyte di dati. Dobbiamo considerare che storicamente la Germania è un Paese dipendente dalle esportazioni russe di petrolio e gas. Molti, quindi, sono rimasti sorpresi della decisione del governo tedesco di fermare l’oleodotto NordStream2 allo scoppio della guerra. La filiale tedesca di Rosneft non sembra essere coinvolta nelle importazioni ed esportazioni Oil&Gas, ma piuttosto in attività di raffinazione e distribuzione interna. Secondo Anonymous, però, operazioni di questo tipo generano ancora un profitto per la società russa, e rendono quindi la filiale un obiettivo valido. Il gruppo hacker ha dimostrato il successo dell’attacco pubblicando screenshot che mostrano l’azione di wiping contro iPhone aziendali e almeno un file server. L’esatto modus operandi di Anonymous non è stato ancora rivelato, ma la cybergang sembra fare riferimento a password impostate sugli iPhone deboli e facilmente individuabili, insieme all’utilizzo di un File Transfer Protocol (FTP) per esfiltrare i dati senza essere scoperti. Vale la pena osservare che siamo davanti a metodi particolarmente sofisticati o nuovi. È possibile che il wiping abbia portato direttamente alla chiusura della raffineria, o che – più probabilmente – sia stata una conseguenza dell’attuazione del protocollo di risposta agli incidenti, come accaduto con Colonial Pipeline. Il problema, oggi, è che i cyber incidenti negli ambienti critici non hanno più un peso limitato e non si può più tornare alla vecchia “carta e penna”. Oggi più che mai, chi protegge le infrastrutture critiche nazionali deve essere in grado di bloccare le minacce non appena queste entrano nei sistemi, prima che le operazioni di business siano interrotte e ne derivino gravi conseguenze in termini di blocchi o oscuramenti diffusi.”

Redazione
La redazione di Red Hot Cyber è composta da un insieme di persone fisiche e fonti anonime che collaborano attivamente fornendo informazioni in anteprima e news sulla sicurezza informatica e sull'informatica in generale.