Red Hot Cyber
La cybersecurity è condivisione. Riconosci il rischio, combattilo, condividi le tue esperienze ed incentiva gli altri a fare meglio di te.
Cerca

Fincantieri scrive a RHC e ricostruisce l’attacco alla terza parte. Molto bene nella comunicazione!

Redazione RHC : 17 Marzo 2023 08:24

Come avevamo riportato recentemente, sul noto forum underground Breach Forums, un criminale informatico aveva pubblicato un post dove riportava di essere in possesso di dati riservati della Fincantieri S.p.a.

All’interno del post venivano messi a disposizione, liberamente scaricabili, 16GB di dati che a detta del criminale informatico contenevano informazioni “confidenziali” su motori (l’MT30 della Rolls Royce), disegni CAD, schemi delle navi d’assalto, File ISO, documenti classificati di progettazione di navi da guerra italiane e altro ancora.

Fincantieri ha recentemente scritto a Red Hot Cyber, fornendo una ricostruzione dettagliata dei fatti che vogliamo condividere con i nostri lettori. Vogliamo ringraziare Fincantieri per averci fornito anche dei dettagli tecnici su questa vicenda, cosa assai rara soprattutto nelle aziende italiane quando si parla di incidenti informatici.


CALL FOR SPONSOR - Sponsorizza l'ottavo episodio della serie Betti-RHC

Sei un'azienda innovativa, che crede nella diffusione di concetti attraverso metodi "non convenzionali"? Conosci il nostro corso sul cybersecurity awareness a fumetti? Red Hot Cyber sta ricercando un nuovo sponsor per una nuova puntata del fumetto Betti-RHC mentre il team è impegnato a realizzare 3 nuovi episodi che ci sono stati commissionati.

Contattaci tramite WhatsApp al numero 375 593 1011 per richiedere ulteriori informazioni oppure alla casella di posta [email protected]



Supporta RHC attraverso:


Ti piacciono gli articoli di Red Hot Cyber? Non aspettare oltre, iscriviti alla newsletter settimanale per non perdere nessun articolo.


La ricostruzione dei fatti svolta da Fincantieri riporta quanto segue:

Relativamente all’articolo pubblicato si ritiene utile fornire alcune precisazioni, per ricondurre i fatti ad una sostanzialità diversa da quella dipinta dal soggetto attaccante.

A seguito della pubblicazione online di materiale di titolarità di Fincantieri in data 6 Marzo, le analisi condotte hanno mostrato infatti che nessun server in carico all’azienda sia stato oggetto di incursione.

I dati oggetto di pubblicazione sono stati ottenuti compromettendo un’utenza in carico ad una terza parte, con un limitato accesso ad una cartella in condivisione contenente pre-lavorati da ricondividere a sua volta con Fincantieri.

Nessun dato oggetto di diffusione è classificato e buona parte dell’archivio condiviso online (circa l’80%) è rappresentato da software commerciale liberamente scaricabile dal portale dei produttori dei relativi apparati.

L’attribuzione dell’attacco alla infrastruttura di Fincantieri e non alla realtà esterna è probabilmente parte di un disegno perpetrato dall’attaccante alla ricerca di sensazionalismo e riscatto: già tre settimane prima dell’annuncio in questione, infatti, il medesimo soggetto pubblicava un post contenente le stesse immagini – poi velocemente rimosso – dichiarando di aver compromesso un soggetto diverso da Fincantieri, senza mai fare alcun riferimento al Gruppo Cantieristico.

Di seguito riportiamo l’immagine del post precedentemente pubblicato dal threat actors sul forum Breach forums, successivamente cancellato, fornito da Fincantieri.

Post del 15 febbraio successivamente cancellato (Fonte Fincantieri)
Post del 6 marzo sul forum underground Breach Forums

La ricostruzione di Fincantieri prosegue riportando:

Al termine delle indagini che hanno portato a identificare il soggetto terzo, Fincantieri ha informato dell’accaduto le autorità preposte ed ha opportunamente sporto denuncia, indicando l’origine, la natura dei file ed il dettaglio dei contenuti.

Lo spazio di condivisione con l’azienda coinvolta è stato disattivato ed applicato un protocollo standard di ri-controllo e bonifica delle cartelle di lavoro assegnate a fornitori simili, in modo da ridurre la possibilità di replica del pattern, protocollo che non ha rilevato alcuna ulteriore anomalia.

Come è purtroppo noto dalla cronaca internazionale, la condivisione di informazioni con terze parti è sempre più spesso oggetto di minacce informatiche: proprio per questo motivo Fincantieri - che conta oltre 7000 realtà esterne tra i propri fornitori – sta da tempo implementando una roadmap serrata volta alla implementazione di tecnologie per proteggere in modo sempre più efficace non solo le proprie infrastrutture, ma anche la sicurezza della propria catena di fornitura, con un approccio di gradualità e partendo dai sistemi e dalle informazioni con maggiore criticità.

Ritornando a quanto riporta Fincantieri, gli attacchi alla catena di approvvigionamento (attacchi alla supply chain) stanno diventando sempre più diffusi e utilizzati dai threat actors.

In questo periodo storico, molto spesso stiamo assistendo a continue perdite “collaterali” di dati, che non avvengono con esfiltrazioni dirette alle infrastrutture IT delle aziende, ma da aziende di terze parti. Tutto questo ci porta all’attenzione che i fornitori stanno diventano il “tallone di Achille” nella sicurezza informatica aziendale e occorre prestarne la massima attenzione.

Gli attacchi supply chain possono avvenire in variegate forme: vulnerabilità sui sistemi, malware, impiegati infedeli, e le attività di controllo da applicare a tali aziende spesso si poggiano sulla corretta stipula di clausole contrattuali.

Per approfondire meglio il tema degli attacchi alla supply chain, vi consigliamo di leggere l’approfondimento di RHC pubblicato recentemente.

Concludiamo dicendo che quello che ha fatto Fincantieri dovrebbe essere la prassi comune che ogni azienda debba seguire per comunicare quello che si nasconde dietro un attacco informatico.

Questo è necessario – oltre che per far comprendere ai propri clienti la realtà dei fatti – anche per far conoscere le modalità di esecuzione di un attacco informatico ad altre organizzazioni in modo che possano beneficiare di queste “lesson learned”.

Redazione
La redazione di Red Hot Cyber è composta da un insieme di persone fisiche e fonti anonime che collaborano attivamente fornendo informazioni in anteprima e news sulla sicurezza informatica e sull'informatica in generale.

Lista degli articoli

Articoli in evidenza

CAF, phishing e telefonate: il nuovo “modello unico” del Crimine Informatico. Fate Attenzione!
Di Redazione RHC - 30/07/2025

Negli ultimi giorni, diversi Centri di Assistenza Fiscale (CAF) italiani — tra cui CAF CIA, CAF UIL e CAF CISL — stanno segnalando un’ondata di messaggi SMS sospetti inviati diret...

Open Source nel mirino: Aumentano gli attacchi ai repositori dei pacchetti online
Di Redazione RHC - 30/07/2025

Nelle ultime settimane, diversi sviluppatori open source sono stati colpiti da attacchi di phishing, che hanno infettato con malware i pacchetti, alcuni dei quali vengono scaricati 30 milioni di volte...

World Leaks rivendica un Attacco informatico ad ACEA. Aggiornamenti tra 21 ore
Di Redazione RHC - 29/07/2025

Un attacco informatico ai danni di ACEA SpA, colosso italiano attivo nella produzione e distribuzione di elettricità, gas e servizi idrici, è stato rivendicato dai criminali informatici di W...

Zero-click exploit: la nuova frontiera invisibile degli attacchi informatici
Di Redazione RHC - 29/07/2025

Negli ultimi anni, la cybersecurity ha visto emergere minacce sempre più sofisticate, capaci di compromettere dispositivi e dati personali senza che l’utente compia alcuna azione. Tra ques...

Fire Ant all’attacco: come un bug in vCenter apre le porte all’inferno IT
Di Redazione RHC - 28/07/2025

Sygnia segnala che il vettore di attacco iniziale di Fire Ant CVE-2023-34048, sfrutta la vulnerabilità di scrittura fuori dai limiti nell’implementazione del protocollo DCERPC di vCenter S...