Red Hot Cyber
Condividi la tua difesa. Incoraggia l'eccellenza. La vera forza della cybersecurity risiede nell'effetto moltiplicatore della conoscenza.
Redazione RHC : 17 Marzo 2023 08:24
Come avevamo riportato recentemente, sul noto forum underground Breach Forums, un criminale informatico aveva pubblicato un post dove riportava di essere in possesso di dati riservati della Fincantieri S.p.a.
All’interno del post venivano messi a disposizione, liberamente scaricabili, 16GB di dati che a detta del criminale informatico contenevano informazioni “confidenziali” su motori (l’MT30 della Rolls Royce), disegni CAD, schemi delle navi d’assalto, File ISO, documenti classificati di progettazione di navi da guerra italiane e altro ancora.
Fincantieri ha recentemente scritto a Red Hot Cyber, fornendo una ricostruzione dettagliata dei fatti che vogliamo condividere con i nostri lettori. Vogliamo ringraziare Fincantieri per averci fornito anche dei dettagli tecnici su questa vicenda, cosa assai rara soprattutto nelle aziende italiane quando si parla di incidenti informatici.
 CALL FOR SPONSOR - Sponsorizza la Graphic Novel Betti-RHC Sei un'azienda innovativa, che crede nella diffusione di concetti attraverso metodi "non convenzionali"? Conosci il nostro corso sul cybersecurity awareness a fumetti? Red Hot Cyber sta ricercando un nuovo sponsor per una nuova puntata del fumetto Betti-RHC mentre il team è impegnato a realizzare 3 nuovi episodi che ci sono stati commissionati. Contattaci tramite WhatsApp al numero 375 593 1011 per richiedere ulteriori informazioni oppure alla casella di posta [email protected]
Se ti piacciono le novità e gli articoli riportati su di Red Hot Cyber, iscriviti immediatamente alla newsletter settimanale per non perdere nessun articolo. La newsletter generalmente viene inviata ai nostri lettori ad inizio settimana, indicativamente di lunedì. |
La ricostruzione dei fatti svolta da Fincantieri riporta quanto segue:
Relativamente all’articolo pubblicato si ritiene utile fornire alcune precisazioni, per ricondurre i fatti ad una sostanzialità diversa da quella dipinta dal soggetto attaccante.
A seguito della pubblicazione online di materiale di titolarità di Fincantieri in data 6 Marzo, le analisi condotte hanno mostrato infatti che nessun server in carico all’azienda sia stato oggetto di incursione.
I dati oggetto di pubblicazione sono stati ottenuti compromettendo un’utenza in carico ad una terza parte, con un limitato accesso ad una cartella in condivisione contenente pre-lavorati da ricondividere a sua volta con Fincantieri.
Nessun dato oggetto di diffusione è classificato e buona parte dell’archivio condiviso online (circa l’80%) è rappresentato da software commerciale liberamente scaricabile dal portale dei produttori dei relativi apparati.
L’attribuzione dell’attacco alla infrastruttura di Fincantieri e non alla realtà esterna è probabilmente parte di un disegno perpetrato dall’attaccante alla ricerca di sensazionalismo e riscatto: già tre settimane prima dell’annuncio in questione, infatti, il medesimo soggetto pubblicava un post contenente le stesse immagini – poi velocemente rimosso – dichiarando di aver compromesso un soggetto diverso da Fincantieri, senza mai fare alcun riferimento al Gruppo Cantieristico.Di seguito riportiamo l’immagine del post precedentemente pubblicato dal threat actors sul forum Breach forums, successivamente cancellato, fornito da Fincantieri.
La ricostruzione di Fincantieri prosegue riportando:
Al termine delle indagini che hanno portato a identificare il soggetto terzo, Fincantieri ha informato dell’accaduto le autorità preposte ed ha opportunamente sporto denuncia, indicando l’origine, la natura dei file ed il dettaglio dei contenuti.
Lo spazio di condivisione con l’azienda coinvolta è stato disattivato ed applicato un protocollo standard di ri-controllo e bonifica delle cartelle di lavoro assegnate a fornitori simili, in modo da ridurre la possibilità di replica del pattern, protocollo che non ha rilevato alcuna ulteriore anomalia.
Come è purtroppo noto dalla cronaca internazionale, la condivisione di informazioni con terze parti è sempre più spesso oggetto di minacce informatiche: proprio per questo motivo Fincantieri - che conta oltre 7000 realtà esterne tra i propri fornitori – sta da tempo implementando una roadmap serrata volta alla implementazione di tecnologie per proteggere in modo sempre più efficace non solo le proprie infrastrutture, ma anche la sicurezza della propria catena di fornitura, con un approccio di gradualità e partendo dai sistemi e dalle informazioni con maggiore criticità.Ritornando a quanto riporta Fincantieri, gli attacchi alla catena di approvvigionamento (attacchi alla supply chain) stanno diventando sempre più diffusi e utilizzati dai threat actors.
In questo periodo storico, molto spesso stiamo assistendo a continue perdite “collaterali” di dati, che non avvengono con esfiltrazioni dirette alle infrastrutture IT delle aziende, ma da aziende di terze parti. Tutto questo ci porta all’attenzione che i fornitori stanno diventano il “tallone di Achille” nella sicurezza informatica aziendale e occorre prestarne la massima attenzione.
Gli attacchi supply chain possono avvenire in variegate forme: vulnerabilità sui sistemi, malware, impiegati infedeli, e le attività di controllo da applicare a tali aziende spesso si poggiano sulla corretta stipula di clausole contrattuali.
Per approfondire meglio il tema degli attacchi alla supply chain, vi consigliamo di leggere l’approfondimento di RHC pubblicato recentemente.
Concludiamo dicendo che quello che ha fatto Fincantieri dovrebbe essere la prassi comune che ogni azienda debba seguire per comunicare quello che si nasconde dietro un attacco informatico.
Questo è necessario – oltre che per far comprendere ai propri clienti la realtà dei fatti – anche per far conoscere le modalità di esecuzione di un attacco informatico ad altre organizzazioni in modo che possano beneficiare di queste “lesson learned”.
RedazioneDietro molte delle applicazioni e servizi digitali che diamo per scontati ogni giorno si cela un gigante silenzioso: FreeBSD. Conosciuto soprattutto dagli addetti ai lavori, questo sistema operativo U...
Molto spesso parliamo su questo sito del fatto che la finestra tra la pubblicazione di un exploit e l’avvio di attacchi attivi si sta riducendo drasticamente. Per questo motivo diventa sempre più f...
Dal 1° luglio, Cloudflare ha bloccato 416 miliardi di richieste da parte di bot di intelligenza artificiale che tentavano di estrarre contenuti dai siti web dei suoi clienti. Secondo Matthew Prince, ...
Nel 2025, le comunità IT e della sicurezza sono in fermento per un solo nome: “React2Shell“. Con la divulgazione di una nuova vulnerabilità, CVE-2025-55182, classificata CVSS 10.0, sviluppatori ...
Cloudflare torna sotto i riflettori dopo una nuova ondata di disservizi che, nella giornata del 5 dicembre 2025, sta colpendo diversi componenti della piattaforma. Oltre ai problemi al Dashboard e all...
