Red Hot Cyber

La cybersecurity è condivisione.
Riconosci il rischio, combattilo, condividi le tue esperienze ed 
incentiva gli altri a fare meglio di te.

Cerca

Fincantieri scrive a RHC e ricostruisce l’attacco alla terza parte. Molto bene nella comunicazione!

Redazione RHC : 17 Marzo 2023 08:24

  

Come avevamo riportato recentemente, sul noto forum underground Breach Forums, un criminale informatico aveva pubblicato un post dove riportava di essere in possesso di dati riservati della Fincantieri S.p.a.

All’interno del post venivano messi a disposizione, liberamente scaricabili, 16GB di dati che a detta del criminale informatico contenevano informazioni “confidenziali” su motori (l’MT30 della Rolls Royce), disegni CAD, schemi delle navi d’assalto, File ISO, documenti classificati di progettazione di navi da guerra italiane e altro ancora.

Fincantieri ha recentemente scritto a Red Hot Cyber, fornendo una ricostruzione dettagliata dei fatti che vogliamo condividere con i nostri lettori. Vogliamo ringraziare Fincantieri per averci fornito anche dei dettagli tecnici su questa vicenda, cosa assai rara soprattutto nelle aziende italiane quando si parla di incidenti informatici.

La ricostruzione dei fatti svolta da Fincantieri riporta quanto segue:

Relativamente all’articolo pubblicato si ritiene utile fornire alcune precisazioni, per ricondurre i fatti ad una sostanzialità diversa da quella dipinta dal soggetto attaccante.

A seguito della pubblicazione online di materiale di titolarità di Fincantieri in data 6 Marzo, le analisi condotte hanno mostrato infatti che nessun server in carico all’azienda sia stato oggetto di incursione.

I dati oggetto di pubblicazione sono stati ottenuti compromettendo un’utenza in carico ad una terza parte, con un limitato accesso ad una cartella in condivisione contenente pre-lavorati da ricondividere a sua volta con Fincantieri.

Nessun dato oggetto di diffusione è classificato e buona parte dell’archivio condiviso online (circa l’80%) è rappresentato da software commerciale liberamente scaricabile dal portale dei produttori dei relativi apparati.

L’attribuzione dell’attacco alla infrastruttura di Fincantieri e non alla realtà esterna è probabilmente parte di un disegno perpetrato dall’attaccante alla ricerca di sensazionalismo e riscatto: già tre settimane prima dell’annuncio in questione, infatti, il medesimo soggetto pubblicava un post contenente le stesse immagini – poi velocemente rimosso – dichiarando di aver compromesso un soggetto diverso da Fincantieri, senza mai fare alcun riferimento al Gruppo Cantieristico.

Di seguito riportiamo l’immagine del post precedentemente pubblicato dal threat actors sul forum Breach forums, successivamente cancellato, fornito da Fincantieri.

Post del 15 febbraio successivamente cancellato (Fonte Fincantieri)
Post del 6 marzo sul forum underground Breach Forums

La ricostruzione di Fincantieri prosegue riportando:

Al termine delle indagini che hanno portato a identificare il soggetto terzo, Fincantieri ha informato dell’accaduto le autorità preposte ed ha opportunamente sporto denuncia, indicando l’origine, la natura dei file ed il dettaglio dei contenuti.

Lo spazio di condivisione con l’azienda coinvolta è stato disattivato ed applicato un protocollo standard di ri-controllo e bonifica delle cartelle di lavoro assegnate a fornitori simili, in modo da ridurre la possibilità di replica del pattern, protocollo che non ha rilevato alcuna ulteriore anomalia.

Come è purtroppo noto dalla cronaca internazionale, la condivisione di informazioni con terze parti è sempre più spesso oggetto di minacce informatiche: proprio per questo motivo Fincantieri - che conta oltre 7000 realtà esterne tra i propri fornitori – sta da tempo implementando una roadmap serrata volta alla implementazione di tecnologie per proteggere in modo sempre più efficace non solo le proprie infrastrutture, ma anche la sicurezza della propria catena di fornitura, con un approccio di gradualità e partendo dai sistemi e dalle informazioni con maggiore criticità.

Ritornando a quanto riporta Fincantieri, gli attacchi alla catena di approvvigionamento (attacchi alla supply chain) stanno diventando sempre più diffusi e utilizzati dai threat actors.

In questo periodo storico, molto spesso stiamo assistendo a continue perdite “collaterali” di dati, che non avvengono con esfiltrazioni dirette alle infrastrutture IT delle aziende, ma da aziende di terze parti. Tutto questo ci porta all’attenzione che i fornitori stanno diventano il “tallone di Achille” nella sicurezza informatica aziendale e occorre prestarne la massima attenzione.

Gli attacchi supply chain possono avvenire in variegate forme: vulnerabilità sui sistemi, malware, impiegati infedeli, e le attività di controllo da applicare a tali aziende spesso si poggiano sulla corretta stipula di clausole contrattuali.

Per approfondire meglio il tema degli attacchi alla supply chain, vi consigliamo di leggere l’approfondimento di RHC pubblicato recentemente.

Concludiamo dicendo che quello che ha fatto Fincantieri dovrebbe essere la prassi comune che ogni azienda debba seguire per comunicare quello che si nasconde dietro un attacco informatico.

Questo è necessario – oltre che per far comprendere ai propri clienti la realtà dei fatti – anche per far conoscere le modalità di esecuzione di un attacco informatico ad altre organizzazioni in modo che possano beneficiare di queste “lesson learned”.

Redazione
La redazione di Red Hot Cyber è composta da un insieme di persone fisiche e fonti anonime che collaborano attivamente fornendo informazioni in anteprima e news sulla sicurezza informatica e sull'informatica in generale.