RHC Dark Lab : 11 Luglio 2025 07:39
Negli ultimi mesi, due episodi inquietanti hanno scosso l’opinione pubblica e il settore della sicurezza informatica italiana.
Il primo ha riguardato un ospedale italiano, violato nel suo cuore più sensibile: video dei pazienti e delle sale operatorie finiti online, esponendo non solo l’inadeguatezza dei sistemi di protezione, ma anche la vulnerabilità della nostra stessa umanità digitale. Altri episodi, li abbiamo visto colpire i sistemi SCADA di hotel e altre infrastrutture, dove l’accesso completo a impianti critici è stato ottenuto da due gruppi: Overflame e Sector16.
Proprio questi ultimi, i Sector16, sono il soggetto della nostra intervista esclusiva. Un nome che fino a poco tempo fa era conosciuto solo tra addetti ai lavori, ma che oggi inizia ad essere presente nei report delle intelligence cyber europee. Le loro operazioni, caratterizzate da una precisione chirurgica e da un linguaggio comunicativo crudo e provocatorio, si inseriscono in un nuovo paradigma di attivismo digitale, in cui la linea tra sabotaggio, dimostrazione di forza e crimine organizzato è sempre più sottile.
Sei un Esperto di Formazione?
Entra anche tu nel Partner program! Accedi alla sezione riservata ai Creator sulla nostra Academy e scopri i vantaggi riservati ai membri del Partner program.
Contattaci tramite WhatsApp al 375 593 1011 per richiedere ulteriori informazioni oppure scriviti alla casella di posta [email protected]
Supporta RHC attraverso:
Ti piacciono gli articoli di Red Hot Cyber? Non aspettare oltre, iscriviti alla newsletter settimanale per non perdere nessun articolo.
In questa conversazione, abbiamo cercato di comprendere chi sono, cosa li muove e fino a dove intendono spingersi. Quello che ne è emerso è il ritratto di un collettivo che non si limita a violare sistemi, ma che intende lanciare messaggi, sfidare i confini della sicurezza informatica e – a loro dire – “mettere in evidenza il marcio nel cuore delle infrastrutture digitali italiane”.
RHC: Il nome “Sector16” ha una connotazione precisa: richiama un linguaggio tecnico, quasi militare, e lascia intendere un certo grado di organizzazione o di visione strategica. Cosa rappresenta per voi questo nome? È legato a un luogo, a un concetto, a una provocazione?
SECTOR16: Nel film “Le colline hanno gli occhi“ viene citato un poligono militare abbandonato chiamato SECTOR 16. Il nome sottolinea l’atmosfera di isolamento e pericolo in cui i personaggi si trovano ad affrontare diverse minacce in questo luogo sospetto e abbandonato..
RHC: Cosa vi spinge a concentrare molti dei vostri attacchi proprio sulle infrastrutture italiane? È una scelta strategica, simbolica o c’è una motivazione più personale dietro questa costanza?
SECTOR16: L’infrastruttura italiana è la più vulnerabile, per questo continueremo ad attaccarla finché i suoi sistemi non saranno protetti da password robuste e metodi di autenticazione affidabili.
RHC: In molti dei vostri attacchi avete preso di mira sistemi SCADA, dispositivi e impianti industriali solitamente ignorati dai gruppi criminali tradizionali. Cosa vi affascina di questi ambienti e perché sembrano essere al centro delle vostre campagne?
SECTOR16: Ci interessano i sistemi SCADA, perché prima di noi questo settore non era molto sviluppato e ha un impatto fondamentale sulle infrastrutture più importanti dell’intero pianeta, rivestendo in alcuni casi un’importanza critica..
RHC: Vi considerate hacktivisti mossi da un ideale, oppure operate con altri scopi? In sostanza, come vi definite e cosa distingue Sector16 da un gruppo di cyber criminali comuni e magari da profitto?
SECTOR16: Non ci consideriamo idealisti, non ci sono ideali, ci sarà sempre qualcuno migliore di te. Pertanto, ci sforziamo di migliorare e imparare qualcosa di nuovo. Ci differenziamo dai gruppi ordinari perché siamo umani, e lo facciamo non solo per danneggiare, ma anche per contribuire a proteggere il sistema con i nostri attacchi leggeri.
RHC: L’attacco a un ospedale italiano ha avuto un impatto umano e mediatico molto forte, soprattutto per la pubblicazione dei video dei pazienti e delle sale operatorie. Ci avete detto nei nostri primi contatti che non avete venduto ad altri criminali informatici i dati che avete esfiltrato. Come giustificate questa azione? C’è un messaggio dietro o è stato solo un mezzo per dimostrare le vostre capacità?
SECTOR16: L’ospedale in Italia è stato scoperto per caso, non ci aspettavamo che avrebbe suscitato una tale risonanza. Non abbiamo venduto i dati a nessuno, non c’è alcun intento finanziario. Abbiamo lasciato alcune nostre tracce in modo che gli amministratori potessero eliminare la vulnerabilità. Al momento il server non risponde più, il che significa che gli amministratori hanno eliminato la vulnerabilità. Non c’era una grande quantità di dati sul server che potesse essere trasferita a qualcuno, la scoperta principale riguardava le telecamere, non i dati al loro interno.
RHC: In occasione dell’attacco al sistema SCADA di un hotel di lusso a Capri, avete collaborato con Overflame. È stata una partnership occasionale o fate parte di una rete più ampia di gruppi con obiettivi comuni?
SECTOR16: Questa non è stata l’unica collaborazione con Overflame e speriamo non sarà l’ultima, hanno anche partecipato all’attacco alla centrale idroelettrica in Francia e a diversi altri attacchi ai sistemi SCADA
RHC: C’è una motivazione ideologica o politica che guida le vostre azioni? Vi sentite parte di una battaglia contro il sistema o operate secondo una vostra personale etica?
SECTOR16: Il nostro gruppo ha convinzioni politiche e un certo patriottismo verso il nostro Paese, un amore per esso. Ma questo non è legato a motivazioni ideologiche di natura nazionale o religiosa. Siamo parte attiva della lotta contro il sistema criminale Ucraino e possiamo apportare piccoli cambiamenti al nostro futuro e al nostro presente.
RHC: Dalle informazioni raccolte sembra che le vostre operazioni siano pianificate nei minimi dettagli. Quanto tempo dedicate alla fase di studio e raccolta informazioni prima di portare a termine un attacco?
SECTOR16: In effetti, pianificare un attacco può richiedere al massimo un giorno; per lo più cerchiamo di pensare alle nostre azioni, a quali saranno le conseguenze e a come minimizzarle o aumentarle.
RHC: Per violare i vostri obiettivi utilizzate strumenti già pubblici o preferite sviluppare exploit e tool personalizzati? Quanto conta la parte tecnica nell’affermazione della vostra identità?
SECTOR16: Utilizziamo strumenti già pronti e noti per penetrare nei sistemi, ma scriviamo anche exploit nostri. La parte tecnica è molto importante, perché influisce direttamente sul successo e sulla quantità degli attacchi.
RHC: Qual è la vostra opinione sulla sicurezza delle infrastrutture critiche italiane? Se doveste dare una scala da 1 a 10, quanto sono difficili da violare le infrastrutture italiane? Rispetto ad altri paesi europei, l’Italia è un bersaglio facile o semplicemente trascurato?
SECTOR16: Valuteremo la sicurezza delle infrastrutture critiche in Italia con un massimo di 3/10, poiché hanno rinunciato alla sicurezza e non riescono nemmeno a impostare password decenti per i propri sistemi o persino impostare una password di sistema.
RHC: Una volta ottenuto l’accesso a un sistema, quali sono i vostri obiettivi principali? Vi interessa il semplice accesso, la raccolta di dati, la dimostrazione di un fallimento sistemico, o altro?
SECTOR16: Siamo interessati all’accesso al sistema stesso, a ciò che è presente e a ciò che può essere controllato. Più grande è il server, meglio è per noi, perché significa che abbiamo un accesso esteso e contenuti di qualità.
RHC: A vostro dire avete ricevuto diverse offerte per acquistare i dati da voi ottenuti nel vostro recente attacco. L’opinione pubblica non ha ben chiaro il mercato che sta dietro ad azioni analoghe alla vostra, potreste dirci che tipo di offerte (e quantita’ di denaro) avete ricevuto? Come spieghereste la gravita’ della situazione quando dati di tipo sanitario vengono ottenuti da parte di attori malevoli?
SECTOR16: Non vendiamo dati ad altri gruppi, poiché non è nostro compito, nonostante ci sia stato offerto di acquistare alcuni sistemi SCADA in diverse occasioni. Non posso fornire esempi specifici, poiché si tratta di informazioni riservate e non vogliamo esporre altri team.
RHC: In passato avete mai valutato di monetizzare le vostre competenze tramite ransomware, estorsioni o vendita di accessi, oppure il denaro non è un vostro obiettivo?
SECTOR16: Abbiamo un atteggiamento molto negativo nei confronti dei ransomware. Crediamo che violino qualsiasi forma di moralità. Per fare un semplice esempio: quando abbiamo ottenuto l’accesso al computer dell’ospedale italiano, avremmo potuto crittografarlo, ma a causa dei nostri principi e standard morali, abbiamo abbandonato l’idea e ci siamo semplicemente limitati a lasciare un segno.
RHC: Come selezionate i vostri bersagli? Ci sono criteri precisi – simbolici, strategici, geopolitici – oppure è una questione di opportunità e vulnerabilità tecniche?
SECTOR16: Non ci sono criteri chiari per gli attacchi. Per lo più, la scelta dei Paesi da colpire avviene in modo casuale e, come abbiamo notato, una grande percentuale di sistemi SCADA trovati è italiana o spagnola. Tutto dipende dall’intervallo degli indirizzi IP.
RHC: Sector16 è un gruppo chiuso e strutturato o esiste una rete più fluida in cui nuovi membri possono essere accolti? Qual è il vostro modello organizzativo?
SECTOR16: Chiunque superi il nostro piccolo test può provare a entrare a far parte di SECTOR16. L’importante è che la persona abbia voglia di lavorare e imparare qualcosa di nuovo. L’esperienza è molto importante, perché influisce sul numero di attacchi.
RHC: Considerando l’impatto crescente delle vostre azioni, temete di essere identificati e perseguiti dalle forze dell’ordine, o vi sentite al sicuro dietro il vostro anonimato digitale? Telegram in questo periodo si sta aprendo alle forze dell’ordine. Come vedete tutto questo?
SECTOR16: Temiamo direttamente di essere identificati, per questo cerchiamo di nascondere la nostra identità in ogni modo possibile e prevediamo di abbandonare Telegram in futuro.
RHC: Se aveste la possibilità di far arrivare un messaggio diretto ai governi o all’opinione pubblica, cosa vorreste che comprendessero davvero di Sector16 e delle vostre azioni?
SECTOR16: Vogliamo aiutare l’infrastruttura dell’intero pianeta, ma per farlo è necessario lanciare un segnale affinché le persone possano comprendere il problema e, grazie all’esperienza, evitare simili errori. Non direi che il problema della protezione VNC sia particolarmente pericoloso: basta semplicemente impostare password complesse, e tutto si risolve.
RHC: I blackhat sono sempre più forti dei whitehat, siete sempre un passo avanti! perché non offrire le vostre competenze dietro adeguato compenso per aumentare la sicurezza dei sistemi delle aziende e delle organizzazioni?
SECTOR16: Stiamo già cercando di migliorare la sicurezza dei sistemi e delle organizzazioni. Non perseguiamo ricompense o denaro di alcun tipo, siamo pronti ad aiutare i white hat e a fornire loro preziose conoscenze a beneficio della nostra società.
RHC: Durante le vostre intrusioni, quanto è importante l’ingegneria sociale rispetto alla semplice vulnerabilità tecnica? Avete mai fatto leva su dipendenti interni, phishing mirato o altre tecniche di manipolazione umana?
SECTOR16: L’ingegneria sociale non gioca quasi alcun ruolo nei nostri attacchi. È il fattore umano ad avere un impatto. Al momento non utilizziamo insider e non facciamo uso di phishing.
RHC: Quanto conta la componente di persistence nei vostri attacchi? Vi limitate a un exploit one-shot o costruite accessi duraturi e invisibili nel tempo?
SECTOR16: Alcuni exploit li utilizziamo per mesi, altri solo per pochi giorni. Naturalmente, la persistenza gioca un ruolo fondamentale nel nostro team.
RHC: Sector16, grazie ancora per il vostro tempo e le vostre preziose risposte ai nostri lettori! Vi lasciamo quest’ultimo spazio per dire quello che volete in totale libertà.
SECTOR16: Fai attenzione alla tua sicurezza, usa password complesse e VPN sicure. E ricordate: “Distruggiamo il presente per un futuro migliore“.
RHC: Qual è la password italiana più semplice che tu abbia mai trovato?
SECTOR16: Una delle password più semplici su un server italiano è 111111.
RHC: Hai detto che lascerai Telegram. Possiamo sapere quale piattaforma utilizzerai?
SECTOR16: Stiamo pensando di lasciare Telegram per Jabber, ma il problema principale è il pubblico, che è più ampio e più accessibile su Telegram.
RHC Dark LabSecondo Trellix, il gruppo DoNot APT ha recentemente condotto una campagna di spionaggio informatico in più fasi, prendendo di mira il Ministero degli Affari Esteri italiano. Il gruppo, attribuit...
È stata scoperta una vulnerabilità critica di tipo double free nel modulo pipapo set del sottosistema NFT del kernel Linux. Un aggressore senza privilegi può sfruttare questa vulne...
Negli ultimi mesi, due episodi inquietanti hanno scosso l’opinione pubblica e il settore della sicurezza informatica italiana. Il primo ha riguardato un ospedale italiano, violato nel suo cuore...
In questi giorni, sul noto forum underground exploit.in, attualmente chiuso e accessibile solo su invito – sono stati messi in vendita degli exploit per una vulnerabilità di tipo 0day che ...
Il CERT-AgID recentemente aveva avvertito che molte istanze pubbliche non sono ancora state aggiornate e tra queste 70 sono relative a banche, assicurazioni e pubbliche amministrazioni italiane. Ora l...
Copyright @ REDHOTCYBER Srl
PIVA 17898011006
