Guerre di Rete - L'oleodotto ha pagato. E ora?

Facebook e la disinformazione via PR. Supply chain e sicurezza

Guerre di Rete - una newsletter di notizie cyber
a cura di Carola Frediani
N.106 - 16 maggio 2021

In questo numero si parla di:
- speciale Colonial Pipeline: le conseguenze
- social media e disinfo, il ruolo delle società private
- la tensione fra Cina e Occidente passa per la supply chain
- e altro

CYBER SVOLTE
L’oleodotto ha pagato. E ora?
La storia dell’attacco informatico che ha indirettamente bloccato uno dei più importanti oleodotti americani è diventata ancora più grave a distanza di giorni. Se ricordate, il 7 maggio Colonial Pipeline, azienda che gestisce 5500 km di oleodotto fra Texas e New Jersey, aveva annunciato il blocco delle attività a causa di un ransomware, un software malevolo che cifra i file e chiede un riscatto. Tra mercoledì e giovedì, dopo oltre 5 giorni di incertezza, Colonial Pipeline ha infine ripreso le operazioni e il servizio, dopo che il blocco aveva già causato un aumento dei prezzi e problemi di approvvigionamento nella East Coast.
Ma nel frattempo emergeva, su Bloomberg e poi sul WSJ, che l’azienda avrebbe davvero pagato l’estorsione ai cybercriminali: 75 bitcoin equivalenti a circa 5 milioni di dollari al momento della transazione, riferisce Wired. Tra l’altro, secondo Bloomberg, lo strumento ricevuto per la decifrazione, ottenuto grazie al pagamento, non sarebbe stato efficace nel far riprendere le attività (sarebbe stato troppo lento), e alla fine il ripristino dei sistemi sarebbe avvenuto attraverso i backup aziendali.
La dinamica così descritta solleva però molti interrogativi: davvero hanno pagato solo 5 milioni? (Chi si occupa di cybercrimine concorda che per un target come Colonial Pipeline la somma richiesta sia molto bassa). E lo hanno fatto subito o solo dopo giorni? E lo hanno fatto per ottenere cosa esattamente, visto che avevano il backup (il ripristino più veloce? evitare il leak di dati?). E alla fine il pagamento è servito a qualcosa o no? (a parte servire a chi farà le indagini, probabilmente… come vedremo più sotto).
Di certo, secondo molti osservatori, la scelta di pagare rischia di essere un grande regalo per chi compie attacchi di questo tipo. Anche se, notano altri, il gruppo cui è attribuito il ransomware, DarkSide, non si è fatto nemmeno una bella pubblicità dando uno strumento che non funzionerebbe in modo adeguato. Perché alla fine anche il business criminale dei ricatti ha bisogno di un certo livello di reputazione e fiducia, altrimenti nessuno sarà più disposto a pagare (un po’ come i venditori di droga nel dark web che hanno bisogno di buoni feedback dai compratori, nota il giornalista Joseph Cox).

La tempesta perfetta
Insomma, siamo totalmente calati in un filmone americano dove abbiamo l’attacco cybercriminale proveniente dalla Russia o regioni limitrofe (così sostengono Fbi e alcuni ricercatori), anche se la matrice sembra essere solo criminale e non politica; abbiamo l’infrastruttura critica al centro dell’American way of life per eccellenza, l’oleodotto che trasporta carburanti in una delle zone nevralgiche del Paese, che resta bloccata, con aree, come Washington, DC, in cui il 73 per cento dei distributori di benzina avrebbero avuto ripercussioni; abbiamo i cybercriminali che si mettono a fare dichiarazioni sul loro sito nel dark web in relazione al fatto che non volevano creare “problemi sociali”, come fossero un hater sui social improvvisamente incalzato da un giornalista che l’ha beccato sotto casa; e che comunque, mea culpa o meno, incassano un riscatto da 5 milioni di dollari che viene pagato in criptovalute; e infine, abbiamo Biden che prima emette una rara dichiarazione di emergenza per permettere ai camion di trasportare più carburante sopperendo alla chiusura dell’oleodotto; e poi un ordine esecutivo sulla cybersicurezza.

Da notare che in realtà la compromissione ha riguardato solo la rete corporate dell’azienda che però ha deciso di fermare anche l’oleodotto per precauzione. C’è chi ritiene che in questo modo si volesse evitare una diffusione dell’infezione dai sistemi di controllo di Colonial Pipeline al resto della filiera di distributori e fornitori, e c’è chi dice - come la giornalista Kim Zetter - che senza la rete aziendale non si potesse fatturare il carburante.
“L’attacco di per sé non ha causato l’interruzione della distribuzione del carburante, tuttavia l’azienda ha scelto – giustamente – di fermarne l’erogazione col timore che gli attaccanti potessero creare danni all’infrastruttura, o peggio muoversi nel network fino a raggiungere la rete clienti, in una sorta di doppio supply-chain attack diretto verso l’alto ai fornitori, e verso il basso ai distributori”, ha commentato Alberto Pelliccione, Ceo della società di sicurezza ReaQta, su Cybersecurity360.

Come avevo scritto qualche giorno fa in un articolo su Domani, tutta questa storia determinerà una accelerazione, da parte americana, della lotta contro il cybercrimine, soprattutto quello più organizzato attorno alla formula dei ransomware. E quando l’ho scritto ancora non si sapeva del clamoroso pagamento del riscatto, che diventa un’aggravante, e una ulteriore spinta per una pressione politica per smantellare questo ecosistema, come nota su Twitter il professore di studi strategici Thomas Rid.

Fare terra bruciata attorno ai ransomware
Proprio poche settimane fa gli Stati Uniti avevano dato vita a una task force dedicata alle cyber estorsioni.  “Sul tavolo c’è già un rapporto dell’Institute for Security and Technology con una serie di dati e raccomandazioni. Nel 2020 circa 2400 organizzazioni americane sono state colpite da ransomware, incluse 1700 scuole e università e 560 strutture sanitarie. In totale, l’anno scorso, le vittime negli Usa hanno pagato 350 milioni di dollari in criptovalute per sbloccare i propri sistemi, un incremento di oltre il 300 per cento dal 2019.
Tra le raccomandazioni: obbligare le aziende a riferire se sono state vittima di estorsione e se hanno pagato; indurle a considerare delle alternative; regolare più rigidamente il settore delle criptomonete, con cui sono pagati gran parte di questi riscatti, soprattutto per quel che riguarda i cambiavalute e l’applicazione delle norme antiriciclaggio. E, infine, avviare un’azione di polizia e di diplomazia internazionale che alterni il bastone e la carota (è scritto proprio così) nei confronti di quegli Stati che si comportano come un porto sicuro per i cybercriminali”. (dal mio articolo su Domani)

C’è anche un altro piano in cui la discussione si sta facendo accesa. Quello del pagamento dei riscatti. Dopo un incontro col governo di Parigi, il gruppo assicurativo AXA ha fatto sapere di non coprire più i costi delle cyber estorsioni per aziende d’Oltralpe. Il timore è che l’esistenza stessa di queste coperture possa incentivare i cybercriminali. “Le assicurazioni cyber tipicamente coprono anche i pagamenti per ransomware, e forniscono staff per negoziare” con i cybercriminali, oltre a servizi di pr e IT, scrive Insurance Journal. 

En passant, Colonial Pipeline aveva una copertura assicurativa con AXA XL e Beazley, scrive Reuters. Per almeno 15 milioni di dollari, secondo Insurance Insider.

DarkSide va dark
Ma la storia è ancora lontana dall’essere conclusa. Mentre scrivo questa newsletter è emerso che DarkSide, la gang di cybercriminali, sarebbe scomparsa nel nulla. Secondo un messaggio pubblicato su un altro sito, per conto del gruppo, i cybercriminali avrebbero chiuso le loro operazioni “a causa della pressione dagli Stati Uniti”, e dopo aver perso l’accesso alla parte pubblica della loro infrastruttura, inclusi i fondi del server di pagamento (loro e dei loro affiliati), che sarebbero stati girati su un account sconosciuto (Bleeping Computer). A quel punto avrebbero deciso di sbaraccare anche il resto dell’infrastruttura e “to go dark”, scomparire sotto traccia. Insomma, volatilizzati dopo aver estorto 9 milioni di dollari in pochi giorni, i 5 da Colonial Pipeline, e 4,4 milioni da una azienda di distribuzione chimica tedesca, Brenntag, che avrebbe pagato l’11 maggio.

Exit scam o azione di polizia?
Ci troviamo dunque davanti a un’azione dell’Fbi e di altre agenzie americane? Al momento di questa newsletter non ci sono però conferme dalle autorità (che di solito, quando mettono offline siti cybercriminali, lasciano annunci ben visibili sugli stessi). Siamo di fronte a una exit scam, una fuga col malloppo e un bluff dei cybercriminali, che anche sentendosi il fiato sul collo ne approfittano per sparire nel nulla con la scusa dei federali alle calcagna? O un mix di queste due interpretazioni? Di sicuro, il tracciamento dei soldi è già partito. La società di analisi della blockchain Elliptic ha individuato il wallet (portafoglio) usato da DarkSide per ricevere i pagamenti da diverse vittime. Secondo alcuni, saremmo di fronte a un errore da parte dei cybercriminali, che avrebbero usato lo stesso wallet per 57 transazioni.

Ad ogni modo Elliptic, studiando anche precedenti transazioni, ha ricostruito come il gruppo riciclava i soldi. Ad esempio una parte di questi andava a un gruppo ristretto di exchange (cambiavalute). Una parte veniva inviata a Hydra, uno dei maggiori mercati neri delle darknet, che serve soprattutto clienti russi o dell’Est, offrendo servizi di cash out, per cui le criptovalute sono convertite in buoni regalo, carte prepagate, contanti (rubli).

Ha da passà ‘a nuttata
Nel frattempo, c’è una riconfigurazione in atto nell’underground criminale. Un altro noto gruppo che gestisce ransomware, REvil (che alcuni ritengono collegato a DarkSide) ha annunciato di non voler pubblicizzare più il suo servizio di ransomware come servizio (con reclutamento di affiliati) ma di diventare privato. Alcuni forum cybercriminali hanno messo al bando i ransomware (Intel741). Il gruppo Babuk, che aveva attaccato la polizia del distretto di Columbia, dice di voler abbandonare il sistema di ransomware come servizio. E’ un sommovimento globale nell’ecosistema cybercriminale, con gruppi che rispolverano codici di condotta e affermano di vagliare i target, mai la sanità e via dicendo. Ovviamente, dal loro punto di vista, è solo una ritirata strategica. Un rebrand, come dice qualcuno. Un inabissarsi in attesa della reazione americana (che ci sarà, possiamo starne certi, e magari anche russa, considerato che Biden ha detto di essere in contatto con Mosca sulla vicenda) (The Record; Zero day; Brian Krebs)

Il ransomware e la polizia
Restando in tema, i cybercriminali che avevano violato i sistemi della polizia di Washington, minacciando di pubblicare dati e documenti se non veniva pagato loro il riscatto, qualche giorno fa hanno effettivamente iniziato a diffondere informazioni. Non solo indirizzi, numeri di telefono e documenti di agenti di polizia ma anche valutazioni psicologiche, risultati del test del poligrafo, interviste coi supervisori, la storia creditizia. Insomma materiale molto riservato, delicato e dettagliato. Il gruppo specializzato in ransomware che ha colpito la polizia sembra essere Babuk, presente sia su forum in inglese che in russo. Su questi ultimi reclutava affiliati (ma chissà, forse ancora per poco visto quanto successo in questi ultimi giorni e viste le loro ultimissime dichiarazioni). Il gruppo sosteneva di aver ricevuto un’offerta dalla polizia ma che non era abbastanza (Vice).

Sistema sanitario irlandese colpito
Nel mentre il sistema sanitario irlandese è stato messo in difficoltà da un ransomware, al punto da dover bloccare una serie di appuntamenti e attività (soprattutto radiologia). Sono stati chiesti 20 milioni di dollari di riscatto, e gli attaccanti avrebbero in mano 700 GB di dati su pazienti e dipendenti (Bleeping Computer).
A distanza di 4 anni da Wannacry.  Già, perché 12 maggio è stato il quarto anniversario di Wannacry, il ransomware che nel 2017 ha colpito moltissimi Paesi e organizzazioni, mandando in tilt la sanità britannica, come ho raccontato nel libro #Cybercrime. Il Cyberpeace Institute ricorda che ci sarebbero ancora aziende e organizzazioni vulnerabili a Wannacry.

SOCIAL E DISINFO
Crescono le campagne di disinformazione sui social gestite da società di PR, segnala Facebook
Le campagne di propaganda e disinformazione gestite segretamente da governi sui social media non sono certo una novità. Tuttavia, secondo Facebook, sempre più campagne di questo tipo sono delegate a società di pubbliche relazioni, a entità commerciali che distanziano i mandanti dell’operazione dagli esecutori. “Abbiamo visto una crescita di questo genere di interventi”, ha dichiarato il capo per le security policy del social, Nathaniel Gleicher, con attori meno visibili capaci di amplificare contenuti polarizzanti su questioni anche molto locali.
Un caso recente è quello del Messico. La scorsa settimana Facebook ha rimosso decine di account e pagine inautentiche che cercavano di spingere la rielezione di Julian Zacarias, attuale sindaco di Progreso, denigrando la rivale Lila Frias Castillo. La campagna gestiva molte pagine e account che apparivano essere media indipendenti, quando, di fatto, erano collegati a Sombrero Blanco, una società messicana di relazioni pubbliche, e allo stesso Zacaria.

In passato Facebook aveva pubblicamente denunciato anche le attività gestite da una società di lobbying israeliana, attività che si dispiegavano in vari Paesi africani, del Sudest asiatico e dell’America Latina, a seconda dei committenti. Poi c’era stato il caso di una società tunisina che gestiva campagne collegate a varie elezioni in Africa; varie società di marketing brasiliane, anch’esse attive in relazione a elezioni locali. E poi episodi nelle Filippine, in Egitto, Canada e altri Paesi (Cyberscoop).
Insomma, la verità è che molta disinformazione e cattiva informazione, molte campagne coordinate e inautentiche, mosto astroturfing, nascono dall’interno dei singoli Paesi, più che dall’esterno. Da politici, partiti, governi. E se la cattiva informazione è una sfida a livello globale, in alcuni luoghi, come in India, “è praticamente incorporata nelle comunicazioni del partito al governo”, scrive Rest of the World. “E il target principale di queste campagne sono le minoranze religiose, nello specifico quella musulmana”.

L’armata di finti utenti cinesi su Twitter
Esistono però anche campagne di influenza orientate all’estero. Un esempio sembrerebbe essere quello evidenziato in questi giorni da una inchiesta di Associated Press e dell’ Oxford Internet Institute. In Cina, dice l’indagine, un’armata di finti account Twitter ha ritwittato diplomatici cinesi e media statali cinesi per decine di migliaia di volte, amplificando di nascosto i messaggi governativi, senza far capire che erano sponsorizzati dallo Stato. Alcuni account hanno anche impersonato cittadini britannici, prima di essere chiusi da Twitter, come conseguenza dell’inchiesta. Secondo i suoi autori, il tipo di attività inautentica svelata mostrerebbe il crescente interesse di Beijing nell’influenzare l’opinione pubblica globale al di là dei suoi confini e dei suoi interessi strategici principali, come Taiwan, Hong Kong e lo Xinjiang.

Usa e Uk investono contro la propaganda straniera
Tra l’altro poche settimane fa negli Usa l’ufficio del direttore dell’intelligence nazionale (ODNI) ha annunciato la creazione di un centro dedicato a tracciare gli sforzi stranieri di orchestrare campagne di influenza e disinformazione negli Usa. Si chiamerà, abbastanza brutalmente, Foreign Malign Influence Center, centro sull’influenza malevola straniera. (CBS)
In Gran Bretagna, nel mentre, il segretario di Stato per gli affari esteri Dominic Raab ha annunciato un finanziamento di 8 milioni di sterline al BBC World Service, per contrastare disinformazione e cattiva informazione, costruendo e allargando il pubblico internazionale dell’emittente nazionale. Il finanziamento arriva poco dopo la pubblicazione di un documento del governo che sottolineava la necessità di contrastare la disinformazione per proteggere la Gran Bretagna da minacce straniere.

MYANMAR
Se anche il food blogger diventa un pericolo

In Birmania una generazione di blogger, imprenditori tech, influencer si è ritrovata suo malgrado nel mirino della giunta golpista e dei provvedimenti che criminalizzano le loro attività online. Ed ora è letteralmente in fuga - Rest of the World

SICUREZZA DELLA SUPPLY CHAIN
La Cina vuole il controllo sui dati conservati localmente

Una clausola aggiunta alla bozza della legge cinese sulla sicurezza dei dati prevede di sanzionare aziende che diano dati conservati localmente a polizie o tribunali stranieri senza il consenso di Beijing. Una mossa che renderebbe più difficile per inquirenti stranieri ottenere dati dalla Cina.

“Per esempio - scrive il South China Morning Post - secondo questa legge, ogni azienda americana o cinese che detiene dati di utenti americani su server che stanno in Cina potrebbe rifiutare la richiesta di una corte americana di accedere agli stessi se Beijing non dà un’approvazione esplicita. Sulla carta questo sarebbe anche in conflitto con le regole americane. L’ex presidente Trump ha emanato il CLOUD Act (Clarifying Lawful Overseas Use of Data Act), che permette alle agenzie investigative statunitensi di richiedere l’accesso a informazioni online indipendentemente dal Paese in cui sono conservati i dati. Esperti di diritto ritengono che ciò potrebbe sollevare molte incertezze per le aziende che fanno affari in Cina”. La Repubblica popolare già richiede alle aziende straniere di conservare i dati locali nel Paese.

Smart cities? Rischi per la sicurezza, dicono i servizi inglesi
Le tecnologie alla base di smart cities, progettate per ottimizzare servizi pubblici, potrebbero diventare un target attraente per Stati ostili che cerchino di danneggiare le infratstrutture nazionali o di rubare dati sesnibili, sostiene il National Cyber Security Centre, parte del GCHQ, i servizi di intelligence britannici dedicati alle intercettazioni elettroniche. Nel mirino sembrano esserci forniture da parte di aziende cinesi, come Huawei e Alibaba, scrive il Financial Times.

  • Il Giappone molla i droni cinesi per potenziali rischi di sicurezza (Nikkei Asia)

Infatti, malgrado il recente successo su Marte, sulla Terra la Cina appare più isolata. È cambiato il clima politico: scontro con gli Usa, strappo con l’Unione europea e rischio isolamento in Asia. Xinjiang e Taiwan elementi dirimenti nello spostare gli equilibri a favore di Biden, scrive Simone Pieranni sul manifesto

Gli Usa vogliono tagliare i ponti con fornitori russi di tecnologie
Le agenzie di intelligence americane hanno iniziato una revisione dei rischi per la supply chain, la catena di fornitura, che provengono dalla Russia, anche come conseguenza della campagna di cyberspionaggio (attribuita dagli Usa ai servizi russi) che ha sfruttato il software dell’azienda SolarWinds per compromettere molte agenzie governative, ha riferito un alto funzionario del Dipartimento di Giustizia a Cyberscoop. La decisione si concentrerà su vulnerabilità della supply chain derivanti da aziende russe o da aziende americane  che fanno affari in Russia. “Se c’è del design o del coding del software di backend fatto in un Paese dove sappiamo che sono usati mezzi sofisticati per compiere cyber intrusioni in aziende americane, allora forse .. le aziende americane non dovrebbero lavorare con quelle aziende che arrivano dalla Russia o da altri Paesi non fidati”, ha dichiarato il vice procuratore generale per la sicurezza nazionale John Demers.

ITALIA
TikTok ha bloccato o rimosso più di 500 mila profili di utenti italiani che hanno meno di 13 anni
“Dal 9 febbraio al 21 aprile, a più di 12,5 milioni di persone è stata chiesta la data di nascita nel momento in cui provavano a usare l’app. Anche questo numero è interessante: 12 milioni e mezzo sono dunque gli utenti italiani attivi su TikTok in quel lasso di tempo”, scrive Corriere.

ITALIA
Antitrust, multa da 100 milioni di euro a Google per abuso di posizione dominante: ha estromesso Enel X da Android Auto

“Il problema è il solito - scrive Martina Pennisi su Corriere -  il doppio ruolo di arbitro (l’accettazione delle app negli store da destinare a smartphone o automobili) e giocatore (lo sviluppatore di app negli stessi store) nel medesimo campo. Negli Stati Uniti se ne sta discutendo nel corso del processo Epic Games contro Apple, e secondo un testimone nel 2019 la Mela avrebbe ottenuto dall’App Store un margine operativo del 77,8%. La Commissione europea è giunta a fine aprile alla fase delle conclusioni preliminari del caso sollevato da Spotify, ancora contro Apple. Con la sanzione di ieri, e in vista delle nuove regole europee sulla concorrenza in cantiere in Europa, l’Antitrust nostrana conferma l’operatività delle autorità nazionali”.

TROJAN
Dubbi sui server dei trojan

Il Dubbio ha riportato in primo piano il tema dei server che gestiscono le intercettazioni via trojan, a partire dal procedimento disciplinare a carico di Cosimo Ferri. “La scoperta avviene grazie ai dubbi sollevati dalla difesa di Palamara, che nel corso del disciplinare davanti al Csm ha riferito della possibile presenza di server intermedi tra il telefono del pm e il server della procura di Roma autorizzato a registrare i dati e trasmetterli alla sala di ascolto della Guardia di Finanza”.
Vedi anche - Intercettazioni via trojan, nuovo scandalo: il server occulto. Urgono nuove regole - Agenda Digitale.

APPROFONDIMENTI

VACCINE/GREEN PASS

L’Ada Lovelace Institute ha pubblicato un report (inglese) sui requisiti che dovrebbe avere un passaporto vaccinale (vaccine passport) per essere di beneficio per la società. Tra questi uno scopo preciso, chiaro, limitato; sicurezza scientifica sul suo impatto sulla salute pubblica; considerazioni etiche e legali sugli utilizzi permessi e meccanismi per riparare usi illegali; protezione contro rischi futuri.
Nel mentre EDRi mette in guardia dai rischi di discriminazione e di esclusione sociale della proposta Ue di un “Digital Green Certificate”

CYBERWARFARE/INTELLIGENCE
Il piano segreto americano per uccidere Qassem Soleimani compromettendo anche dei telefoni - Yahoo! News (inglese)


—> SOCIAL E PODCAST DI GUERRE DI RETE
Guerre di Rete ora ha anche un sito, una pagina Facebook e un profilo Twitter. Seguiteli!
I podcast della newsletter (che escono il lunedì in genere) li trovate sulle principali piattaforme (Apple PodcastsSpotifyGoogle PodcastAnchor.fm). Ogni due settimane circa esce anche Chat di Rete, podcast di interviste condotto assieme a Vincenzo Tiani.

→ DIFFONDI LA NEWSLETTER
Ti è piaciuta la newsletter? Inoltrala a chi potrebbe essere interessato! Promuovila sui social. O diventa un suo sostenitore facendo una donazione.  La prima campagna per raccogliere fondi è andata molto bene, e qua ci sono i dettagli (qua la lista donatori).
La newsletter (che è fatta nel mio tempo libero) resta gratuita, indipendente, senza sponsor, mandanti o agende altrui, e si diffonde col passaparola dei suoi stessi utenti.