Regione Lazio, 50 sfumature di attacco informatico

Regione Lazio, 50 sfumature di attacco informatico

Le notizie su quanto successo alla Regione Lazio si susseguono con una certa confusione, ma il quadro è delineato: servirà qualche giorno per ripartire.
Le notizie su quanto successo alla Regione Lazio si susseguono con una certa confusione, ma il quadro è delineato: servirà qualche giorno per ripartire.

Per capire cosa sia successo ai sistemi informatici della Regione Lazio in questi giorni non si può fare a meno di definire la situazione a partire da un collage di notizie non sempre coerenti, non sempre allineate e spesso contraddittorie. Di versioni ufficiali e definitive, infatti non ce ne sono. Fermo restando il fatto che l'unica cosa davvero importante è il ripristino della situazione, restano da individuare responsabilità e falle di sistema che hanno portato ad affrontare questa crisi senza una apparente capacità di “disaster recovery” immediata.

La versione ufficiale: un “attacco informatico“. Ma la verità sembra ben più complessa di così e le cause, soprattutto, sembrano essere lontane da quelle di un fantomatico attacco terroristico. C'è qualcosa di diverso, forse di più semplice, ma non per questo meno grave. Capire l'accaduto sarà importante soprattutto in prospettiva, in virtù di una definizione di protocolli di sicurezza di imprescindibile importanza per reti e strumenti di questo tipo.

Regione Lazio: cosa è successo

Il primo punto di vista è quello di Fabio Ghioni, esperto di cybersecurity sentito da Adnkronos:

è un atto di hackeraggio, ma non c'è alcuna azione terroristica dietro, alcun interesse geopolitico, né alcun desiderio di sabotare le istituzioni. Non c'entrano i No Vax né il Covid. Può capitare a chiunque e la polizia postale conosce perfettamente questo fenomeno. Probabilmente la disattenzione di un dipendente ha causato tutto ciò, ma non possono dirlo e stanno strumentalizzando l'accaduto.

E continua, analizzando l'accaduto:

Si tratta di un ransomware, un malware che dal 2007 usano degli hacker dal Marocco, dalla Tunisia, dall'Algeria con richiesta di denaro. Dal 2015 i riscatti vengono chiesti in bitcoin. Questo virus cripta i contenuti del pc e non ha chiave di sblocco: anche chi paga non può poi più sbloccare nulla. Alle aziende e agli utenti che mi scrivono – a decine ogni giorno – perché gli hanno bloccato i computer, consiglio di dotarsi di un backup a 24 ore. Questi attacchi succedono continuamente ogni giorno, solo che non lo dicono.

Il Corriere della Sera mette in campo i dettagli forniti dalla Polizia Postale, che sembra far risalire più a monte le cause del problema, ossia partendo da un dipendente e dalla sua VPN, dai suoi privilegi di sistema e dall'escalation avviata da remoto:

La falla è stata scoperta dalla Polizia postale analizzando la Vpn, la rete virtuale utilizzata per accedere a un sistema informatico da un computer remoto, come quella che hanno sperimentato molti lavoratori in smart working durante la pandemia. Le tracce degli accessi alla Rete hanno portato al computer utilizzato da un impiegato regionale che abita a Frosinone e – stando a quando ricostruito dagli investigatori, che hanno riferito tutto ieri mattina nel corso della riunione del Nucleo speciale per la cybersicurezza – i criminali hanno utilizzato le sue credenziali per entrare nel sistema della Regione. Ma non era abbastanza. Hanno poi usato un software chiamato «Emotet», una sorta di cavallo di Troia che ha creato una breccia e gli ha dato il pieno controllo del sistema per eseguire operazioni più profonde. A questo punto tutto era pronto per il terzo passaggio, il clou dell’operazione, l’inserimento del ransomware, il programma che ha criptato i dati e chiesto il riscatto.

Il Presidente della Regione, Zingaretti, aveva tuttavia inizialmente negato la richiesta del riscatto e parlato di attacco portato avanti a più riprese, descrivendo il tutto più come un DDoS che non come un'intrusione basata sull'ottenimento delle credenziali e dei permessi di un responsabile. La versione è poi parzialmente cambiata, si sono negate richieste “ufficiali” e si è fatto riferimento ad una richiesta di contatto a cui la Regione non intende dar seguito (tra le righe: non si intende pagare alcun riscatto, a prescindere dal fatto che possa arrivare una richiesta in tal senso). Questo ha creato non pochi problemi interpretativi, soprattutto in virtù dell'assenza di ulteriori informazioni ufficiali dal punto di vista tecnico, ma tra cinquanta sfumature e dichiarazioni la situazione va ora a delinearsi.

La Regione assicura che fino a metà agosto i vaccini potranno proseguire come da programma in virtù delle prenotazioni già acquisite, nel frattempo si tenterà di recuperare il servizio informatico di prenotazione. Sono state fornite intanto rassicurazioni sul fatto che i dati non siano stati trafugati: sebbene anche quest'ultimo dettaglio non sia chiaro, i backup dovrebbero essere assicurati, ma il recupero completo del sistema richiederà qualche giorno di lavoro.

Link copiato negli appunti

Ti potrebbe interessare

03 08 2021
Link copiato negli appunti