san-carlo-cyberattacco
Tech

Dal caso Google China a quello dell’italiana San Carlo: ecco alcuni degli attacchi hacker più famosi

Oggi chi controlla Internet ha un potere pressoché illimitato. Nello spazio digitale le poche regole esistenti possono essere facilmente aggirate, provocando gravi danni a governi e individui. In un contesto del genere hanno trovato terreno fertile i cosiddetti cyberkiller, hacker in grado di provocare danni operando davanti a un computer.

Hacker all’attacco: obiettivi, modalità e minacce

Tra le minacce informatiche più in crescita c’è il DDoS (Distributed denial-of-service). Consiste nel rendere indisponibile un sito web o una risorsa di rete sovraccaricandola con traffico dannoso. Per fare ciò, gli hacker utilizzano dei malware o sfruttano le vulnerabilità della sicurezza per infettare il dispositivo e assumerne il controllo. Ogni computer infettato, chiamato “bot”, può diffondere il malware e prendere parte agli attacchi seguendo le istruzioni del malintenzionato da remoto. I proprietari dei diversi dispositivi diventano così vittime secondarie e partecipanti inconsapevoli delle azioni illecite.

Tra gli obiettivi degli hacker ci sono multinazionali, governi, istituzioni. Hanno lo scopo di colpire il tessuto economico e sociale di un Paese, spesso sotto la richiesta di un riscatto. L’intreccio tra informatica e geopolitica ha portato al fenomeno della “guerra ibrida”, in cui sono le relazioni di forza nel terreno cyber a determinare l’esito di un conflitto.
La sicurezza informatica è stata messa a dura prova dalla pandemia, periodo in cui si è registrato un aumento di attacchi informatici. Come rivela il “Cloud App Security Threat Report“, nel 2021 sono cresciuti gli attacchi informatici attraverso le mail (33,6 milioni), con un incremento del 101% rispetto all’anno precedente.

La crescita del fenomeno ha spinto i governi ad attrezzarsi per sviluppare meccanismi di difesa e proteggere le informazioni più riservate. Paesi come Canada e Stati Uniti hanno iniziato da tempo ricerche sugli armamenti che riguardano l’Internet of Things, con ingenti investimenti di denaro per creare infrastrutture digitali più solide.

Tra gli attacchi hacker avvenuti negli ultimi anni, ce ne sono alcuni che vengono ricordati più di altri per la quantità di dati sottratti, danni economici provocati e soggetti protagonisti. Dall’operazione Stuxnet, primo esempio di azione informatica contro un impianto industriale, al caso della Nasa, ‘sfidata’ da un adolescente che riuscì a impadronirsi di una serie di dati di grande valore.

Gli hacker non hanno risparmiato neanche il settore dell’entertainement, con il PlayStation Network offline per diversi giorni e il furto dei dati sensibili degli utenti. E ancora le estorsioni ad alcune tra le più importanti aziende italiane, prese di mira da un malware che si occupava di crittografare i dati che trovava per poi chiedere un riscatto, fino al cyberattacco di matrice russa prima dell’invasione dell’Ucraina.

Stuxnet, il primo esempio di guerra cibernetica

Stuxnet rappresenta ancora oggi una delle più grandi operazioni offensive che ha inaugurato una nuova era nel campo delle armi cibernetiche. Il virus colpì la struttura nucleare di Natanz, unico impianto iraniano per l’arricchimento dell’uranio. L’obiettivo del malware era quella di bloccare le turbine e, di conseguenza, tutta la produzione nucleare dell’impianto.

Già dal 2006 il programma nucleare iraniano preoccupava Stati Uniti e Israele. Due anni dopo, Israele avrebbe chiesto all’amministrazione americana di autorizzare attacchi aerei per distruggere i bunker sotterranei dove si trovavano i siti di arricchimento dell’uranio in Iran. Il presidente di allora George Bush avrebbe respinto la richiesta di un bombardamento di tipo convenzionale, dando l’ordine segreto di pianificare un cyber attacco allo scopo di colpire il programma atomico iraniano.

L’operazione “Olympic Games” fu portata avanti nei primi mesi del 2010 dal Governo americano in collaborazione con tecnici informatici israeliani. L’inizio del contagio da parte di Stuxnet sarebbe avvenuto dall’interno della centrale stessa tramite una chiavetta Usb infetta di un operatore tecnico della centrale inserita su vari computer.

Il cyber virus riuscì sabotarne il software di gestione delle centrifughe, che andarono fuori controllo: da 1.064 giri/minuto passarono a 1.410 giri/minuto. Secondo quanto dichiarato da alcune fonti interni all’Iran, delle 9.000 centrifughe di cui l’Iran era dotato, si ritiene che solo 3.700 fossero rimaste in funzione dopo questi cyberattacchi.

Il worm andò rapidamente fuori controllo e si diffuse in tutto il mondo, infettando centinaia di migliaia di computer, arrivando fino in Russia e Bielorussia. Grazie al virus Stuxnet, si parlò per la prima volta dell’uso di armi informatiche per colpire i sistemi industriali.

Attenzione all’allegato

A volte può bastare una mail sospetta per venire a conoscenza di segreti di Stato. È quanto accaduto con ShadyRat, considerato da molti il più grande attacco hacker mai realizzato. La sigla sta per ‘Remote Access Tool’ (Strumento di accesso remoto) e indica lo strumento usato per una lunga serie di attacchi informatici.

Dal 2006 al 2011, il virus, scoperto dalla società statunitense McAfee, è riuscito a diffondersi attraverso un semplice allegato e-mail. Il codice malevolo, individuato da Symantec, nota azienda specializzata in cybersecurity, colpiva subito dopo che la vittima apriva il file senza lasciare nessuna traccia. Una volta installato sulle macchine, ShadyRat era in grado di impadronirsi di tutti i file memorizzati sui computer infettati, tra cui figuravano quelli di istituzioni e organizzazioni internazionali importanti.

L’operazione Shady RAT riuscì a colpire 72 organizzazioni di varia natura, compreso l’ONU e altre istituzioni. L’operazione fu individuata da Dmitri Alperovitch, membro del team di ricerca sulle minacce della società di sicurezza McAfee. In molti, a partire da Jim Lewis dell’americano Center for Strategic and International Studies, indicarono come principale sospettato la Cina, che dal canto suo negò ogni tipo di coinvolgimento.

La libertà d’informazione sotto attacco hacker: il caso Google China

Nel dicembre del 2009 un gruppo di hacker prese di mira Google China, penetrando nei server dell’azienda californiana. All’origine, le compagnie americane prese di mira erano più di una: oltre a Google, colossi come Adobe Systems, Northrop Grumman e Juniper Networks.

L’attacco, denominata “Operazione Aurora” (il nome deriva da un riferimento all’interno del malware in una cartella chiamata “Aurora”) fu condotto da uno dei leader del Politburo Li Changchun. Il politico, in disaccordo con alcune informazioni sulla Cina presenti sul motore di ricerca, era riuscito ad accedere alla banche dati di grosse aziende degli USA, asset strategici nei campi della sicurezza, difesa militare e ricerca tecnologica. Lo scopo principale era costringere l’azienda a liberare i contenuti inappropriati e ricattare il governo Usa, che in caso di un attacco hacker alla Cina sarebbe stato ritenuto responsabile.

L’azienda si accorse che i cybercriminali avevano compromesso gli account Gmail di molti attivisti americani, europei e cinesi impegnati a difendere i diritti umani nel Paese più popoloso del mondo. I fatti hanno portato a una presa di posizione di diversi personaggi pubblici, come l’allora Segretario di Stato americano Hillary Clinton, che si schierò apertamente con Mountain View accusando la Cina di applicare un regime censorio da stato totalitario.

Un adolescente contro la Nasa e il Dipartimento di Stato

nasa-attacco
Getty Images

Nel giugno 1999, un ragazzo di 15 anni di nome Jonathan James, sotto lo pseudonimo di ‘C0mrade’, riuscì a entrare dentro i computer della NASA e del Dipartimento di Stato Americano. L’adolescente fu la prima persona al mondo a violare il DoD e accedere nel sistema della Defense Threat Reduction Agency (DTRA), una delle divisioni del Dipartimento della Difesa statunitense che analizza le minacce esterne alla sicurezza nazionale del Paese.

James riuscì ad accedere violando la password di un server dell’Agenzia Governativa dell’Alabama. Una volta dentro, fu libero di muoversi all’interno della rete e di sottrarre una serie di documenti. Dopo aver installato malware sul sistema, il giovane hacker riuscì a ottenere l’accesso ad altri 13 computer sulla rete compromessa.

Il giovane fu in grado di spiare migliaia di e-mail, documenti riservati, tra cui anche password e indirizzi di 3mila dipendenti governativi. Tra le informazioni più rilevanti c’era il codice sorgente che controllava elementi critici di sopravvivenza all’interno della Stazione Spaziale Internazionale. Si calcola un furto di dati di 1,7 miliardi di dollari di software e informazioni, che costrinse l’agenzia a chiudere i suoi sistemi per 21 giorni e riscrivere parte del codice sorgente, per una perdita totale di 41mila dollari.

L’indagine chiarì che James non aveva eseguito virus né eliminato file o modificato password. La vicenda però si concluse nel peggiore dei modi: il minorenne, dopo sei mesi in riformatorio per l’attacco informatico, si suicidò nel 2008 in seguito a nuove accuse di coinvolgimento in un altro cyberattacco da parte dei servizi segreti Usa.

La sfida al mondo dei videogiochi 

Il 17 aprile 2011 si verificò il più grande attacco informatico al mondo dei videogiochi. Un avvenimento unico nel suo genere, che ha rischiato di ledere per sempre l’immagine del colosso giapponese Sony. Ad essere colpiti furono gli utenti della console, in particolare il PlayStation Network, un sistema che permette agli iscritti di giocare online con altri giocatori, che andò offline.

Network non disponibile, giochi online inutilizzabili, store irraggiungibile, amici non contattabili. Inizialmente si pensò a una manutenzione del sistema o a un altro dei problemi della piattaforma. La situazione si complicò nelle giornate successive, quando Sony uscì allo scoperto con un post sul blog ufficiale in cui accennava a una falla nella sicurezza. I dati di circa 77 milioni di utenti registrati, tra cui molte informazioni sensibili come password e carte di credito, vennero messi a rischio dalla violazione informatica. Secondo alcuni fonti, l’azienda giapponese avrebbe ingaggiato una società esterna per un’indagine accurata sull’attacco. Seguirono giorni di paura per tutti i giocatori, fino a quando il 4 maggio, dopo ben 23 giorni, il PlayStation Network tornò alle sue normali funzioni.

Come conseguenza, Sony fu costretta a sospendere i server, invitando gli iscritti a cambiare i propri dati di accesso. Furono aumentate le misure di sicurezza, con server più potenti e firewall più sicuri. Alcuni giorni dopo iniziò il programma di risarcimento per i giocatori, con la possibilità per gli utenti di scaricare, a titolo gratuito, diversi temi dinamici o un gioco.

Nei giorni successivi, alcuni gruppi di hacker rivendicarono l’attacco, dichiarando di aver penetrato l’infrastruttura solamente per dimostrare le inefficaci misure di sicurezza dell’azienda. Secondo il Ponemon Institute, una società di sicurezza, le perdite complessive sarebbero invece quantificabili in 318 dollari a utente, per un totale di 24 miliardi di dollari. Michael Pachter, analista di Wedbush Morgan, ha stimato che il disservizio sarebbe costare a Sony circa 20 milioni di dollari di entrate e circa 6 milioni di dollari di profitti.

L’attacco hacker che ha fatto venire “Voglia di piangere”

Sono pochi gli hacker che sono riusciti a colpire aziende del calibro di Renault, Telefonica, KPMG e Banca Santander. Il virus “Wanna Cry”, traduzione letterale di “Voglia di piangere”, c’è riuscito il 12 maggio 2017. Il malware sfruttò un punto vulnerabile di Windows, arrivando a infettare 200mila computer in diversi Paesi del mondo, tra cui Russia, Spagna e Francia. Per effettuare l’attacco, gli hacker utilizzarono Eternal Blue, una cyber arma trafugata nei mesi precedenti dai server del NSA (l’Agenzia per la sicurezza nazionale statunitense) da parte del gruppo criminale Shadow Broker.

Questo virus era costituito da due parti: un exploit che si insinuava e si diffondeva nel PC del malcapitato, e un encryptor che criptava i dati che trovava al suo interno. Il virus rendeva inaccessibili i dati contenuti nei computer in cui si annidava. Successivamente richiedeva ai suoi proprietari il pagamento di elevate cifre per ottenere in cambio una password per ripristinare i dati. I responsabili dell’attacco chiesero dai 300 ai 600 dollari in bitcoin come riscatto.

L’eroe della vicenda è un ragazzo di nome Marcus Hutchins, che riuscì con una spesa inferiore ai 15 euro a fermare l’attacco. Il ragazzo scoprì che il ransomware, prima di iniziare la diffusione, si collegava a un indirizzo web. Attraverso delle ricerche, scoprì che il sito non era registrato ma era una sorta di arresto di emergenza nel caso in cui il malware fosse finito nelle mani sbagliate.

Una volta registrato il dominio bloccò l’epidemia, riuscendo a salvare molte realtà americane dal collasso. Tra le vittime, oltre alle multinazionali sopra citate, i dispositivi del NationalHealth Service (NHS) e ospedali, costretti per l’occasione al rinvio di alcune operazioni chirurgiche.

L’Italia nel mirino degli hacker, dalla San Carlo alla Siae

Gli attacchi hacker non hanno risparmiato nessuno, nemmeno l’Italia. A settembre 2021, una serie di aziende sono state colpite dal virus di matrice russa “Conti”, un criptolocker che blocca l’accesso ai Pc e impone il pagamento di un riscatto.

Le aziende italiane hanno subito una doppia estorsione. Il malware si occupava di crittografare i dati che trovava per poi chiedere un riscatto. I criminali, esportati i dati crittografati dalla rete vittima, hanno creato un sito per minacciare la divulgazione delle informazioni rubate. Tra le vittime della manovra il Comune di Torino, il gruppo Maggioli, le aziende Clementoni e San Carlo. Quest’ultima ha visto sparire dai database dati su acquisti, contratti e dipendenti, finiti in parte sul sito degli hacker “Conti”.

Nel mese di ottobre è toccato anche alla Siae. Il furto informatico ha coinvolto volti noti della musica iscritti alla società. Gli hacker hanno rubato 60 gigabyte di dati sensibili (oltre 28mila file) per poi chiedere un riscatto di 3 milioni in bitcoin mai pagati. Tra i dati rubati codici fiscali, estremi bancari, brani musicali inediti e i numeri di telefono degli artisti, usati per inviare sms in cui si chiedeva loro un riscatto di migliaia di euro. L’attacco hacker è stato rivendicato dal gruppo Everest.

A fine luglio, un altro attacco informatico partito dall’estero ha coinvolto la Regione Lazio. L’azione è partita con una violazione dell’utenza di un dipendente in smartworking che ha mandato in tilt i servizi a privati e aziende, tra cui il sistema informatico sanitario e quello dedicato alla vaccinazione contro il COVID-19. L’episodio ha causato un mese di interruzioni dei servizi online per i cittadini, compresi i registri dei dati delle farmacie e di altri settori come quello urbanistico. Secondo le fonti ufficiali, i dati sono stati recuperati da un backup che era stato cancellato e non criptato. Per fortuna di molti, l’infezione è stata rilevata rapidamente e bloccata prima che si estendesse ad altri sistemi comunicanti.

Il cyberattacco prima dell’invasione

Tra il 23 e il 24 febbraio l’invasione della Russia in Ucraina è stata preceduta da una serie di attacchi hacker di matrice russa contro siti e impianti antiaerei del nemico. Il 23 febbraio due attacchi di tipo DDoS hanno colpito le agenzie governative ucraine, tra cui la presidenza dell’Ucraina, il parlamento, il ministero degli Affari Interni e degli Affari Esteri. Nel mirino anche gli istituti bancari PrivatBank e Oschadbank, che hanno retto il carico di traffico grazie ai propri sistemi di protezione.

Lo stesso giorno è arrivato un altro attacco nella forma di un malware Wiper, specializzato nella cancellazione dei dati salvati sul disco rigido del pc infettato. Per aumentare le possibilità di diffusione del virus, i malintenzionati hanno creato siti cloni in grado di riprodurre i siti governativi. In questo modo, chi cercava informazioni su una piattaforma ufficiale, finiva per trovarsi sul “clone” che infettava il dispositivo.

Un’ora prima dell’invasione, il 24 febbraio, un attacco cibernetico ha colpito la rete satellitare Ka-Sat della società di comunicazioni Viasat, che fornisce l’accesso a Internet a banda larga in tutta Europa e in un’area del Medio Oriente. L’azione ha causato interruzioni di comunicazione e blocchi per imprese e utenti in Ucraina, oltre a colpire diversi Stati membri dell’Ue. Come successo il giorno prima, gli hacker hanno usato un malware distruttivo wiper’ contro modem e router Viasat, cancellando i dati sul sistema. Una manovra che ha destabilizzato tutte le macchine e distrutto migliaia di terminali.

© RIPRODUZIONE RISERVATA

Per altri contenuti iscriviti alla newsletter di Forbes.it CLICCANDO QUI .

Forbes.it è anche su WhatsApp: puoi iscriverti al canale CLICCANDO QUI .