Federprivacy, l’Associazione Italiana dei Professionisti della Privacy e della Protezione dei Dati Personali, ha subito un grave attacco informatico da parte di AlphaTeam. I dettagli dell’attacco e le sue conseguenze sollevano preoccupazioni significative riguardo alla sicurezza dei dati personali.

Dettagli dell’attacco e conseguenze

Il 13 novembre, Federprivacy ha subito un’attività di defacing, ovvero la sostituzione illecita della homepage del sito, accompagnata dal furto di due database, un backup completo del server e degli indirizzi e-mail e social, le cui modifiche delle password hanno completato il cerchio dell’attacco informatico di AlphaTeam. Gli account violati sono stati quelli di X, Instagram, LinkedIn e Zoom.

Alpha Team rivendica l’attacco

L’attacco è stato rivendicato da Alpha Team, un gruppo di cybercriminali. Inizialmente, il gruppo aveva spiegato l’attacco come un atto dimostrativo per evidenziare la mancanza di sicurezza di Federprivacy.

Tuttavia, nonostante le promesse iniziali di non divulgare o vendere le informazioni rubate, i dati sono comparsi sul mercato del dark web, Alpha Team ha dichiarato di non mettere più in vendita sul darkweb i dati sottratti a Federprivacy, citando l’impatto che l’azione avrebbe su molti professionisti in Italia.

Quinto livello di estorsione

L’attacco subito da FederPrivacy, definito come un “5° livello di estorsione” da Pietro Di Maria, CEO di mAiLBi Partners e COO di Meridian Group, rappresenta un serio monito per il mondo aziendale sulla vulnerabilità informatica e l’importanza della cyber security.

Di Maria illustra i punti dell’ “Attacco multidimensionale con Gravi conseguenze”

Danneggiamento Esteso: Alpha Group ha superato i limiti del semplice furto di dati, compiendo un deface del sito web di FederPrivacy e accedendo ai social network dell’associazione e del suo Presidente. Questa azione ha causato non solo una perdita di dati, ma anche un danno all’immagine e alla credibilità dell’organizzazione.

Furto e diffusione dei dati

La perdita dei dati di FederPrivacy è stata devastante. I dati rubati sono stati messi in vendita online, esponendo a rischi significativi la privacy dei clienti e dei dipendenti dell’associazione.

Danno alla reputazione

L’uso dei canali social dell’azienda per diffondere l’attacco ha inflitto un grave colpo alla reputazione di FederPrivacy. Questo aspetto dell’attacco sottolinea come la sicurezza informatica sia intrinsecamente legata all’immagine aziendale.

Senza vie di fuga

La natura elaborata e pubblica di questo attacco non lascia spazio a negazioni o interpretazioni alternative. La comunità online è stata testimone diretta degli eventi, rendendo impossibile per le aziende colpite ignorare o minimizzare l’accaduto.

Un mercato di professionisti improvvisati?

Questo attacco evidenzia la vulnerabilità delle aziende di fronte alle minacce informatiche e sottolinea l’urgenza di rafforzare le difese digitali. Ne è convinto Pietro di Maria del fatto che è essenziale dal punto di vista aziendale il considerare la sicurezza informatica una priorità assoluta, avvalendosi di personale qualificato e processi robusti e sicuri. La prevenzione e la preparazione sono fondamentali per proteggere non solo i dati, ma anche la reputazione e la fiducia dei clienti.

Alphateam, Buonocore: sta cambiando anche l’attivismo dimostrativo

Secondo Dario Buonocore specialista di sicurezza informatica, l’attacco a FederPrivacy è un chiaro segnale che nessuna organizzazione è immune dalle minacce informatiche. Le aziende devono agire ora per rafforzare le loro difese e proteggere i loro asset più preziosi in un’era digitale sempre più insidiosa.

“L’attacco informatico recente a Federprivacy da parte della Cyber Gang Alphateam rappresenta un punto di svolta cruciale nell’evoluzione degli attacchi informatici. Questo evento segna un netto distacco dai precedenti attacchi cyber, come quelli perpetrati dal gruppo LulzSecITA tra il 2018 e il 2020, che erano motivati principalmente dal desiderio di scherno e non avevano interessi economici. Il 13 novembre 2023, abbiamo assistito al compromesso del sito istituzionale di Federprivacy e degli account social dell’associazione e del suo Presidente, Nicola Bernardi, ad opera di Alphateam. Il giorno seguente, i cybercriminali hanno messo in vendita i dati trafugati durante l’attacco su un noto sito underground, una mossa che è stata poi ritirata per le potenziali ripercussioni negative su molti professionisti in Italia“.

Nicola Bernardi si scusa dell’attacco informatico di AlphaTeam a Federprivacy

“Sicurezza dei dati: priorità ineludibile” ha dichiarato in un lungo articolo Nicola Bernardi, Presidente di Federprivacy “Da più di quindici anni, mi dedico alla promozione della privacy e della protezione dei dati attraverso Federprivacy. Recentemente, ho sottolineato con forza agli addetti ai lavori l’importanza di tutelare i nostri dati, non solo in termini di conformità normativa, ma anche per quanto riguarda la sicurezza concreta dei nostri dati personali. Chi segue le nostre attività formative sa bene che, con l’avanzare delle tecnologie, non dobbiamo chiederci se un data breach accadrà, ma quando accadrà. Purtroppo, questa volta è toccato a Federprivacy, coinvolgendo l’intera categoria degli addetti ai lavori, inclusi i nostri 2.500 soci membri. Questo mi dispiace enormemente“.

Mea culpa sulla tecnologia a disposizione

“Tra coloro che sono stati colpiti dal recente attacco hacker ci sono anch’io, e posso comprendere la frustrazione e il risentimento di ciascuno dei nostri 26.000 utenti che si occupano di tutelare i dati. Nonostante le misure di sicurezza adottate finora, dobbiamo riconoscere che, come associazione non profit, non possiamo aspettarci gli stessi livelli di sicurezza di enti governativi o multinazionali”. Questa è la scusa non richiesta, ma manifestata da Bernardi che rimanda le responsabilità al “mercato” indicando “La maggior parte dei siti di piccole e medie organizzazioni sono sviluppati con CMS, rendendoli vulnerabili a attacchi come quello subito da Federprivacy. L’attacco ha avuto un impatto personale ancora più profondo su di me, con la violazione e l’usurpazione dei miei profili social personali. Inoltre, l’insistenza degli hacker nel coinvolgere la mia vita privata, in particolare mia moglie, è stata particolarmente crudele e ingiustificabile.

La questione personale

Che l’atto dimostrativo sia andato oltre il perimetro di scaramucce tra attivisti, criminali o no, ed una autorità del settore è un dato di fatto e mette la redazione nella condizione di esprimere solidarietà al presidente Bernardi per quanto occorso ai suoi affetti familiari in virtù dell’appropriazione dei suoi profili social personali.

Quest’esperienza ci insegna che non possiamo mai sentirci completamente al sicuro con i dati che dobbiamo tutelare e che dobbiamo sempre rimanere vigili. Tuttavia, non posso accettare l’attacco e la vessazione nei confronti dei miei familiari, che definisco senza esitazione come atti criminali. Cercando di lasciarci alle spalle questa brutta vicenda, tutto ciò che è accaduto sarà sicuramente argomento di riflessione e confronto“

Polemiche sull’azione dei “guardiani della privacy”

In risposta, Federprivacy ha agito rapidamente, notificando la violazione al Garante per la protezione dei dati personali e comunicando l’accaduto agli interessati.

In un tweet del 17 novembre 2023, Christian Bernieri, esperto di protezione dei dati, ha condiviso la comunicazione di Federprivacy, che includeva scuse formali e l’invio di nuove credenziali di accesso ai suoi iscritti, dimostrando un impegno attivo nella gestione dell’incidente e nel rafforzamento delle misure di sicurezza. Bernieri ha anche espresso preoccupazione per la mancanza di informazioni dettagliate su quali dati siano stati compromessi e le misure da adottare per mitigare il danno. Ha criticato la minimizzazione dell’accaduto da parte di Federprivacy, sottolineando la contraddizione nella loro comunicazione e la mancanza di chiarezza sulle misure di sicurezza adottate, come l’invio di credenziali in chiaro.

Conclusioni dell’Editore sull’attacco informatico di Federprivacy ad AlphaTeam

Quest’ultimo commento evidenzia la complessità e la delicatezza della gestione di un attacco informatico, soprattutto quando coinvolge un’organizzazione che si occupa di privacy e protezione dei dati. La risposta di Federprivacy a questo attacco informatico di AlphaTeam è cruciale non solo per la reputazione del brand associativo, ma anche per la fiducia che i professionisti e il pubblico, composto da associati e aziende clienti, ripongono nelle loro capacità di proteggere i dati sensibili.

Perchè è una pessima figura

In questo contesto, l’attacco a Federprivacy diventa un caso di studio importante per tutte le organizzazioni perché ha lo stesso valore simbolico degli scandali Solarwinds o Hacking Team, seppur con conseguenze molto ridotte, e sottolinea la necessità di una comunicazione trasparente e di misure di sicurezza efficaci per prevenire e gestire gli attacchi informatici.

Scarsa diplomazia dell’associazione?

Così come sembrerebbe, da alcune fonti interpellate da Matrice Digitale, che l’azione di AlphaTeam sia stata dimostrativa e si sia proposto per una collaborazione, dietro compenso di consulenza sia chiaro, per risolvere i problemi che sembrerebbero essere dispesi da una configurazione del database SQL non commissurata al blasone dell’associazione.

Per intenderci, l’attacco SQL Injection non è impossibile, ma con il tempo risulta sempre più difficile nei contesti della cybersecurity proprio perchè è noto ed è stato ampiamente utilizzato in passato. Ed è qui che l’analogia con LulzSecIta di Bonocore è stata puntuale perchè gli stessi hacktivisti in passato si sono proposti di tappare i buchi da loro individuati

Fedederprivacy è la punta dell’iceberg

L’attacco a Federprivacy solleva questioni critiche sulla gestione degli attacchi e sulla comunicazione in situazioni di crisi, evidenziando l’importanza della trasparenza e della sicurezza dei dati.

Da non trascurare che l’azione di Alphateam segna un’evoluzione negli attacchi cyber, perchè introduce un movente economico e sottolinea l’importanza di una sicurezza informatica robusta per le aziende che sembrerebbe essere mancata nel caso dell’associazione che si posiziona sul mercato come collettore di un sistema imprenditoriale che garantisce la privacy al mercato globale italiano.

Sarà stata proprio la sua esposizione come player principale e di rappresentanza la causa di un’attenzione così morbosa da parte di AlphaTeam?

La situazione occorsa solleva interrogativi sulla sicurezza dei dati e sull’efficacia delle misure di protezione adottate dall’associazione delle associazioni in termini di Privacy e tutela dei dati. Questo incidente, infatti, mette in luce la vulnerabilità delle organizzazioni che gestiscono dati sensibili. I dati degli associati e dei dipendenti di Federprivacy, così come tutte le comunicazioni private intercorse con l’associazione, sono stati a rischio diffusione e possono ancora esserlo se dovesse cambiare il vento negli umori di AlphaTeam.

Nel panorama della sicurezza informatica, il gruppo OilRig (noto anche come APT34 o Helix Kitten) continua a dimostrare una capacità di adattamento e un’evoluzione costante nel loro arsenale di strumenti di attacco. Identificato per la prima volta a metà del 2016, OilRig è un avversario motivato da operazioni di spionaggio e attivo principalmente nella regione del Medio Oriente. La loro persistenza e l’intensificazione delle operazioni lasciano presagire un’accelerazione delle attività nel prossimo futuro.

OilRig Trojan “OopsIE” per cyberattacchi nel Medio Oriente

Nel panorama delle minacce informatiche, il gruppo OilRig sè distinto per la sua persistenza e l’evoluzione continua delle sue strategie di attacco. Unit 42 di Palo Alto Networks ha rivelato l’uso di un nuovo trojan, soprannominato “OopsIE”, utilizzato per colpire obiettivi strategici nel Medio Oriente.

Sviluppo e Analisi del Trojan

OilRig ha dimostrato una capacità notevole di adattamento, sviluppando il trojan “OopsIE” per infiltrarsi in enti assicurativi e istituzioni finanziarie. L’attacco del 8 gennaio ha visto l’uso di un documento Word dannoso, mentre quello del 16 gennaio ha coinvolto la consegna diretta del trojan tramite link di phishing mirato. L’analisi tecnica del documento “ThreeDollars” e del trojan rivela un uso astuto di macro malevoli e tecniche di mascheramento del traffico di rete.

Metodologie di attacco e prevenzione

Unit 42 ha fornito dettagli tecnici sulle metodologie di attacco di OilRig, inclusi l’uso di task pianificati, la creazione di VBScript e le tecniche di codifica dei dati. Vengono inoltre condivisi gli Indicatori di Compromissione (IoC), come gli hash SHA256 e i dettagli dell’infrastruttura di comando e controllo (C2). Per la protezione, vengono suggeriti strumenti come WildFire, AutoFocus, Traps e PanAV di Palo Alto Networks.

OilRig ha continuato a rappresentare una minaccia significativa per le aziende nel Medio Oriente. L’articolo sottolinea l’importanza di rimanere aggiornati sulle tattiche di attacco e di implementare misure di sicurezza adeguate per contrastare queste minacce persistenti.

RGDoor, il retroscena della backdoor IIS

Unit 42 ha rivelato l’uso di un backdoor IIS denominato RGDoor, utilizzato per prendere di mira organizzazioni governative e istituzioni finanziarie ed educative nel Medio Oriente. Questo backdoor si presenta come una minaccia secondaria, attivata per mantenere l’accesso a server compromessi qualora le difese nemiche individuassero e rimuovessero le shell TwoFace precedentemente installate.

RGDoor: minaccia nascosta nei Server

RGDoor si distingue per la sua capacità di operare discretamente. A differenza di TwoFace, non è sviluppato in C# e non richiede interazioni con URL specifici. Creato in C++, RGDoor si integra come modulo HTTP nativo in IIS, estendendo le funzionalità del server per eseguire azioni personalizzate su richieste in arrivo. La sua installazione può avvenire tramite l’interfaccia grafica di IIS Manager o con comandi appcmd, dimostrando la sofisticatezza e l’adattabilità di questo strumento agli ambienti server.

Risposta ai comandi: analisi tecnica

L’analisi di RGDoor mostra che risponde immediatamente alle richieste POST HTTP, esaminando i campi “Cookie” per comandi specifici. Questa funzionalità consente agli attori di caricare e scaricare file e di eseguire comandi, offrendo un controllo quasi totale sul server compromesso. La struttura dei comandi, la loro esecuzione e la risposta a tali richieste rivelano un livello di controllo preoccupante per la sicurezza delle reti informatiche.

Protezione e prevenzione: misure di sicurezza

Per contrastare la minaccia RGDoor, Palo Alto Networks ha messo a disposizione dei suoi clienti diversi strumenti di protezione, come WildFire e AutoFocus, e ha sviluppato una firma IPS specifica per rilevare il traffico di rete RGDoor. Queste misure sono essenziali per la prevenzione e la mitigazione degli attacchi, sottolineando l’importanza di una vigilanza costante e di una risposta rapida agli incidenti di sicurezza.

Comprensione e difesa: log e configurazione IIS

Per una difesa efficace, è cruciale comprendere come RGDoor appaia nei log di IIS. La configurazione standard di IIS non registra i valori dei campi “Cookie”, rendendo difficile l’identificazione delle richieste in arrivo. Pertanto, è necessario configurare IIS per loggare tali campi, permettendo agli amministratori di rilevare e analizzare le attività sospette legate a RGDoor.

Persistenza di RGDoor

RGDoor rappresenta un esempio chiaro di come gli attori di minacce informatiche sviluppino piani di contingenza per mantenere l’accesso ai network compromessi. La sua limitata ma efficace gamma di comandi fornisce una funzionalità sufficiente per un backdoor competente, dimostrando la necessità di una sicurezza informatica sempre più avanzata e proattiva.

Attacchi Mirati: La Strategia di OilRig

Tra maggio e giugno del 2018, Unit 42 ha osservato attacchi multipli attribuiti a OilRig, apparentemente originati da un’agenzia governativa del Medio Oriente. Utilizzando tecniche di raccolta credenziali e account compromessi, il gruppo ha utilizzato questa agenzia come piattaforma di lancio per i loro veri attacchi, colpendo fornitori di servizi tecnologici e altre entità governative dello stesso stato-nazione.

QUADAGENT: Backdoor di PowerShell

I bersagli di questi attacchi sono stati colpiti da un backdoor di PowerShell chiamato QUADAGENT, uno strumento attribuito a OilRig da ClearSky Cyber Security e FireEye. L’analisi di Unit 42 ha confermato questa attribuzione esaminando specifici artefatti e tattiche precedentemente impiegati da OilRig. Sebbene l’uso di backdoor basati su script sia una pratica comune per OilRig, l’insolita tattica di impacchettare questi script in file eseguibili portatili (PE) segnala un’evoluzione nelle loro metodologie di attacco.

Dettagli tecnici dell’attacco di OilRig

L’attacco più recente si è articolato in tre ondate, tutte caratterizzate da un’email di phishing che sembrava provenire da un’agenzia governativa del Medio Oriente. L’analisi ha rivelato che gli indirizzi email delle vittime non erano facilmente rintracciabili tramite motori di ricerca comuni, suggerendo che fossero parte di una lista di obiettivi predefinita o associati all’account compromesso utilizzato per inviare le email di attacco.

Tecniche di evasione e anti-analisi

OilRig ha abilmente sfruttato Invoke-Obfuscation, uno strumento open source, per offuscare gli script di PowerShell utilizzati per QUADAGENT. Questo strumento, originariamente progettato per aiutare i difensori a simulare comandi PowerShell offuscati, si è rivelato efficace nell’aumentare le possibilità di evasione e come tattica anti-analisi.

OilRig si è confermato un gruppo avversario estremamente persistente nella regione del Medio Oriente. Sebbene le loro tecniche di consegna siano relativamente semplici, le varie modifiche apportate agli strumenti utilizzati rivelano una sofisticatezza nascosta. È fondamentale ricordare che gruppi come OilRig seguiranno il percorso di minore resistenza per raggiungere i loro obiettivi. I clienti di Palo Alto Networks sono protetti attraverso servizi come WildFire, che classifica i campioni di QUADAGENT come malevoli.

Shamoon: minaccia distruttiva ritorna con nuove tattiche

Il malware distruttivo Shamoon, noto per aver colpito il settore energetico saudita nel 2012 e poi nuovamente nel 2016, è riemerso il 10 dicembre dopo due anni di assenza, lanciando una nuova ondata di attacchi nel Medio Oriente. Questi ultimi attacchi di Shamoon sono particolarmente distruttivi, poiché coinvolgono un nuovo malware cancellatore di file, Trojan.Filerase, che elimina i file dai computer infetti prima che Shamoon cancelli il master boot record, rendendo i computer inutilizzabili.

Nuove tattiche di Wiping

A differenza degli attacchi precedenti, questi ultimi coinvolgono un secondo pezzo di malware cancellatore, Trojan.Filerase, che aumenta la portata distruttiva degli attacchi. Mentre un computer infetto da Shamoon potrebbe essere reso inutilizzabile, i file sul disco rigido potrebbero essere recuperati forensicamente. Tuttavia, se i file vengono prima cancellati da Trojan.Filerase, il recupero diventa impossibile.

Diffusione e impatto degli attacchi firmati OilRig

La diffusione di Filerase avviene attraverso la rete della vittima a partire da un computer iniziale, utilizzando una lista di computer remoti unica per ogni vittima, il che suggerisce che gli aggressori abbiano raccolto queste informazioni durante una precedente fase di ricognizione. In almeno un caso, Shamoon è stato eseguito utilizzando PsExec, indicando che gli aggressori avevano accesso alle credenziali della rete.

Possibile collegamento con Elfin

Symantec ha osservato che una delle nuove vittime di Shamoon in Arabia Saudita era stata recentemente attaccata anche da un altro gruppo chiamato Elfin (noto anche come APT33) e infettato con il malware Stonedrill. La vicinanza temporale degli attacchi di Elfin e Shamoon contro questa organizzazione suggerisce un possibile collegamento tra i due incidenti.

Una storia di attacchi distruttivi

Shamoon ha una storia di attacchi distruttivi e il suo ritorno improvviso solleva interrogativi su perché sia stato nuovamente impiegato. Tuttavia, la ricorrenza di Shamoon ogni pochi anni significa che le organizzazioni devono rimanere vigili e assicurarsi che tutti i dati siano correttamente salvati e che sia in atto una strategia di sicurezza robusta.

OilRig Intensifica le Tattiche di Cyber Spionaggio: Analisi delle Recenti Campagne di Phishing e Scoperte di Malware

Il panorama del cyber spionaggio è in continua evoluzione, con attori di minaccia come APT34, noto anche come OilRig e Helix Kitten, che rafforzano le loro strategie per violare le organizzazioni bersaglio. La recente scoperta di nuovi malware e la creazione di ulteriori infrastrutture da parte di APT34 sottolineano l’accelerazione delle operazioni, in particolare in Medio Oriente, dove le tensioni geopolitiche sono in aumento. Questo articolo esplora le ultime campagne di phishing orchestrate da APT34 e l’introduzione di nuove famiglie di malware nel loro arsenale.

Difesa proattiva di FireEye contro le intrusioni di APT34

In una dimostrazione proattiva di difesa informatica, FireEye ha identificato e sventato una campagna di phishing di APT34 alla fine di giugno 2019. La campagna si è distinta per l’impersonificazione di un membro dell’Università di Cambridge, l’uso di LinkedIn per la consegna di documenti dannosi e l’aggiunta di tre nuove famiglie di malware al toolkit di APT34. I team Managed Defense e Advanced Practices di FireEye hanno svolto un ruolo cruciale nell’arrestare la nuova variante di malware, TONEDEAF, e nell’identificare la ricomparsa di PICKPOCKET, un malware osservato esclusivamente nelle attività precedenti di APT34.

Settori bersaglio di OilRig

Le recenti attività di APT34 hanno mirato principalmente a settori critici per gli interessi degli stati-nazione, inclusi energia e servizi pubblici, governo e settore petrolifero e del gas. Il loro interesse maggiore è accedere a entità finanziarie, energetiche e governative per raccogliere informazioni strategiche che beneficiano dell’agenda geopolitica ed economica dell’Iran.

L’Inganno della Fiducia dell’Università di Cambridge

Il recente tentativo di phishing di APT34 coinvolgeva un file Excel dannoso, che è stato identificato come un exploit dal motore ExploitGuard di FireEye. Il file, denominato “System.doc”, era un eseguibile Windows mascherato con un’estensione “.doc”, progettato per installare il backdoor TONEDEAF. Il malware comunicava con un server di comando e controllo utilizzando richieste HTTP e supportava varie attività malevole, inclusa la raccolta di informazioni di sistema e l’esecuzione di comandi shell arbitrari.

L’arsenale di malware: TONEDEAF, VALUEVAULT e LONGWATCH

Il backdoor TONEDEAF, insieme a VALUEVAULT e LONGWATCH, rappresenta la natura sofisticata delle capacità di sviluppo di malware di APT34. VALUEVAULT, uno strumento di furto di credenziali del browser compilato in Golang, e LONGWATCH, un keylogger, sono indicativi dell’attenzione di APT34 sulla raccolta di informazioni sensibili attraverso vari mezzi.

La persistenza di APT34 nell’impiegare tattiche sofisticate di cyber spionaggio è un chiaro promemoria delle minacce informatiche in corso poste dagli attori statali. Si consiglia alle organizzazioni di rimanere vigili e adottare un approccio olistico alla sicurezza delle informazioni per contrastare tali minacce avanzate. Le capacità di rilevamento e analisi di FireEye si sono dimostrate strumentali nella protezione contro queste campagne, ma ci si aspetta che APT34 continui a evolvere le sue tattiche per raggiungere i suoi obiettivi.

Nuovo Wiper distruttivo “ZeroCleare” mira al settore energetico in Medio Oriente

Il team di IBM X-Force ha recentemente scoperto un nuovo malware distruttivo, soprannominato “ZeroCleare”, che prende di mira il settore energetico e industriale in Medio Oriente. Questo wiper, progettato per sovrascrivere il Master Boot Record (MBR) e le partizioni dei dischi su macchine Windows, segue le orme del noto malware Shamoon, utilizzando tecniche simili per causare interruzioni e danni significativi.

L’Ascesa delle minacce distruttive

Negli ultimi anni, gli attacchi distruttivi sono aumentati esponenzialmente, con un incremento del 200% registrato da IBM nei soli ultimi sei mesi del 2019. Questi attacchi, che spesso utilizzano malware come componente di pressione o rappresaglia, sono particolarmente preoccupanti per il settore energetico, un pilastro fondamentale per l’economia di molte nazioni del Medio Oriente e dell’Europa.

ZeroCleare: attacco complesso e mirato

ZeroCleare non è un attacco opportunistico, ma una campagna mirata contro organizzazioni specifiche. L’analisi di X-Force IRIS suggerisce che il gruppo di minaccia ITG13, noto anche come APT34/OilRig, e almeno un altro gruppo, probabilmente con base in Iran, abbiano collaborato per la fase distruttiva dell’attacco. L’uso di un driver vulnerabile e firmato e script PowerShell/Batch malevoli permette a ZeroCleare di aggirare i controlli di Windows e di diffondersi su numerosi dispositivi nella rete colpita.

Flusso dell’infezione di ZeroCleare

Il wiper ZeroCleare è parte dell’ultima fase dell’operazione complessiva e si adatta sia ai sistemi a 32 bit che a 64 bit. Per i sistemi a 64 bit, viene utilizzato un driver firmato vulnerabile, che viene poi sfruttato per caricare il driver non firmato di EldoS RawDisk, evitando il rifiuto da parte del Driver Signature Enforcement (DSE) di Windows.

Attribuzione a OilRig e obiettivi di ZeroCleare

Sebbene non sia possibile attribuire con certezza l’attività osservata durante la fase distruttiva della campagna ZeroCleare, le somiglianze con altre attività di attori iraniani fanno supporre che l’attacco sia stato eseguito da uno o più gruppi di minaccia iraniani. Questi attacchi mirano a settori chiave come l’energia e il petrolio, con l’obiettivo di danneggiare l’infrastruttura critica e influenzare la sicurezza energetica globale.

Mitigare il rischio del wiper

IBM X-Force sottolinea l’importanza della rilevazione precoce e della risposta coordinata per contenere e fermare la diffusione di minacce distruttive. Alcuni consigli includono l’utilizzo di intelligence sulle minacce per comprendere i rischi, la costruzione di difese efficaci, l’implementazione di una gestione dell’identità e dell’accesso (IAM), l’uso dell’autenticazione multifattore (MFA), la creazione di backup efficaci e testati e l’esecuzione di esercitazioni per testare i piani di risposta.

Gli attacchi come quello di ZeroCleare rappresentano una minaccia significativa per il settore energetico e per la sicurezza globale. La comprensione e la preparazione contro questi attacchi sono essenziali per proteggere le infrastrutture critiche e mantenere la stabilità economica e politica nelle regioni colpite.

In un contesto di trasformazioni significative nel settore delle telecomunicazioni, il consiglio di amministrazione di Tim ha approvato con decisione l’offerta vincolante presentata da Kkr, contro il parere di Vivendi, avviando un processo di scorporo della rete che segna un passo avanti decisivo per l’azienda. Questa mossa, che non necessita del consenso dell’assemblea degli azionisti, ha ottenuto un ampio consenso interno, riflettendo una strategia mirata al rafforzamento e all’innovazione infrastrutturale.

Un’operazione da miliardi

La valutazione di NetCo è di 18 miliardi ed è la valorizzazione a valle della cessione della rete primaria di Tim e della partecipazione della stessa Tim in Fibercop. L’operazione, che si prevede si concluderà nell’estate del 2024, potrebbe significare per Tim una significativa riduzione dell’indebitamento, migliorando così il rapporto debito netto/Ebitda, un indicatore chiave per la salute finanziaria dell’azienda.

Contestazioni e sfide legali

Nonostante l’approvazione dell’operazione, Vivendi, principale azionista di Tim, ha sollevato questioni legali, mettendo in discussione la legittimità del processo decisionale e riservandosi il diritto di intraprendere azioni legali a tutela dei propri interessi contro l’operazione di KKR. Anche il fondo Merlyn Partners ha espresso preoccupazioni, sottolineando una mancanza di trasparenza e il mancato rispetto delle norme sulle operazioni con parti correlate.

La posizione del governo e l’impatto occupazionale

Il Ministro delle Imprese e del Made in Italy, Adolfo Urso, ha ribadito che qualsiasi offerta per Tim, inclusa quella di Cdp smentita da voci di corridoio che la vedono interessata a Sparkle, sarà esaminata con attenzione, riflettendo l’importanza strategica di una rete nazionale sotto controllo pubblico per garantire connettività e competitività. Nel frattempo, l’incertezza che circonda la vendita di Sparkle, ed i suoi cavi sottomarini, e le possibili conseguenze legali sollevano preoccupazioni significative per il futuro occupazionale, con i sindacati che segnalano il rischio di esuberi.

Analisi di Matrice Digitale

In conclusione, l’operazione tra Tim e Kkr rappresenta un momento cruciale per il futuro delle telecomunicazioni in Italia, con implicazioni che vanno ben oltre il mero aspetto finanziario. La risposta del governo, la reazione degli azionisti e le preoccupazioni dei lavoratori sono tutti fattori che delineano un quadro di incertezza e di potenziale trasformazione, sia per l’azienda che per il settore nel suo complesso.

Il Governo ha disatteso gli impegni sulle grandi nazionalizzazioni?

Nel segmento politico di Meloni, c’è un dettaglio da non trascurare se pensiamo al fatto che Fratelli d’Italia è sempre stata a favore delle nazionalizzazioni. Si è sempre guardato alla Francia come modello forte di nazionalizzazioni quando le aziende strategiche erano in crisi. Questo era il vero banco di prova e le infrastrutture strategiche del paese sono state subito cedute agli amici americani come iniziato a suo tempo da Mario Draghi. Seppur ci troviamo dinanzi ad un passo indietro clamoroso, perché tradisce la voglia di nazionalizzazione emersa nei programmi elettorali, Meloni si è trovata dinanzi un muro di gomma eretto tra MEF e Cassa Depositi e Prestiti, con quest’ultima che non ha trovato 30 miliardi da dare al Governo per seguire una linea cara all’invidiato modus operandi francese e tedesco sulle nazionalizzazioni. Il Governo ha ridotto l’ambita nazionalizzazione della rete ad una partecipazione societaria in minoranza.

Lo spettro di Draghi attraverso Giorgetti

La notizia di KKR risale ad un anno fa circa quando in Italia c’era Draghi, che ha suggerito alla Meloni il fedelissimo Giorgetti al ministero dell’Economia abile nello staccarsi da Salvini e Bossi che gli hanno rinfacciato uno scollamento politico dalla Lega in favore del Premier dei migliori. Meloni doveva racimolare 30 miliardi per far acquistare la TIM allo Stato, ma per assenza di fondi di Cassa Depositi e Prestiti secondo quanto stabilito da Giorgetti, si è accettato il destino della vendita agli americani.

L’Italia cede perimetro e area cibernetica agli USA

L’Italia dell’ACN che si serve di servizi made in USA cede la sua grande infrastruttura composta da cavi di rame, ripetitori e fibra ottica ad un fondo di investimento americano che è diretto dal generale Petreus che è stato anche capo della CIA per un anno. Roba da complottisti direbbe chi non riesce a comprendere come l’operazione possa essere rischiosa per la sovranità italiana in campo tecnologico e di intelligence. Dal fronte di Meloni si sussurra che poteva andare peggio se consideriamo l’indirizzo del Movimento Cinque Stelle che voleva affidare l’infrastruttura a ZTE durante la luna di miele con il governo cinese. Anche il caso dei Russi con la società Veon S.r.l. ha provato ad accedere al controllo di una parte di rete italiana attraverso l’acquisto di Wind, passato poi ai cinesi di H3G, ed attualmente in uscita verso il fondo svedese EQT. Giorgetti, atlantista fino al midollo, ha creato i presupposti per la cessione agli americani chiudendo rubinetti e speranze da parte di Cassa Depositi e Prestiti.

Vivendi esclusa dal gioco non ci sta

I francesi, arrabbiati, guadagneranno in futuro una eventuale conquista in campo legale con un rimborso economico come spesso succede nei contenziosi tra grandi colossi dove chi oggi vince riconoscerà una fee in sede legale un domani all’avversario come disturbo del “sopruso” commerciale subito. Cosa ha dato fastidio a Vivendi? Dario Denni ha spiegato che la strategia dei francesi di Vivendi è quella di opporsi all’operazione di cessione della rete di TIM a KKR. I punti principali della loro opposizione sono i seguenti:

• La modifica dell’oggetto sociale di TIM: Vivendi sostiene che la cessione della rete varierebbe l’oggetto sociale di TIM, che è quello di “progettare, realizzare, gestire e mantenere reti di telecomunicazioni”.
• La mancanza di trasparenza: Vivendi sostiene che l’operazione è stata condotta in modo opaco e che non sono state fornite tutte le informazioni necessarie agli azionisti.
• Il rischio di concentrazione del mercato: Vivendi sostiene che la cessione della rete a KKR aumenterebbe la concentrazione del mercato delle telecomunicazioni in Italia, a scapito dei consumatori.

Vivendi ha già annunciato che impugnerà l’operazione in tribunale. La vicenda è ancora in corso e il suo esito è incerto.

Ecco alcuni dettagli specifici della strategia di Vivendi:

• Vivendi si è opposta alla decisione del CDA di TIM, ma non ne fa parte: ha votato contro l’operazione nel consiglio di amministrazione di TIM.
• Vivendi ha presentato un ricorso al tribunale del commercio di Milano per chiedere l’annullamento dell’operazione.
• Vivendi sta cercando di raccogliere il sostegno di altri azionisti di TIM per opporsi all’operazione.

La strategia di Vivendi ha già avuto qualche successo. Il MEF, che è azionista di TIM, ha annunciato che interverrà a monte dell’operazione, in una holding che controlla Netco. Questo potrebbe rendere più difficile a Vivendi impugnare l’operazione. Tuttavia, la strategia di Vivendi è ancora in corso e il suo esito è incerto. Se Vivendi dovesse avere successo, l’operazione di cessione della rete di TIM a KKR potrebbe essere annullata oppure risolta con accordi commerciali trasversali di cui è ancora prematuro parlarne.