Un furto di documenti NATO di “estrema gravità” dal governo del Portogallo sembra essere stato causato da una violazione del protocollo di sicurezza, che ha permesso di accedere via Internet a file che avrebbero dovuto essere archiviati in aereo. I documenti sono stati successivamente messi in vendita su un sito del dark web.

Secondo quanto riferito, centinaia di documenti sono stati rubati e resi disponibili in questo modo, e il governo portoghese sta affrontando difficili domande sul perché la violazione non sia stata scoperta per settimane. L’incidente è stato scoperto solo quando l’intelligence degli Stati Uniti si è imbattuta nei documenti della NATO rubati sul dark web.

I documenti della NATO sono stati scoperti dall’intelligence statunitense solo dopo essere stati venduti su un sito di aste del dark web. Gli agenti hanno avvisato l’ambasciata statunitense a Lisbona, che a sua volta ha informato il governo portoghese, il quale ha ordinato uno screening completo della rete dell’EMGFA da parte del centro di sicurezza informatica del Paese e dell’Ufficio di sicurezza nazionale (GNS).

Fonti interne hanno dichiarato ai media locali portoghesi che i documenti NATO rubati erano di “estrema gravità”. Si tratta del tipo di documenti che, secondo il protocollo, devono essere conservati in sistemi protetti dall’aria, ma le fonti affermano che i bot programmati per la scansione di questo tipo di documenti li hanno prelevati via Internet. L’attacco sarebbe stato condotto per un lungo periodo di tempo e in più fasi. Il governo portoghese non ha ancora commentato l’attacco né le notizie riportate dai media.

Se si deve credere a queste notizie, la causa più probabile è che qualcuno abbia collegato i sistemi con protezione aerea a una porzione di rete interna connessa a Internet per comodità. John Vestberg, CEO di Clavister, ritiene che questo sia un momento di insegnamento per tutti i membri della NATO: “Sebbene qualsiasi tipo di violazione dei dati sia preoccupante, l’effetto è amplificato quando si tratta di documenti così sensibili. Il fatto che ci siano volute settimane prima che le autorità portoghesi venissero allertate dagli Stati Uniti segnala anche un’allarmante mancanza di monitoraggio, o per lo meno un’incapacità di aderire a una forte politica di cybersecurity. Organizzazioni come la NATO devono investire nella “difesa in profondità”, implementando più livelli di difesa, soprattutto alla luce delle attuali tensioni geopolitiche legate alla guerra in corso in Ucraina. A livello individuale, un elemento cruciale di questa violazione riguarda l’aggiornamento del personale e la garanzia che le regole e i protocolli vengano seguiti da vicino. In questo caso, i documenti classificati sono stati impropriamente trasmessi ed esfiltrati da sofisticati bot, il che dimostra fino a che punto i criminali informatici orchestrino attentamente questi attacchi. L’attacco non solo è preoccupante di per sé, ma invia anche un messaggio ad altri attori delle minacce: anche i documenti più sensibili possono essere compromessi rapidamente e, in questo caso, in modo occulto. Le organizzazioni e gli enti pubblici come il Ministero della Difesa portoghese devono assicurarsi di implementare in futuro misure di sicurezza robuste e fondamentalmente flessibili per mitigare tali violazioni”.

La vendita nel dark web di documenti sensibili pone rischi sconosciuti alla NATO
La politica della NATO è quella di non discutere pubblicamente le fughe di informazioni classificate, quindi è probabile che continuerà ad esserci incertezza su questa violazione e sulla successiva asta sul dark web.

Non è chiaro se sia in qualche modo collegato al furto dei documenti della NATO, ma all’inizio di agosto il Ministro della Difesa Helena Carreiras ha emesso un ordine per ulteriori 11,5 milioni di euro da destinare alla formazione e ai servizi di consulenza relativi alle difese informatiche nei prossimi otto anni.

L’incidente solleva nuovi interrogativi sulla preparazione dei partner della NATO in materia di cybersicurezza, poco dopo che in agosto un hackeraggio della francese MBDA Missile Systems ha visto il furto di documenti di intelligence classificati e la loro vendita sul dark web. MBDA produce missili forniti dalla NATO e attualmente utilizzati nella guerra in Ucraina. I rapporti indicano che un disco rigido esterno appartenente a uno dei fornitori di MBDA è stato violato; 80 GB di documenti sono emersi su un forum del dark web e sono stati venduti ad almeno un acquirente al prezzo di 15 bitcoin. La violazione sembra aver incluso documenti NATO classificati come “segreti” e “classificati”, ma non con la designazione di “segreto cosmico”. Un campione dei file indica che sono stati prodotti dal 2017 al 2020.

I documenti della NATO avrebbero anche fatto parte dell’ampia violazione dei dati del governo federale degli Stati Uniti del 2020, avvenuta attraverso partner tecnologici a monte come Microsoft e SolarWinds. Quell’attacco è stato attribuito alle squadre russe di minaccia persistente avanzata, sostenute dallo Stato, in cerca di intelligence, piuttosto che ai criminali del dark web.

I documenti della NATO avrebbero anche fatto parte dell’ampia violazione dei dati del governo federale degli Stati Uniti del 2020, avvenuta attraverso partner tecnologici a monte come Microsoft e SolarWinds. Quell’attacco è stato attribuito ai team russi di minaccia persistente avanzata, sostenuti dallo Stato, in cerca di informazioni, piuttosto che ai criminali del dark web. Il coinvolgimento di questi gruppi relativamente meno sofisticati, che in precedenza si erano tenuti alla larga da potenti obiettivi governativi per non attirare troppo l’attenzione delle forze dell’ordine, è uno sviluppo preoccupante.

Sally Vincent, Senior Threat Research Engineer di LogRhythm, osserva che di recente si è verificata una serie di piccoli attacchi di questo tipo, che dimostrano come i criminali informatici stiano perdendo la paura della rappresaglia governativa e vedano i soldi nel rubare segreti che un tempo interessavano solo ai gruppi di minacce avanzate persistenti degli Stati nazionali: “L’attacco a EMGFA segue altri recenti attacchi a organizzazioni governative. Solo il mese scorso, l’Instituto Agriculturo della Repubblica Dominicana e la magistratura argentina di Córdoba hanno subito attacchi ransomware simili. Purtroppo, la ricchezza di informazioni sensibili delle agenzie governative le rende obiettivi interessanti per i criminali informatici e questo attacco all’EMGFA ha conseguenze terribili. L’esposizione di segreti di Stati nazionali sul dark web non solo mette a rischio la credibilità militare del Portogallo, ma mina anche la sicurezza della NATO. Si presume che l’attacco informatico sia avvenuto dopo che l’EMGFA ha violato le sue regole di sicurezza operativa. Per evitare che si verifichi un attacco simile, le organizzazioni devono sviluppare solide regole sui loro protocolli di sicurezza informatica e rispettarle. Inoltre, le organizzazioni devono tenere a mente le loro tecnologie di prevenzione e rilevamento, assicurarsi di avere i controlli protettivi appropriati e verificare di avere visibilità su ciò che sta accadendo nel loro ambiente”.

La NATO si è riunita a giugno per estendere per la prima volta i suoi sforzi di collaborazione in materia di cybersicurezza ai partner della regione Asia-Pacifico, nell’interesse di coordinare risposte rapide di fronte alle crescenti minacce regionali provenienti sia dalla Cina che dalla Russia. L’organizzazione ha anche riaffermato una decisione del 2021 secondo cui un attacco informatico a uno Stato membro può essere considerato una violazione dell’articolo 5 del Trattato del Nord Atlantico, rendendolo un attacco contro l’organismo nel suo complesso.