Questo articolo è stato pubblicato 1 anno 10 mesi 1 giorno giorni fa quindi alcuni contenuti o informazioni presenti in esso potrebbero non essere più validi.

Vorrei dire due cose sulla questione che ha tenuto banco mediatico e politico nel primo fine settimana di febbraio 2023: il fantomatico attacco hacker mirato alle istituzioni e altri sistemi informatici Italiani. Potremmo definirla una fake news. Tanto rumore per una normale attività di malware che gira sulla rete.

Partiamo dall’inizio.

Ogni sistema informatico è di per sé vulnerabile, perché, essendo un sistema molto complesso, potrebbe soffrire, anzi, sicuramente, soffre di qualche bug, che se sfruttato permette a qualche personaggio malevolo di tentare un attacco, riuscirci, accedere e prendere il controllo del sistema.

Per “sistema informatico” si intendono macchine con un sistema operativo completo come PC e server o dispositivi dalle funzionalità più ristrette come NAS, videocamere o altri mille tipi di dispositivi diversi.

Questi bug possono essere di tipi diversi.

Bug noti e risolti: sono quelli conosciuti a tutti, per i quali i produttori hanno rilasciato l’aggiornamento o la patch di sicurezza. Le persone intelligenti hanno aggiornato i sistemi e anche se vengono usati per attacchi, chi ha fatto il proprio dovere è al sicuro.

Bug noti e non risolti: Sono conosciuti a tutti, ma il produttore del sistema non lo ha corretto e non esiste una patch, solitamente perché quel sistema non è più supportato dal produttore ed è abbandonato. I “cattivi” li conoscono e sanno come sfruttarli, sono pericolosi, ma le persone sagge sanno che i sistemi non aggiornabili non vanno utilizzati e li dismettono.

Bug non noti ai produttori, appena scoperti: questo succede quando qualche ricercatore si accorge che un sistema ha un bug e lo sa solo lui. Ha in mano un potere enorme, in base a quello che decide di fare con questa informazione.

Bug noto solo al produttore, con patch: in questo caso il ricercatore ha deciso di stare dalla parte dei buoni e ha scritto privatamente al produttore, che se si comporta bene, dà una ricompensa al ricercatore e fa uscire una patch.

Bug noto solo al produttore, senza patch, diventa 0day: questo succede quando il produttore non risponde alle segnalazioni del ricercatore, che scocciato, rilascia la vulnerabilità al pubblico. A questo punto tutti i sistemi vulnerabili sono in pericolo perché anche i cattivi sanno della vulnerabilità e possono iniziare a usarla, tutto questo fino a quando il produttore non rilascia una patch.

Bug noto subito a tutti, 0day: a volte capita che il ricercatore non avvisa il produttore e rilascia la vulnerabilità a tutti, stesso rischio, fino a quando il produttore non rilascia, normalmente in fretta e furia, una patch.

Bug non noto a nessuno, venduto al miglior offerente: questi sono i bug dai quali normalmente nascono i software spia dei governi o sei servizi di intelligence. Nessuno, tranne pochissimi, li conoscono, per questo vengono usati senza che nessuno lo sappia, per attaccare sistemi specifici. Quando vengono scoperti vengono corretti subito e il software di intelligence su cui si basavano cessa di funzionare.

Bug non noto: esistono, sono milioni e sono lì che aspettano di essere scoperti, su ogni dispositivo, sempre.

Detto questo, è necessario capire come i sistemi possono essere attaccati. Abbiamo alcuni tipi di attacco standard.

Attacco mirato. Voglio proprio attaccare quell’obiettivo, lo studio, imparo come è fatto, magari faccio un attacco di social engineering, chiamando e fingendomi qualcun altro, per carpire informazioni, riesco a entrare violando un PC di un dipendente, sto nella rete per un po’, capisco cosa c’è, poi faccio quello che devo. Vulnerabilità o no, se vogliono mi prendono. Se ho sistemi vulnerabili è tutto più facile. Se il sistemi sono ben protetti, l’attacco sarà molto più complicato.

Phishing. Mando una mail a milioni di caselle di posta, quelli che abboccano aprono il malware, questo lavora sul PC di chi ha abboccato e in base a come è fatta la rete interna fa più o meno danni.

Attacco su sistemi esposti vulnerabili. Questo è quello che possiamo definire come pesca a strascico. Chi viene colpito, solitamente è colpevole di due cose che non vanno fatte. Ha esposto dei sistemi che magari poteva non esporre. Li ha lasciati non aggiornati, con vulnerabilità conosciute.
In questo caso i criminali non hanno mirato nessuno.
Semplicemente sanno che la tal vulnerabilità si può sfruttare se un certo tipo di servizio è in ascolto su un certa porta. Scansionando Internet, per ogni porta aperta con quel tipo di servizio cercano di fare l’attacco. Se il sistema non ha la patch, viene attaccato con successo.
Due esempi eclatanti sono la vulnerabilità del protocollo RDP (remote desktop) di Windows, che bastava fosse esposto per entrare e prendere il controllo del computer come amministratore o quella di VMware che se esposto, bastava beccarlo per entrare e fare escalation e avere il controllo con utente di root.
Nessuno è stato preso di mira in modo specifico, i servizi vulnerabili erano esposti e i criminali ne hanno approfittato.
Come se a casa vostra, sul portone, applicate un neon rosso con scritto “la porta al terzo piano la potete aprire con una chiave bulgara in configurazione XYZ”.
Passa il ladro, vede il cartello, entra e vi porta via tutto.

Cosa è successo dal 3 febbraio 2023 in poi?

Un malware ha iniziato a sfruttare una vulnerabilità di VMware nota da febbraio 2021. Esatto, due anni prima, per la quale c’era già una patch da molto tempo. Ha attaccato, crittografando tutte le macchine contenute sui nodi VMware esposti su Internet non aggiornati da due anni. Senza guardare in faccia a nessuno.

Sei esposto, non sei aggiornato? Bene, attacco riuscito.

Non è stato un attacco su larga scala, è stato un attacco come ne succedono tutti i giorni e ha colpito gli scemi. Pare una ventina di server in tutta Italia.

Non essere scemo. Non esporre i tuoi sistemi se non strettamente necessario

Non essere scemo. Tieni aggiornati i tuoi sistemi (sia se sono esposti, sia se non lo sono)

Tutto il resto è fumo negli occhi e volontà di inventarsi l’ennesimo nemico immaginario.