Cybersecurity, che nesso c’è tra gli attacchi al Summit Trump-Kim Jong di Singapore e l’Italia?

Nei giorni scorsi mi sono imbattuto in un interessante rapporto sui cui risultati vale la pena condividere qualche considerazione.

Il rapporto è firmato dall’azienda di sicurezza F5 Labs i cui esperti hanno analizzato gli attacchi contro le infrastrutture di Singapore mentre in un hotel del paese si teneva lo storico incontro tra il presidente statunitense Donald Trump e il presidente nordcoreano Kim Jong-un.

Il picco di attacchi su Singapore

Gli esperti hanno osservato un picco anomalo di attacchi contro le infrastrutture di Singapore dall’11 giugno al 12 giugno, proprio in concomitanza del vertice Trump-Kim Jong. Singapore di solito non figura tra i paesi maggiormente colpiti da attacchi cyber, tuttavia il summit ha avuto un effetto catalizzatore soprattutto per quanto concerne le attività condotte da agenzie di intelligence di tutto il mondo .

La maggior parte degli attacchi sono stati originati dalla Russia (circa 88%) e francamente questo dato non ci sorprende più di tanto considerato l’approccio spregiudicato del Cremlino nel cyber spazio.

L’analisi di F5 Labs

Secondo l’analisi condotta dall’azienda F5 Labs in collaborazione con Loryka, il 97% di tutti gli attacchi che hanno avuto origine dalla Russia nel periodo compreso tra il 11 giugno ed il12 giugno è stato diretto contro Singapore.

“Dall’11 giugno al 12 giugno 2018, F5 Labs, in collaborazione con l’azienda partner Loryka, ha scoperto che gli attacchi cibernetici contro Singapore sono saliti alle stelle, l’88% dei quali proveniva dalla Russia. Inoltre, il 97% di tutti gli attacchi provenienti dalla Russia in questo periodo ha preso di mira Singapore “, si legge nell’analisi pubblicata da F5 Labs. “Non possiamo dimostrare che si tratti di attacchi sponsorizzati da stati stranieri, tuttavia gli attacchi sono avvenuto proprio nel giorno in cui il presidente Donald Trump ha incontrato il presidente nordcoreano Kim Jong-un in un hotel di Singapore”.

Gli attacchi informatici colpiscono quasi tutti i sistemi del paese, dai quelli telefonici VoIP ai dispositivi dell’Internet delle Cose (IoT).

L’analisi delle offensive contro il paese rivela che gli attacchi hanno avuto inizio con una serie di scansioni dal Brasile indirizzate alla porta 5060 utilizzata dai sistemi di comunicazioni IP per le trasmissioni in chiaro.

Dopo un attacco iniziale durato un paio d’ore, i ricercatori hanno osservato un’attività di ricognizione originata da un indirizzo IP russo 188.246.234.60 appartenente all’ASN 49505, gestito dal provider Selectel. Le scansioni hanno interessato diverse porte nell’ambito di una ampia attività di ricognizione, ma nessuno degli attacchi è stato condotto per diffondere malware.

“La seconda porta più bersagliata è quella del Telnet, coerente con l’intento di attaccare i dispositivi IoT che potevano essere sfruttati per compromettere altri dispositivi o per accedere a sistemi di comunicazione.” Continua l’analisi.

“Altre porte attaccate includono la porta del database SQL 1433, le porte di traffico web 81 e 8080, la porta 7541, che è stata utilizzata anche dalla botnet Mirai compromettere i router gestiti da ISP e la porta 8291, che è stata presa di mira dalla botnet Hajime per infettare i router PDoS MikroTik.”

40mila attacchi in meno di 24 ore

I sistemi di Singapore sono stati colpiti da circa 40.000 attacchi in sole 21 ore, a partire dalle 23 del giorno 11 giugno alle 20 del giorno 12 giugno.

Gli esperti hanno evidenziato che solo l’8% erano attacchi tesi a sfruttare falle nei sistemi presi di mira, mentre il 92% erano scansioni con finalità di ricognizione per potenziali obiettivi.

Il 34% degli attacchi è originato dalla Russia, la lista dei principali paesi da cui sono partiti gli attacchi include Cina, Stati Uniti, Francia e Italia.

Durante summit, Singapore è stata la principale destinazione degli attacchi informatici su scala globale, ha ricevuto un numero di attacchi 4/5 volte superiore quelli che han colpito gli Stati Uniti ed il Canada, una evidente anomalia.

Su questo punto torneremo a breve, essendo la nostra Italia quinto paese per sorgente di attacchi.

La porta SIP 5060 è stata scansita circa volte 25 volte di più della porta Telnet 23, probabilmente perché gli hacker stavano tentando di accedere a sistemi di comunicazione non sicuri o ai server VoIP per attività di spionaggio.

“Non abbiamo prove che colleghino direttamente questa attività offensiva agli attacchi di un governo straniero, tuttavia è risaputo che il governo russo dispone di molteplici strutture per condurre questo tipo di attacchi data l’importanza strategica del summit per il Cremlino”. Conclude F5 Labs.

Le sorgenti dell’attacco

Prima di concludere diamo ritorniamo al dato sulle sorgenti dell’attacco, dato che asserisce che il nostro paese di colloca al quinto posto.

Cosa potrebbe indicare questo dato?

Le ipotesi principali sono due:

La prima vede il nostro paese agire come un attore persistente intento in attività di spionaggio supportate da una pessima capacità di nascondere le proprie operazioni (bad opsec).
La seconda vede alcune delle infrastrutture del nostro paese sfruttate da terze parti (i.e. un paese straniero) per condurre attacchi verso altri stati.

Il secondo scenario appare più probabile e potrebbe significare che uno o più attaccanti persistenti sia in possesso di molti dispositivi del nostro paese, soprattutto device IoT, e ne dispone per diverse tipologie di attacco.

Ai posteri l’ardua sentenza …