Dove c’è una crisi, si aprono varchi, crepe e opportunità probabilmente irripetibili. Da quando è scoppiata l’emergenza Covid-19, il vasto e articolato mondo del cybercrimine ha riconvertito strumenti e obiettivi per adattarsi e prosperare. Da settimane sul sito dell’Organizzazione Mondiale della Sanità c’è un alert che avvisa il pubblico sul fatto che stanno circolando messaggi di soggetti che si fingono l’OMS per «rubare soldi o informazioni sensibili». Il 23 marzo Reuters ha svelato un attacco in corso contro i sistemi e-mail interni dell’OMS, che si sospetta portato avanti da un gruppo di professionisti dello spionaggio chiamato DarkHotel, attivo dal 2007. «L’e-mail è il vettore principale di queste aggressioni digitali», ci spiega Gabriele Zanoni, EMEA Solutions Architect di FireEye, multinazionale americana della cybersicurezza. «Nel testo della mail viene sempre citato il coronavirus, si invogliano le persone ad aprire link o documenti che contengono statistiche o strategie di mitigazione. Il virus che viene inserito nel computer è una backdoor, un sistema che permette di accedere da remoto ai dati della vittima senza che questa ne sia consapevole».

La più grande campagna di spionaggio degli ultimi anni

«Queste campagne di spionaggio sono spesso finanziate e richieste da uno Stato. I gruppi criminali hanno un budget e degli obiettivi e lavorano su commissione». Ci sono intense attività in corso provenienti da Russia e Corea del Nord (che ha approfittato della situazione per attaccare le organizzazioni non governative della Corea del Sud), ma il caso più eclatante è quello di APT-41, un gruppo state-sponsored cinese che, a partire da gennaio e in parallelo allo sviluppo della pandemia, ha realizzato una delle più vaste campagne degli ultimi anni da parte di un attore cinese di spionaggio informatico.  Tra i destinatari delle attenzioni di APT-41 ci sono anche diversi paesi europei: Danimarca, Finlandia, Italia, Svezia. I settori più a rischio sono finanza, difesa, alta tecnologia, sanità e farmaceutici, telecomunicazioni, utility. Gli obiettivi sono in parte industriali (carpire innovazioni e ricerche per lanciare sul mercato prodotti analoghi e in competizione) e in parte geo-politici. «Il governo cinese ha commissionato attacchi ai paesi che fanno parte della Belt and Road Initiative, la nuova Via della Seta, per carpire informazioni che possano portare vantaggi competitivi nelle trattative presenti e future con le nazioni partner».

Il rischio di lavorare da casa

Il momento è delicato e quindi proficuo per gli aggressori, perché sono aumentate le vulnerabilità in chi si deve difendere. «La superficie d’attacco si è allargata, molte aziende hanno implementato policy di smart working in emergenza, attivando nuovi servizi di cloud, consentendo ai dipendenti di lavorare in remoto, usando spesso i propri device». Si sono così moltiplicate le porte di accesso ai sistemi interni di aziende di ogni tipo: «Anche le VPN per lavorare in remoto rischiano di diventare ponti tra Internet e reti aziendali». Tutto è successo di corsa, all’improvviso, e per continuare a funzionare spesso è stata messa in secondo piano la sicurezza. «Nei primi giorni è venuta meno la fase di hardening, in cui si stringono metaforicamente i bulloni e si mettono in sicurezza strumenti e procedure». Per questo motivo basta un semplice errore, commesso in buona fede, nell’idea di aprire una comunicazione vista come importante come può essere dell’OMS, per aprire le porte a soggetti interessati e fraudolenti. Tornano utili le linee guida dell’OMS, che ricorda che in nessuna comunicazione chiederà di aprire link esterni al proprio sito, che non spedisce mai allegati non espressamente richiesti, che non chiede mai username e password e che non fa raccolte fondi via mail.

Le Fake news diffuse dalla Russia

C’è un secondo fronte attivo, rilevato dalle analisi di FireEye così come da un recente report della Commissione Europea visionato dalla Reuters: l’intensa attività di disinformazione digitale in corso negli ultimi mesi, che per altro fa capo agli stessi soggetti protagonisti della campagne di spionaggio. La Commissione Europea, nel suo documento, ha rilevato l’ondata di fake news diffuse dalla Russia, attraverso i social network e i siti collegati come Russia Today: «L’obiettivo principale del Cremlino è di aggravare la crisi sanitaria nei paesi occidentali, in linea con la sua più ampia strategia di cercare di sovvertire le società europee». Le bufale diffuse sono ad alto potenziale di destabilizzazione, come quelle su una responsabilità americana nella pandemia o sull’incapacità europea di fronteggiarla. Gli obiettivi cinesi invece sono più legati a presentare sotto una luce positiva il ruolo del paese nella mitigazione della crisi e sono pensate per una scala più locale. «Abbiamo riscontrato una catena di fake news dirette a Hong Kong, col duplice obiettivo di valorizzare quanto fatto dalla Cina e screditare il governo locale, diffondendo vere e proprie bufale come quelle sullo sciopero dei medici».