La cyberwarfare, la sponsorizzazione di Stato del crimine informatico, dall’inizio pandemia Covid-19 si è tramutata in una vera e propria guerra alla proprietà intellettuale. Secondo il report Enisa 2020 lo spionaggio è la motivazione dietro al 20% dei data breach e ha visto un significativo incremento tra luglio e novembre, periodo in cui la speculazione sui vaccini anti-covid si è fatta più intensa.
CybergON ha ripercorso il sentiero intrapreso dai gruppi criminali che hanno pianificato attacchi a case farmaceutiche e laboratori di ricerca da quando l’ipotesi di un vaccino si è fatta strada tra le testate giornalistiche. Sono stati individuati tre paesi coinvolti nei tentativi di esfiltrazioni di dati fino ad oggi: Russia, Cina e Nord Corea.
Gli interessi dei criminali informatici sono puramente economici, lucrano grazie ai riscatti dopo la sottrazione di informazioni sensibili e alla loro vendita nel dark web. Tuttavia, è stimato che il 38% dei criminali informatici è finanziato dalla Nazione di provenienza e dai suoi reparti di Intelligence.
La timeline degli attacchi
Gli intenti della Russia e della Cina dietro agli attacchi sono chiari: poter visionare i risultati delle sperimentazioni che risultano simili ai loro vaccini e possedere diverse varianti da quelle create nei loro laboratori.
Infine, la Corea del Nord, non avendo le competenze scientifiche per creare un vaccino autoctono ha come principale obiettivo l’appropriamento del brevetto per poterlo sviluppare in modo autonomo. Emerge così l’attenta pianificazione criminosa che mette a dura prova Agenzie di intelligence come l’NSA americana e il NCSC britannico, impegnate nel proteggere risorse più delicate e che le relegano sempre più a ruoli di pedine di un gioco ormai già predestinato.
A maggio quando il vaccino era solo in una prima fase clinica, il dark web, cartina tornasole per le pratiche illecite e criminose, era già popolato da vaccini fasulli venduti dagli USA per 400$ e da litri di plasma di pazienti Covid-19 per 1700$.
Il 16 luglio del 2020 viene registrato il vero primo attacco a diversi laboratori americani, inglesi e canadesi da parte del famoso gruppo Cozy Bear, conosciuto anche come ATP29 (Advance Persistant Threat) e legata ai servizi di sicurezza russi.
Il modus operandi del gruppo criminale è differente da quello visto in passato, che consisteva in attacchi di spear-phishing con link malevoli e furto di credenziali riutilizzate per successivi movimenti laterali. In questa nuova campagna di attacco sfruttano vulnerabilità dei sistemi come CVE-2019-19781 Citrix e CVE-2019-11510 Pulse Secure VPN.
Il 21 luglio 2020 viene registrato un altro attacco, questa volta da parte della Cina: Jiazhi Dong e Xiaoyu Li entrano nei server di alcune aziende coinvolte nella lavorazione sul vaccino.
Questi due criminali assoldati dall’Intelligence Cinese, hanno un CV – o meglio una fedina penale – davvero impressionante: attivi già nel lontano 2009 hanno esfiltrato brevetti industriali in paesi come Spagna, Olanda, UK, Svezia, Germania, Giappone per centinaia di milioni di dollari.
Sono stati i primi a colpire durante l’emergenza. Tre vittime: due società americane che studiano la cura per il virus, attaccate il 27 gennaio e il 1 febbraio; più una terza colpita una settimana dopo aver annunciato il proprio coinvolgimento nella ricerca sul vaccino.
Microsoft il 13 novembre 2020 denuncia Nord Corea e Russia per attacchi a laboratori produttori di vaccini in sperimentazione clinica in USA, Canada, Francia, Corea del Sud e India.
Questa volta Russia e Corea si spartiscono l’attribuzione degli attacchi. Un’ondata massiva di brute forcing, una tecnica illecita per forzare le password, arriva dai criminali russi denominati Strontium. Altri due gruppi criminali nord coreani, Zinco e Cerium, portano avanti la loro offensiva: mentre il primo invia mail di spear-phishing per rubare credenziali agli utenti, il secondo impersonifica per il medesimo scopo l’Organizzazione Mondiale della Sanità.
Il 27 novembre avviene l’attacco ad Astrazeneca, azienda farmaceutica che sta sviluppando il primo vaccino al mondo senza RNA. Criminali nordcoreani bersagliano i dipendenti sfruttando tecniche di ingegneria sociale. In particolare i criminali offrono, tramite LinkedIn o WhatsApp, posti di lavoro specializzati per cui l’interessato fornisce informazioni sensibili che sarebbero state riutilizzate successivamente per fare breccia nel perimetro aziendale.
Il 3 dicembre 2020 IBM notifica la possibilità di attacchi da Cina, Russia e Corea del Nord che punterebbero non più ai centri di ricerca ma alla catena del freddo necessaria per il trasporto dei vaccini.
Sarebbe proprio la conservazione a circa -70° centigradi della Pfizer il possibile anello debole nella catena del sistema logistico per il vaccino, per cui in caso di attacco ransomware, i criminali potrebbero richiedere riscatti onerosi per evitare lo spegnimento dei sistemi di raffreddamento.
Il 10 dicembre, infine, vengono attaccati alcuni server dell’EMA, l’Agenzia europea del farmaco con sede ad Amsterdam, dove sono conservati alcuni documenti che riguardano la “presentazione normativa” del vaccino BNT162b2 delle due case farmaceutiche Pfizer-BioNtech, rispettivamente USA e Germania.
Il nullaosta dell’European Medicines Agency per il vaccino è atteso per il 29 dicembre e ha già notificato che questo cyber attacco non interferirà con la revisione. L’ente è inoltre in processo di validazione anche per il vaccino di Moderna, di Astrazeneca (Oxford-Pomezia) e di Johnson&Johnson.
Sars-Cov-2 non ha solo digitalizzato interi paesi ma ha anche scombinato le carte in tavola di potenze mondiali che si contrastano in una guerra “cibernetica” fatta di vulnerabilità e dati sensibili. Il famoso patto di non aggressione cyber firmato nel 2015 tra l’allora presidente americano Barack Obama e quello cinese Xi sembra solo un lontano ricordo.
