In orari in cui la banca aveva chiuso i battenti al pubblico, una volta riuscito ad eludere i sistemi di allarme, un hacker è stato in grado di effettuare l’installazione di dispositivi (probabilmente hardware sofisticati come KVM malevoli o strumenti di accesso remoto fisico alla rete interna) con cui intercettare il traffico dati e rubare credenziali di accesso dei clienti ai sistemi bancari.
“Ci troviamo dinanzi ad una operazione condotta da professionisti che ha dato dimostrazione di conoscere a fondo i sistemi attaccati e gli ambienti in cui si muovevano”, commenta Pierluigi Paganini, analista di cyber security e Ceo Cybhorus.
Secondo Sandro Sana, Ethical Hacker e membro Comitato Scientifico Cyber 4.0, “non è un problema di ‘cimici’ (come ha scritto l’Ansa che ha dato la notizia, ndr), ma è un problema di modello di sicurezza“.
Ecco come sono stati hackerati i PC di più banche e come mitigare il rischio. Nel frattempo, “il tema della convergenza tra sicurezza fisica e logica è da tempo sul tavolo”, avverte Alessandro Curioni, Presidente e fondatore di DI.GI Academy, “e continuare a immaginare la realtà digitale e quella fisica come separate è come minimo retrò”.
Indice degli argomenti
Hackerati i Pc di varie banche: cosa sappiamo
Dopo essere stato identificato dalla Polizia di Stato, durante le indagini condotte sotto il coordinamento da parte dei magistrati della sezione Cybersicurezza della Procura di Napoli, l’hacker, dopo l’arresto, è finito ai domiciliari. Su di lui gravano seri indizi di diversi attacchi informatici che hanno colpito varie filiali di numerosi istituti di credito.
I funzionari di banca, avendo concepito sospetti per inconsueti ronzii comparsi nelle loro postazioni di lavoro, hanno fatto scattare le ispezioni, che hanno condotto alla scoperta di sistemi di intercettazione che ostacolavano o generavano interruzioni nelle comunicazioni dei sistemi IT o telematici.
Tuttavia, “la vicenda presenta diversi elementi poco chiari, a partire dai metodi di intercettazione: il termine “cimici” appare infatti fuorviante e rischia di banalizzare una tecnica che, da quanto descritto, sembrerebbe più vicina a dispositivi hardware sofisticati come KVM malevoli o strumenti di accesso remoto fisico alla rete interna”, spiega Paganini.
Inoltre, “le modalità di scoperta sollevano ulteriori dubbi: il‘ronzio’ anomalo infatti non è un indicatore tipico di compromissione informatica“, evidenzia Paganini.
Ma non è l’unico aspetto poco chiaro nel caso dei PC hackerati delle banche.
La tecnica di attacco
Analizzando le immagini delle telecamere di sorveglianza, gli organi inquirenti hanno scoperto che l’uomo, già noto alle forze dell’ordine, era stato in grado di entrare nelle filiali bancarie sempre in orario di chiusura, una volta elusi i sistemi di allarme e grazie a una chiave contraffatta.
Introdotto nelle banche iniziava a localizzare i rack, i server locali o le connessioni di rete interne, a cui connetteva i dispositivi “KVM” (dall’inglese Keyboard, Video, Mouse), per intercettare il traffico telematico ed effettuare al contempo il controllo remoto dei dispositivi informatici.
“Non è però ben definito come tali apparati riuscissero concretamente a intercettare traffico e credenziali. Anche la fase di esfiltrazione non è nota e potrebbe trattarsi di sistemi fisici connessi ai sistemi compromessi e recuperati durante le incursioni, oppure canali ad hoc stabiliti per portare fuori le informazioni proprio servendosi dei sistemi stessi inficiati”, mette in risalto Paganini.
Come mitigare il rischio
I reati contestati all’hacker, a vario titolo, spaziano dall’accesso abusivo a sistema informatico alla violazione di domicilio, dall’intercettazione illecita alla frode informatica.
Purtroppo esistono diverse organizzazioni che visitano le filiali come clienti e, alla prima occasione utile, sperando di non essere visti, collegano piccoli KVM a una postazione di lavoro.
Se nessuno la nota, i criminali se ne vanno indisturbati per poi ricollegarsi da remoto al PC dell’operatore che ha subito la compromissione.
“Nel caso in esame, resta incerta l’estensione dell’operatività: quante filiali coinvolte, per quanto tempo e con quali dati effettivamente esfiltrati. È plausibile ipotizzare un’azione ibrida, fisica e cyber, con elusione di controlli sia perimetrali che interni, forse aggravata da carenze nei sistemi di monitoraggio. Non possiamo in questa fase escludere il coinvolgimento di insider che potrebbero aver agevolato intrusioni fisiche”, mette in guardia Paganini.
Per evitare di essere hackerate, infine, le banche stanno implementando livelli di sicurezza su tutte le Usb, in modo tale che qualsiasi dispositivo si colleghi senza disporre un codice riconosciuto, fa scattare un allarme al SOC per intervento immediato. Però la tendenza sembra in crescita.
Ma è “problema di modello di sicurezza, se qualcuno arriva a installare un dispositivo su un PC bancario, il fallimento è a monte: accessi, controlli fisici, processi interni”, avverte Sandro Sana: “I controlli tecnici aiutano, ma qui parliamo di sicurezza ibrida, fisica e logica insieme. Chi la gestisce ancora a silos è già indietro“.
Infine, le banche, anche con ilsupporto del CertFin, stanno adeguando le proprie misure di sicurezza, adottando riconoscimenti specifici per tali dispositivi.
“Il computer non è mai solo un oggetto digitale, ma anche qualcosa di fisico collocato dentro una filiera di fiducia molto concreta e tangibile. La modernità del rischio sta qui: non c’è più un ‘dentro’ digitale e un ‘fuori’ materiale. C’è un unico sistema, fragile in entrambi i mondi. Oggi la sicurezza comincia ancora dalle password, ma non per questo ricordarsi di ‘chiudere la porta’ può passare di moda”, conclude Curioni.
