L'ANALISI TECNICA

Data breach Sogin, rubati 800 GB di dati: cosa succede al nucleare italiano

La Sogin, società che gestisce i rifiuti nucleari in Italia, ha confermato l’attacco informatico a cui è seguito il furto di 800 GB di dati riservati. La vicenda conserva ancora molti lati oscuri e, vista l’importanza strategica della Sogin, lascia aperti molti interrogativi sulla sicurezza delle nostre infrastrutture critiche

14 Dic 2021
F
Dario Fadda

Research Infosec, fondatore Insicurezzadigitale.com

Il data breach a Sogin, ora confermato, significa forse che il nucleare italiano è sotto attacco cyber.

In una nota ufficiale pubblicata ieri sera, la Sogin (Società Gestione Impianti Nucleari) ha confermato l’attacco cyber al suo sistema informatico a cui è seguito un data breach che ha esposto ben 800 GB di dati riservati.

Al momento la SOGIN non ha ancora fornito ulteriori dettagli sulla natura dell’incidente di sicurezza, ma si è impegnata a indagare con le autorità competenti su quanto accaduto.

Alla società, con partecipazione diretta del MEF (Ministero dell’Economia e delle Finanze), è affidata la gestione dei rifiuti radioattivi, delle scorie e di tutto ciò che ha a che fare con il nucleare in Italia.

Le prime evidenze del data breach a SOGIN

Le prime evidenze dell’attacco informatico si hanno già da domenica scorsa, quando è stato individuato un annuncio sui due forum underground più noti del settore, RaidForum e (a distanza di poche ore) anche il russo XSS, nel quale l’utente zerox296 rivendicava il possesso di 800 GB di dati interni della SOGIN.

WHITEPAPER
Quali caratteristiche delle VDI garantiscono un aumento di produttività
Datacenter
Virtualizzazione

Nell’annuncio (identico su entrambi i forum, a parte il contenuto del sample) si legge che i dati sono in vendita negli stessi canali citati per 250.000 dollari da corrispondere in criptovaluta Monero.

L’allarme pubblico è partito con un tweet di Marco Govoni, appunto nella mattinata di domenica.

Dalla nostra analisi emerge che anche il gruppo ArvinClub ha monitorato e rilanciato la vicenda su Telegram qualche ora prima, pur non avendo capitolo in merito all’incidente.

L’utente zerox296 non è sconosciuto nei canali underground. Il suo primo rilevante impatto, infatti, risale a luglio 2021 quando lui con il suo gruppo fecero trapelare e rivendicarono l’attacco informatico al gigante saudita Aramco tramite, spiegano loro stessi, vulnerabilità zero-day nei sistemi interni alla società di Cloud Storage.

Attacco a Sogin, il nucleare italiano: perché dobbiamo preoccuparci

Cosa sappiamo dell’attacco informatico a SOGIN

Così come riportato dall’autore degli annunci, l’attacco ha tutte le carte in regola per configurarsi come furto di dati, anche se resta da capirne la natura: se operato internamente alla società o se si è trattato di un attacco esterno che ha sfruttato qualche vulnerabilità nella filiera digitale della SOGIN per penetrare nel suo sistema informatico.

Il contenuto del furto è dimostrato da un sample, il più completo dei quali è rilevabile sull’annuncio di XSS, che offre una più ampia gamma di documenti rispetto a RaidForums, limitato invece al solo progetto CEMEX che, come riferitoci da Claudio Sono, non offre autenticità al furto visto l’ampio risvolto mediatico che ebbe il progetto all’epoca (parliamo del 2016), anche con grande reperibilità online di alcuni di questi documenti.

Sull’annuncio del forum XSS, invece, il sample è più eterogeneo e comprende una diversità di documenti più ampia, cosa che fa presagire una più reale autenticità del furto di dati.

Tra questi documenti, infatti, troviamo curriculum di dipendenti/collaboratori, cartografie di siti collegati ai progetti che la SOGIN intraprende e certificazioni di sicurezza fisica: le date qui variano dal 2016 (progetto CEMEX, appunto) al 2020.

A completamento del sample presentato, l’utente zerox296 fa rientrare anche un download (effettuabile tramite un noto sito di condivisione file online), contenente un ampio file di testo (95 MB in formato .txt) che contiene poco meno di 500.000 righe nelle quali vengono elencati i file esfiltrati di cui l’attore malevolo sarebbe in possesso.

Analizzando l’elenco troviamo una grande eterogeneità dei file contenuti nella macchina (o nelle macchine) attaccate, con la presenza di file comuni (probabilmente di svago) insieme ad altri file estremamente tecnici, riferibili appunto a una macchina che lavora all’interno di un contesto industriale.

C’è infatti, per esempio, tutto il necessario a far funzionare una workstation WindChillDS, prodotto di PTC, utilizzato proprio a livello industriale per il monitoraggio di impianti e la collaborazione tra colleghi di un determinato team di sviluppo per la gestione delle varie fasi progettuali.

Ma ci sono anche documenti che denominano un contenuto importante come chiavi di accesso, password, documenti fiscali, documenti bancari.

I lati oscuri da chiarire in tutta la vicenda

Insomma, viene da pensare che ci sia qualcosa dietro la vendita di un contenuto simile e se, per 250.000 dollari, sia più un affare o, forse, nasconda la necessità di concludere un affare in tempi brevi.

I documenti trapelati, infatti, hanno un’importanza strategica per il nostro Paese considerando anche che la SOGIN è collegata alle più importanti e critiche aziende italiane (la società è cliente di Leonardo S.p.A., Engineering, Saipem ed Enel, solo per citarne alcune).

La vicenda conserva ancora molti lati oscuri, sicuramente da chiarire, primi fra tutti la natura di questo attacco, proprio per l’importanza che riveste Sogin nel territorio italiano e visti i precedenti ormai noti dell’attore di questo leak, che con il suo gruppo è responsabile di attacchi a sistemi e infrastrutture cloud.

WHITEPAPER
Cosa fare per migliorare l’analisi dei contenuti abbassando i costi operativi?
Datacenter
Software
@RIPRODUZIONE RISERVATA

Articolo 1 di 2