L'ANALISI TECNICA

Attacco hacker all’Organizzazione marittima internazionale (IMO): la lezione da imparare

L’analisi dell’attacco denunciato dall’Organizzazione marittima internazionale consente di sottolineare gli impatti pratici che conseguono ad un evento del genere, chiarendo la centralità del ruolo della cyber security per le nostre imprese e la necessità di gestire correttamente il rischio cyber

13 Ott 2020
V
Alessia Valentini

Giornalista, Cybersecurity Consultant e Advisor


Nei giorni scorsi c’è stata un’interruzione dei servizi IT dell’Organizzazione marittima internazionale (IMO) a causa di un attacco hacker definito sofisticato dalla stessa IMO e che ha interessato alcuni servizi IT e i web service rimasti indisponibili per lungo tempo.

La situazione sta ora tornando lentamente alla normalità dopo che l’organizzazione delle Nazioni Unite legata alle spedizioni ha ammesso l’attacco cyber ai suoi sistemi. L’IMO ha chiesto al personale IT del Consiglio delle Nazioni Unite di indagare sull’incidente e di identificare l’attacco per migliorare la sicurezza dei propri sistemi.

L’IMO è un’organizzazione che si occupa di safety, ambiente, questioni legali, cooperazione tecnica, sicurezza marittima e lavora per l’efficacia della navigazione in acque internazionali. Ha oltre 174 stati membri e 3 membri associati e un’assemblea che governa 5 comitati: il Comitato per la sicurezza marittima, il Comitato per la protezione dell’ambiente marittimo, il comitato legale, il Comitato di cooperazione tecnica e il Comitato di facilitazione.

L’attacco ha interessato i suoi sistemi IT ed è tutt’ora in corso la sua risoluzione.

Attacco hacker all’Organizzazione marittima internazionale (IMO): cos’è accaduto

Dallo scorso 1 ottobre il sito dell’Organizzazione marittima internazionale (IMO) riporta un comunicato stampa che descrive la situazione della compagnia in relazione all’attacco cyber definito sofisticato che ha interessato i loro sistemi IT.

La compagnia marittima inizia a riportare alcuni malfunzionamenti IT dal 30 settembre con dei tweet, salvo poi descrivere nel comunicato stampa come quei problemi fossero già conseguenze dell’attacco subìto.

Al momento del comunicato, l’attacco hacker aveva interessato il sito esterno www.imo.org ed erano stati coinvolti anche alcuni servizi interni che successivamente sono stati nuovamente resi disponibili: GISIS database, IMODOCS e la sezione delle Virtual Publications.

L’IMO ha anche comunicato di aver riavviato i sistemi per evitare maggiori danni rispetto all’attacco e che sta lavorando con esperti internazionali di sicurezza IT per ripristinare i sistemi il prima possibile, identificare l’origine dell’attacco e migliorare ulteriormente i sistemi di sicurezza per prevenirne l’eventuale ripetizione dell’accaduto.

Non sono stati divulgati ulteriori dettagli tecnici, ma secondo il commento di esperti del settore l’incidente sembra attribuibile ad un attacco ransomware, sebbene l’agenzia di governo marittimo non lo abbia confermato.

WEBINAR
Sicurezza e Smart Working; elementi strategici per il business
Sicurezza
Cybersecurity

Ken Munro, specialista della sicurezza presso Pen Test Partners ha dichiarato che “L’incidente di Maersk ha chiaramente attirato l’attenzione di truffatori e criminali informatici che si sono resi conto che il settore delle spedizioni è gravemente esposto. Se i sistemi a terra non sono disponibili per prenotare i container, le navi non possono caricare e non possono generare entrate. Gli attacchi mirati contro le compagnie di navigazione sono quindi redditizi per gli operatori che infettano a mezzo ransomware”.

Ricordiamo che un ransomware è un tipo di malware che ruba una porzione di dati e quindi crittografa un database fino a quando non viene pagato un riscatto. Alcune varianti degli ultimi mesi effettuano anche l’esfiltrazione dei dati per minacciare le vittime di diffusione degli stessi se il ricatto non viene pagato. In questo caso si tratta di un doppio ricatto per aumentare la pressione sulle vittime verso il pagamento, che ricordiamo è però vietato in accordo alle normative vigenti.

Elementi ricorrenti nello stesso settore di mercato

Il caso non sembra isolato. La scorsa settimana era emerso che il colosso marittimo francese CMA CGM avesse subito una interruzione del genere con impatti sui server periferici dell’azienda: gli uffici cinesi avevano avuto problemi di disponibilità di alcuni server e applicazioni.

CMA CGM è la quarta grande compagnia di navigazione a subire un attacco informatico, dopo la Swiss Mediterranean Shipping Company (MSC), la cinese COSCO Shipping e la danese Maersk.

Negli ultimi anni, un’ondata di incidenti informatici ha afflitto l’industria delle spedizioni, la più grande delle quali è stata un’intrusione che nel 2017 è costata alla A.P. Moller-Maersk A / S di Copenhagen circa 300 milioni di dollari. Lars Jensen, amministratore delegato di SeaIntelligence Consulting ha dichiarato che “L’industria della navigazione è relativamente ritardataria nell’adozione di misure per difendersi e questo la rende la preda più facile per i criminali”.

A novembre dello scorso anno era stata diffusa la notizia per cui sarebbero entrate in vigore da gennaio 2021 le nuove linee guida dell’Organizzazione marittima internazionale che, redatte nel 2016, avrebbero contribuito a rendere più sicuri i sistemi informatici, ma erano state criticate perché considerate non aggiornate e non comprendenti tecnologie più recenti come intelligenza artificiale o cloud computing.

Quali impatti e le lezioni da imparare

Pierluigi Paganini, esperto di sicurezza, ha commentato l’accaduto per sottolineare gli impatti pratici che conseguono ad un evento del genere: “Gli incidenti delle ultime settimane sono solo la punta dell’iceberg di un fenomeno che ha un impatto significativo sulle aziende. Da anni osserviamo una crescita continua del numero di attacchi cibernetici, ma a preoccupare è il relativo livello crescente di complessità. Va detto, inoltre, che la superficie di attacco delle nostre imprese è in rapido ampliamento a causa del cresciuto livello di penetrazione della tecnologia nei relativi processi. In questo contesto è chiara la centralità del ruolo della cyber security per le nostre imprese e la necessità per esse di gestire il rischio cyber. La gestione del rischio cyber deve è quindi il principale impatto sulle imprese che allo scopo devono destinare le proprie risorse, consapevoli che la sicurezza cibernetica è un elemento abilitante per la loro attività e non un costo da tagliare”.

L’esperto sottolinea anche il tipo di lezione da imparare da quanto successo: “Il caso specifico conferma che alcuni settori continuano ad essere maggiormente esposti ad attacchi cibernetici mossi da gruppi di criminali informatici ed attori nation-state. Purtroppo, alla maggiore esposizione al rischio cyber, evidentemente non corrisponde un una adeguata postura in materia cyber security e questo aspetto è particolarmente critico per aziende che operano in settori critici, tra cui il settore energetico, sanitario e, per l’appunto, quello dei trasporti”.

@RIPRODUZIONE RISERVATA

Articolo 1 di 5