Gli hacker di Darkside chiedono scusa
Qualche giorno fa la Colonial Pipeline, uno dei più importanti oleodotti degli Stati Uniti, ha subito un attacco informatico per mano di un gruppo di hacker. Questi sono poi stati identificati dall’FBI come appartenenti al gruppo Darkside.
Darkside, chi sono gli hacker
I membri di Darkside hanno attirato le prime attenzioni ad agosto 2020 con un attacco ransomware. Il gruppo viene considerato dalle compagnie di sicurezza informatica una vera e propria “azienda” per il suo sito curato (rigorosamente nel dark web) e il suo codice morale: non vengono attaccati ospedali e altre strutture sanitarie, scuole, università, organizzazioni senza scopo di lucro. Il gruppo Darkside si pone come una sorta di “Robin Hood” digitale e sottolinea che una parte dei ricavi viene donata in beneficienza.
L’attacco verso gli Stati Uniti
Da dicembre 2020 a maggio 2021, il settore petrolchimico statunitense è stato attaccato in quattro occasioni diverse. L’ultimo attacco è stato registrato il 7 maggio, con obiettivo la Colonial Pipeline. Il risultato? La chiusura del più grande oleodotto degli Stati Uniti, che rifornisce circa la metà della costa orientale del Paese. L’attacco hacker a Colonial Pipeline viene definito “il peggior attacco informatico di sempre a un’infrastruttura critica statunitense”.
Danni e conseguenze
La chiusura dell’oleodotto ha portato a un aumento del prezzo del petrolio: +4% domenica e +1,5% lunedì, arrivando alla quota record di 2,96 dollari per gallone (pari a 0,64 euro al litro). Il prezzo non toccava cifre simili dal 2014. Oltre a ciò, il governo statunitense ha dichiarato lo stato di emergenza in 18 Stati per sollevare alcune restrizioni sul trasporto in strada di carburanti, e facilitare così gli spostamenti di prodotti petroliferi raffinati (in primis benzina e carburante per aerei). Attualmente l’oleodotto è in fase di ripristino e la compagnia sta lavorando per riportare il sistema alla normalità entro la fine della settimana.
Dinamiche dell’attacco
Il gruppo avrebbe probabilmente sfruttato una vulnerabilità del servizio Microsoft Exchange, dato che l’oleodotto faceva uso di una versione non aggiornata, ma sono stati riscontrati anche altri problemi legati a un generale livello di sicurezza informatica molto basso. I report indicano inoltre che la società non possedeva le conoscenze essenziali per una protezione informatica di base.
Questa disattenzione ha dato un caloroso benvenuto a un ransomware, cioè un codice che si installa nel computer e che blocca tutti i contenuti che incontra. Non gli sfugge nulla: immagini, cartelle, documenti e tutti gli altri elementi vengono metodicamente crittografati. Solitamente, a questo punto l’hacker chiede un riscatto (ransom, in inglese) in cambio di una chiave per sbloccare i file.
Perché Darkside ha attaccato gli USA
Sia l’FBI che gli hacker stessi confermano il movente: nessun attacco terroristico, l’obiettivo sono i soldi.
“Gli attaccanti di Colonial Pipeline non sono dei cyberterroristi, almeno così sembra, è un gruppo che ha attaccato per ottenere un riscatto. Dalla dichiarazione dell’azienda si capisce che non hanno infettato i sistemi che consentono di spostare il carburante, ma i sistemi informatici aziendali, comunque impedendo loro di fatto di lavorare”, spiega Stefano Zanero, professore associato di Informatica al Politecnico di Milano.
Tuttavia, è doveroso far presente che il gruppo Darkside sembrerebbe avere origini russe, o almeno dell’est Europa. Questo fa pensare: cosa succederebbe se un governo ingaggiasse degli hacker per colpire un’azienda di uno Stato rivale? Certamente un privato non avrebbe grandi possibilità di difendersi, eppure le conseguenze potrebbero interessare tutti i cittadini. Zanero individua in partnership tra pubblico e privato “una possibile via per proteggere le infrastrutture più delicate“, ma non sembra esserci una soluzione definitiva.
Gli hacker si scusano
A seguito dell’attacco, gli hacker hanno pubblicato un comunicato in cui confermano di non essere legati ad alcun governo, aggiungendo che volevano solamente “fare soldi”. I membri di Darkside lavorano infatti con dei partner a cui vendono malware e exploit. Con questo meccanismo, guadagnano circa il 20-30% del riscatto pagato dalla vittima.
“Siamo apolitici”, spiegano. “Non partecipiamo alla geopolitica… Il nostro obiettivo è fare soldi e non creare problemi alla società“.
Missione fallita, in pratica, perché l’interruzione dell’oleodotto ha causato non pochi disagi. Il gruppo ha inoltre sottolineato che in futuro selezionerà meglio le aziende con cui lavorare.
Un riscatto in criptovalute
Bloomberg riporta che Colonial Pipeline avrebbe pagato un riscatto di 5 milioni di dollari al gruppo Darkside. La “soffiata” arriverebbe da due fonti a conoscenza della transazione finanziaria, che sarebbe avvenuta in criptovalute per garantire la non tracciabilità dell’importo. Alla ricezione del riscatto, gli hacker avrebbero fornito alla società uno strumento di decrittografia che avrebbe riportato la rete di computer allo stato originale. Colonial Pipeline non ha commentato queste ipotesi.
Altri punti di vista
Le opinioni sull’attacco e le speculazioni sull’origine di Darkside si sprecano. La società di sicurezza informatica CrowdStrike riconduce il gruppo a “Carbon Spider”, un altro gruppo di hacker che lo scorso anno aveva cambiato radicalmente il proprio modus operandi, focalizzandosi solo sui ransomware.
La giornalista del New York Times Nicole Perlroth, esperta di sicurezza informatica, fa notare su Twitter come gli attacchi di Darkside tendano a non chiedere riscatti se i sistemi delle aziende vittime includono alcune lingue dell’Europa orientale.
The assumption is that Darkside is not nation state affiliated, but like oh-so-many ransomware groups it uses tools like “GetUserDefaultLangID” to perform language checks. If the victim uses any languages below, DarkSide moves on. https://t.co/atMjKSPAJl pic.twitter.com/LNJ0CBDdBo
— Nicole Perlroth (@nicoleperlroth) May 10, 2021
Secondo Brett Callow, analista del gruppo di sicurezza informatica Emsisoft, l’attacco non arriverebbe affatto da Darkside, ma da un gruppo affiliato.
Brendon O’Connell, un artista estremamente controverso, sostiene in un video su YouTube che tutta la faccenda sia riconducibile allo stesso governo statunitense. L’Intelligence avrebbe chiuso l’oleodotto per rimuovere alcune vulnerabilità a livello hardware impiantate da Stati rivali. Visto il personaggio e l’assenza di prove concrete, le sue ipotesi non hanno ricevuto molti consensi.
Cosa succede ora
L’azienda è riuscita a riaprire l’oleodotto lungo 8.800 km ieri ma, considerata la mole delle sue attività e la complessità del suo funzionamento, sarà necessario ancora del tempo prima che il servizio torni regolare. Gli esperti rassicurano che, una volta che la situazione sarà tornata alla normalità, i prezzi del carburante non dovrebbero subire alcuna variazione.
Quello che invece probabilmente cambierà sarà l’attenzione delle aziende verso questi attacchi. Gina Raimondo, attuale segretario al Commercio, ha evidenziato domenica che gli attacchi ransomware sono “ciò di cui le aziende ora devono preoccuparsi”, definendoli una priorità assoluta per l’amministrazione e un problema sul quale il Dipartimento per la sicurezza interna lavorerà duramente.
“Purtroppo, questo tipo di attacchi sta diventando sempre più frequente“, ha dichiarato a CBS durante il programma Face the Nation.
Fonti: IlPost, Wikipedia, ABC News, NY Times, AGI [1] [2], DDay, Bloomberg.