È sullo sviluppo di un vaccino per il SARS-CoV-2 che si muovono le campagne di cyber-spionaggio messe in atto da vari Governi mondiali. La ragione è presto detta: la posta in gioco è altissima e “arrivare primi” non porterà soltanto prestigio al Paese che raggiungerà l’obiettivo, ma sarà di fatto una leva politica particolarmente importante.
La geopolitica del vaccino è chiaramente complessa, ma un elemento è certo: il primo Stato a entrarne in possesso potrà non solo rimettere in moto la propria economia più velocemente rispetto ad altri, ma anche influenzare pesantemente una serie di assetti importanti.
Occorre pertanto essere preparati sul fronte della cyber security e della lotta alla disinformazione, per tutta una serie di motivi che andremo a esaminare.
Lo Stato di sviluppo dei vaccini
Sono 212 i vaccini per il SARS-CoV-2 in sviluppo in questo momento. Di questi, 33 sono in fase di test e 9 si trovano allo stadio più avanzato (fase 3), al termine del quale inizieranno il percorso di verifica da parte delle autorità, prima della distribuzione finale.
Dei 9 vaccini in fase avanzata, 4 sono sviluppati in Cina, 3 negli Stati Uniti, 1 in collaborazione tra un’azienda USA e l’Università di Oxford ed 1 in Russia (Sputnik V) entrato proprio questa settimana in Fase III.
I primi alert e la task-force americana
Già a partire da metà maggio di quest’anno gli USA hanno rilasciato un comunicato dove dichiaravano che forze cinesi e iraniane avevano iniziato attività di ricognizione su università e istituti di ricerca a partire dai primi giorni di gennaio, avvertendo che simili attività rischiavano di mettere in pericolo le ricerche sul vaccino. Soltanto due mesi dopo un nuovo advisory metteva in guardia anche sulle attività della Russia ai danni di aziende ed istituti canadesi, UK ed europei. Questo scenario era tutt’altro che imprevisto, anche in vista della forte remotizzazione della forza lavoro che ha aperto un canale molto efficace per gli attaccanti. Ed infatti gli USA hanno attivato, congiuntamente alla Operation Warp Speed – operazione mirata ad assicurare nel più breve tempo possibile la produzione di 300 milioni di dosi di vaccino, al fine di coprire la quasi totalità della popolazione statunitense – una task force dedicata alla protezione della supply-chain del vaccino per una serie di aziende ritenute critiche: Johnson&Johnson, AstraZeneca, Moderna, Pfizer, Emergent, Corning ecc… Di questa task force fanno parte, tra gli altri, il Dipartimento per la sicurezza nazionale (DHS – Department of Homeland Security), l’NSA e l’FBI, segno evidente che si temono interferenze tanto interne quanto esterne, e che la preoccupazione si estende non soltanto alla fase di ricerca ma anche alla fase di produzione e distribuzione.
La filiera vero tallone d’Achille della cyber security
Quello della supply-chain, ovvero tutta la filiera che inizia dalla fase di ricerca di un prodotto fino alla sua messa in produzione e distribuzione al pubblico, è uno dei talloni d’Achille della cyber-security. Proteggere questa catena è un’impresa ardua, perché le parti in movimento sono molteplici, ed è sufficiente compromettere un solo anello per mettere a repentaglio l’intera filiera. La logistica della produzione e distribuzione di un vaccino è infatti incredibilmente complessa, e in una situazione in cui ci si attende una produzione di massa estremamente rapida, non è difficile immaginare scenari dove anche piccoli ritardi ad un certo livello della filiera possono avere severe ripercussioni su tutto il resto della catena. La task force creata dagli USA è stata quindi pensata con lo scopo di proteggere questo importante meccanismo. La fase di ricerca, oggi oggetto di attacchi diretti, è infatti solo la prima parte, e potrebbe non essere la più lunga. Creazione e distribuzione del vaccino terranno infatti le varie aziende impegnate per alcuni anni, in un processo che andrà protetto con attenzione per evitare influenze o potenziali sabotaggi esterni.
Le accuse ai mercenari cinesi
A fine luglio di quest’anno, due cittadini cinesi sono stati accusati dal Dipartimento di Giustizia USA di aver tentato di rubare materiale di ricerca sul vaccino per il COVID-19 da Moderna, una delle aziende attualmente in fase 3. Ai due vengono contestati circa un centinaio di differenti operazioni, in un mix di attività effettuate a volte a titolo personale ed altre, pare, per il governo cinese, che però smentisce ogni coinvolgimento. I due vengono anche accusati di aver sottratto progetti su armamenti militari, svariate frodi e furti di identità. Le loro attività sono variegate e si estendono dagli USA all’Europa, contro aziende di gaming, software, high tech, insomma il duo non sembra avere un focus specifico per il COVID-19, ma sembra muoversi in maniera opportunistica su argomenti di diverso interesse.
I dati sottratti in Spagna
Nonostante le accuse sollevate dagli Stati Uniti, i movimenti cinesi non sembrano fermarsi. A fine agosto il Centro di Intelligence Nazionale (CNI) Spagnolo ha messo in guardia gli istituti di ricerca locali da cyber attacchi provenienti da Cina e Russia. Poco dopo, il 18 settembre, alcuni fonti hanno rivelato a El Pais che un threat actor cinese è riuscito a rubare i dati su un vaccino in sviluppo in un istituto spagnolo, paese che ha all’attivo 10 progetti di vaccino. Forse val la pena anche notare che tre ospedali spagnoli stanno prendendo parte ai test clinici del vaccino della Johnson&Johnson, rendendoli un target di estremo interesse. La fase di trial di J&J è infatti la più vasta tentata fino ad oggi, con un bacino di 60.000 pazienti. Oltretutto la famiglia del vaccino è la stessa di Sputnik V, che è anche la tipologia di vaccino che i cinesi non sembrano aver ancora intrapreso attivamente (o per lo meno, non sono riportati test in pre-trial, fase 1, 2 o 3). Questo particolare rende i dati di estremo interesse per entrambi i Paesi: per i russi, per una possibile accelerazione dei loro trial; e per i cinesi, nel caso in cui fosse necessario dover concentrare i propri sforzi su tipologie di vaccini differenti da quelli attualmente in fase di test.
Il ritorno di APT29
In ogni caso il CNI non è il solo a puntare il dito anche sulla Russia ed infatti già a luglio il National Cyber Security Centre britannico attribuiva proprio a Mosca, in maniera molto diretta, l’attacco mirato ai dati sui vaccini in UK e Canada. In questo caso i britannici indicavano APT29, un nome ben noto a tutti quelli del settore. APT29 è infatti uno dei threat actor russi più sofisticati, quasi certamente collegati al SVR, i servizi di intelligence esterna, e che viene chiamato in causa ogni qual volta sono necessarie operazioni di altissimo profilo. APT29 è l’attore statale dietro gli attacchi al Pentagono del 2015, la compromissione del DNC (Democratic National Committee) nelle presidenziali americane del 2016 (in parallelo ad APT28) e svariati ministeri dei Paesi Bassi nel 2017. Ritenuti da alcuni inattivi dal 2017, quando l’AIVD, l’Intelligence dei Paesi Bassi, aveva compromesso la loro infrastruttura fino a raggiungere addirittura le telecamere degli uffici da cui gli attaccanti operavano, si sono rifatti vivi nel 2019 e di nuovo nel 2020 per le operazioni sul Covid19. I dettagli sull’attacco sono scarsi ma ad oggi sappiamo che è stato utilizzato un mix di campagne di spear-phishing ed utilizzo di exploit, principalmente per impianti Citrix, per ottenere accesso alle infrastrutture, sfruttando poi Wellmess (2018), Wellmail (2020) e SoreFang (2020), due malware creati ad-hoc da APT29 e un downloader, come strumenti di controllo dei dispositivi ed esfiltrazione dei dati acquisiti.
Il risiko di agende e interessi sul vaccino
Una volta identificati gli interessi in gioco è più facile disegnare un quadro generale per poter dare un senso a queste campagne di attacco. Da un lato il tema attrae attaccanti opportunistici che possono fare scambio o vendita delle informazioni ottenute. Dall’altro troviamo invece due forze con interessi a volte divergenti: la Russia che è sicuramente fortemente motivata ad accelerare la propria ricerca interna per ridurre i tempi di rilascio di un vaccino, e quindi assicurare la propria indipendenza da Europa, Cina e USA. E la Cina che ha possibilmente un doppio interesse: il primo relativo ai dati di ricerca e test, utili tanto per accelerare il proprio sviluppo quanto per identificare candidati alternativi come piano di backup, ed il secondo relativo a mettere un piede nella supply-chain quando il vaccino sarà finalmente disponibile. Quest’ultimo punto è di particolare interesse perché in grado di offrire alla Cina uno strumento potente di controllo sulle attività degli altri Paesi. Una serie di attacchi mirati potrebbe infatti rallentare la produzione in determinate zone, o magari bloccarla del tutto, così come pure ridurne la disponibilità, tutti elementi che possono garantire ad un Paese una forte influenza nel momento in cui il mondo intero non attende altro che lasciarsi questa pandemia alle spalle.
Conclusioni
La lotta al Covid19 porta con sé un impressionante intreccio di agende ed interessi diversi da parte di molti Paesi. Gli eventi dei quali siamo a conoscenza sono certamente soltanto una minuscola parte delle operazioni che sono attive in questo momento. Nessuna di queste attività terminerà quando i primi vaccini verranno autorizzati, anzi in quel momento gli assetti cambieranno così come gli interessi in gioco, e vedremo i vari threat actor concentrarsi prima sulla catena di produzione e poi sulla catena di distribuzione. Meglio quindi prepararsi per mettere in sicurezza chi lavora da remoto, seguiti dai sistemi ad oggi più vulnerabili, come quelli industriali, e ad avere un piano di azione tangibile per rispondere alle operazioni di disinformazione che verranno attivate non appena i primi vaccini verranno somministrati alla popolazione.
