Sarebbero i cinesi e non i russi (come prima ipotizzato) ad aver messo sotto scacco, con attacchi informatici, i ricercatori italiani di vaccini al centro IRBM di Pomezia. È quanto risulta da nuove investigazioni italiane, ma questo nuovo elemento va compreso all’interno di un contesto più ampio e preso con cautela.
Dall’inizio della pandemia numerosi attacchi, infatti, hanno preso di mira centri di ricerca ed aziende farmaceutiche convolte in Europa e Usa nello sviluppo di un vaccino contro il COVID-19.
Dietro la quasi totalità di questi attacchi vi sono attori nation-state interessati ad acquisire informazioni sulla ricerca di vaccini per il COVID-19, tra essi hacker russi e cinesi si sono distinti per livello di complessità e persistenza delle proprie campagne di spionaggio informatico.
Gli attacchi di Russia e Cina ai vaccini
Già in maggio 2020, le autorità statunitensi hanno avvertito i ricercatori del settore farmaceutico di attacchi da parte di hacker che operavano per conto del governo cinese intenti ad acquisite informazioni sullo stato della ricerca relativa a trattamenti e vaccini per il COVID-19.
In luglio, il National Cyber Security Center inglese ha rivelato che il gruppo di hacker noto come APT29 collegato alla Russia era dietro campagne di spionaggio informatico rivolte a organizzazioni britanniche, statunitensi e canadesi che lavorano allo sviluppo di un vaccino COVID-19.
In Settembre, Il quotidiano El Pais ha riferito del furto di informazioni da parte di hacker cinesi dai laboratori spagnoli che lavorano su un vaccino per COVID19, e purtroppo le cronache sono piene di notizie relative a simili operazioni.
I motivi degli attacchi
Ma per quale motivo hacker che operano per conto di governo sono interessati ai dati sulla ricerca per il vaccino COVID-19?
La disponibilità di un vaccino in anticipo su altre nazioni potrebbe conferire un vantaggio economico e politico al governo che lo avrà messo a punto. L’accesso ai dati della ricerca può fornire indicazioni preziose ai ricercatori dei governi dietro le campagne di spionaggio che potrebbero utilizzare tali informazioni per accelerare lo sviluppo del vaccino.
Questo vero anche per gli attacchi all’IRBM, che gli investigatori giustificano con le difficoltà cinesi a soddisfare i piani vaccinali.
L’attacco a Pomezia
L’Italia ed i suoi numerosi centri e laboratori sono parte attiva della ricerca internazionale sul vaccino COVID-19, tra essi lo stabilimento IRBM di Pomezia noto per la sua collaborazione con lo Jenner Institute di Oxford e l’azienda AstraZeneca.
In luglio, proprio i sistemi di posta elettronica del centro IRBM di Pomezia sono stati colpiti da attacchi informatici, immediatamente classificati come “sofisticati”. Le incursioni sono andate avanti per mesi e resi pubblici solo in dicembre.
Sempre secondo gli investigatori italiani, gli hacker cinesi avrebbero cercato di nascondere le proprie tracce utilizzando “false flag,” ovvero muovendo attacchi da indirizzi IP utilizzati in passato in attacchi da parte di hacker russi.
Gli attacchi sono diventati sempre più insistenti e complessi e per mettere in sicurezza i sistemi dell’azienda di Pomezia si sono adottati protocolli militari che hanno previsto la sospensione di alcuni servizi, come quello di posta elettronica, potenzialmente utilizzabili dagli hacker per penetrare le sue reti.
Queste misure, come confermato dal presidente dell’IRBM Piero Di Lorenzo, hanno comunque reso più complesse le ordinarie attività condotte dal centro di ricerca.
Mentre la stampa annunciava la prima dose di vaccino, una nuova ondata di attacchi prendeva di mira un sistema interno all’azienda dal quale gli attaccanti si sarebbero potuti muovere all’interno della infrastruttura aziendale.
La stampa riporta di connessioni attraverso la rete di anonimizzazione TOR, che renderebbe impossibile il tracciamento dell’origine dell’attacco, ma poi come riferito da Repubblica si riesce ad individuare un server noto in passato per essere stato utilizzato in una campagna del gruppo cinese APT10 (anche noto come CVNX o Stone Panda).
Lo stesso gruppo sarebbe dietro i recenti attacchi all’Ema, l’agenzia Europea del farmaco, e delle catene di distribuzione dei farmaci a bassa temperatura.
Cautela con l’attribuzione degli attacchi
Anche in questo caso occorre essere cauti, i continui cambiamenti di tecniche, tattiche e procedure, sono alla base di operazioni false flag.
L’attribuzione a gruppi cinesi potrebbe essere basata su informazioni volutamente fornite dagli attaccanti con l’intento di interferire con le investigazioni. In passato molti gruppi APT, allo scopo di rendere complessa l’attribuzione degli attacchi, hanno utilizzato strutture di comando e controllo e malware associati ad altri attori malevoli.
Questo fenomeno peraltro è avvantaggiato dal modello di cybercrime-as-a-service, in cui attori malevoli possono noleggiare infrastrutture di attacco e codici malevoli. In alcuni casi, gruppi di attaccanti differenti hanno utilizzato la medesima infrastruttura rendendo impossibile l’attribuzione.
In conclusione
Quanto alle implicazioni, sotto il profilo diplomatico si può dire ben poco, la Cina continua a negare ogni coinvolgimento, forte anche dell’impossibilità da parte di governi occidentali di rinunciare a relazioni commerciali con il loro paese.
Sotto il profilo della sicurezza cibernetica, la scoperta in sé non può e non deve sorprenderci. Molti paesi, tra cui Russia, Cina, Corea del Nord ed Iran, continuano indisturbati le proprie campagne di spionaggio e di hacking. La conoscenza delle loro metodiche di attacco e la condivisione delle informazioni relative alle intrusioni tra i paesi dell’alleanza atlantica e le aziende del settore è essenziale per aumentare la resilienza dell’intero comparto farmaceutico.
La sicurezza informatica è oggi un requisito imprescindibile per qualunque azienda che dispone di un patrimonio informativo da difendere. I governi occidentali, compreso il nostro, dovrebbero agevolare i processi per la diffusione di una cultura in materia cyber security, in gioco vi è la sovranità degli stati, ma purtroppo questo messaggio evidentemente qui da noi non è stato ancora recepito a pieno da chi ci governa.
