Attacco informatico in Svizzera: documenti governativi diffusi online!
Un grave attacco ransomware ha colpito la Svizzera nel 2023. Il gruppo criminale Play ha violato Xplain, un importante fornitore di servizi IT per enti governativi nazionali e cantonali. A seguito dell’attacco, Play ha pubblicato online una parte dei dati rubati, mettendo a rischio informazioni riservate dello Stato.
Documenti segreti e credenziali d’accesso trafugati
L’indagine condotta dal National Cyber Security Centre (NCSC) svizzero ha rivelato che il 14 giugno 2023 gli hacker hanno pubblicato sul darknet circa 65.000 documenti relativi al governo federale svizzero.
Questi documenti rappresentano solo il 5% dei dati totali sottratti. Del totale trafugato, circa il 70% apparteneva a Xplain, mentre il restante 14% era direttamente in mano all’amministrazione federale.
Quali dati sono stati diffusi online?
L’analisi del NCSC ha evidenziato che la maggior parte dei dati governativi diffusi (95%) proveniva da:
- Dipartimento federale di giustizia e polizia (FDJP)
- Ufficio federale di giustizia
- Ufficio federale di polizia
- Segreteria di Stato per la migrazione (SEM)
- Centro di servizio IT interno ISC-FDJP
Una piccola parte (poco più del 3%) apparteneva al Dipartimento federale della difesa, della protezione civile e dello sport (DDPS), mentre il restante proveniva da altre agenzie governative.
Tipologie di dati trafugati:
Tra i documenti diffusi, ben 5182 contenevano informazioni sensibili come:
- Dati personali (nomi, indirizzi email, numeri di telefono e indirizzi postali)
- Informazioni tecniche (documentazione su sistemi IT, documentazione software e descrizioni architetturali)
- Dati classificati secondo l’ordinanza sulla protezione delle informazioni
- Password leggibili
Indagine in corso e informazioni sul gruppo Play
Al momento non è chiaro quali dati specifici siano stati pubblicati e perché gli hacker abbiano deciso di divulgarli parzialmente. Un’indagine amministrativa dovrebbe concludersi entro la fine di marzo 2024. Successivamente, il Consiglio federale svizzero riceverà i risultati e le raccomandazioni su come procedere per rafforzare la sicurezza informatica nazionale.
Si ritiene che il gruppo Play sia di origine russa. Secondo un rapporto congiunto dei governi statunitense e australiano pubblicato a dicembre 2023, Play è responsabile di circa 300 attacchi ransomware riusciti tra giugno 2022 e ottobre 2023. Questo gruppo colpisce aziende e infrastrutture critiche in Nord America, Sud America ed Europa.
Play utilizza tipicamente un modello di doppia estorsione, che combina la crittografia dei dati con la minaccia di pubblicare online informazioni riservate rubate alle vittime. I loro metodi di attacco iniziano spesso dallo sfruttamento di account validi, vulnerabilità di applicazioni pubbliche o servizi esterni come Remote Desktop Protocol (RDP) e Virtual Private Networks (VPN) per accedere ai sistemi delle vittime.
Questo attacco ransomware evidenzia l’importanza di rafforzare la sicurezza informatica e proteggersi da questi attacchi sempre più frequenti.
Fonte: https://www.infosecurity-magazine.com/news/ransomware-leak-swiss-government/
