Attacco hacker cinese a società IBM: rubati dati sensibili di INPS e INAIL
Cosa è successo: il quadro della situazione
Un attacco hacker di proporzioni significative ha colpito Sistemi Informatici srl, una società controllata da IBM responsabile della gestione di dati critici della pubblica amministrazione italiana, inclusi i sistemi di INPS e INAIL. L’attacco è stato condotto dal gruppo Salt Typhoon, un’organizzazione di hacker cinesi specializzata in operazioni di spionaggio informatico.
La notizia, trapelata solo negli ultimi giorni, rivela che tecnici interni dell’azienda, affiancati da una squadra dell’Agenzia Nazionale per la Cybersicurezza, lavorano da circa due settimane per bonificare e ripristinare la funzionalità dei sistemi compromessi. Al momento, i danni esatti e la quantità di dati trafugati sono ancora in fase di valutazione.
Perché questo attacco è diverso dagli altri
A differenza di molti attacchi ransomware tradizionali, Salt Typhoon non mira a criptare o distruggere i dati. L’obiettivo primario è l’estrazione di informazioni sensibili. Una volta identificata una vulnerabilità nei sistemi, il gruppo rimane nascosto all’interno dell’infrastruttura cercando di non essere scoperto, mentre estrae la massima quantità di dati cui riesce ad accedere.
Questa strategia rende l’attacco particolarmente pericoloso perché:
- I danni non sono immediatamente evidenti
- I criminali operano indisturbati per periodi prolungati
- La quantità di dati compromessi può essere enorme
- I sistemi rimangono operativi, mascherando il problema
Chi è Salt Typhoon e quali sono i suoi precedenti
Salt Typhoon è un gruppo di Advanced Persistent Threat (APT), una categoria di minacce informatiche sofisticate e durature. I report occidentali di sicurezza informatica collegano frequentemente questo gruppo a Pechino e all’apparato di spionaggio cinese, sebbene il governo cinese abbia sempre negato ogni collegamento.
Tra le vittime più note dell’organizzazione nel periodo 2024-2025 figurano:
- AT&T
- Verizon
- T-Mobile
L’attacco alla pubblica amministrazione italiana rappresenta un’escalation significativa delle operazioni del gruppo nel territorio europeo.
L’impatto sulla società italiana e sui servizi pubblici
Sistemi Informatici srl, fondata nel 1979, non è una semplice azienda di tecnologia. Opera direttamente con la pubblica amministrazione ed è partner di:
- Diverse imprese italiane di primo piano
- Gruppi finanziari
- Società di telecomunicazione
- Società del settore energetico
- Istituti di credito e assicurazioni
Con sedi a Roma, Milano, Torino, Perugia e Rieti, l’azienda è specializzata in consulenza, sviluppo software, system integration, cloud e, ironicamente, cybersecurity. Molti dipendenti operano in smart working, un fattore che potrebbe aver influito sulla sicurezza complessiva dell’infrastruttura.
L’impatto di questo attacco è dunque trasversale e coinvolge milioni di cittadini italiani i cui dati personali, previdenziali e sanitari sono potenzialmente compromessi.
La risposta ufficiale di IBM e il ripristino dei servizi
IBM ha confermato l’incidente attraverso una dichiarazione ufficiale: “Abbiamo identificato e contenuto un incidente di sicurezza informatica. Continuiamo a monitorare il nostro ambiente mentre indaghiamo la questione”.
Sistemi Informatici srl ha sottolineato di aver attivato immediatamente il protocollo di sicurezza di risposta agli incidenti, coinvolgendo i principali esperti di sicurezza informatica. Secondo l’azienda, i sistemi sono stati stabilizzati e i servizi interessati ripristinati. Tuttavia, il sito web di Sistemi Informativi rimane ancora offline, e un rientro totale alla normalità non è ancora prevedibile.
Le richieste di risarcimento economico da parte dei clienti colpiti non tarderanno ad arrivare.
Precedenti attacchi alla pubblica amministrazione italiana
Questa non è la prima volta che l’infrastruttura informatica pubblica italiana subisce attacchi di grande portata:
Attacco alla Regione Lazio (2021): I dati non sono stati trafugati ma criptati dai criminali, che hanno richiesto una somma a sei zeri per il decriptaggio. Il problema era stato causato da un backup del server pubblico inspiegabilmente connesso alla rete e disponibile a chiunque. Anche se nessun dato è stato perso, i sistemi sono rimasti inaccessibili per un periodo prolungato, con gravi conseguenze per visite specialistiche, prenotazioni ospedaliere e accesso ai dati sensibili di milioni di pazienti.
Attacco alla ASL dell’Aquila (2023): Altro episodio che ha evidenziato le vulnerabilità critiche dell’infrastruttura sanitaria italiana.
Il valore dei dati nel mercato nero
Secondo i report di sicurezza informatica, i dati personali hanno un valore considerevole nel dark web. Ad esempio:
- Un passaporto viene pagato circa 35 dollari
- Dati di conto bancario hanno quotazioni ancora più alte
- Informazioni mediche e previdenziali sono particolarmente ricercate
Questo spiega perché gruppi come Salt Typhoon investono risorse significative per accedere a database contenenti milioni di record personali.
Cosa fare se i tuoi dati sono stati compromessi
Se sei un utente INPS, INAIL o cliente di servizi gestiti da Sistemi Informatici srl, è consigliabile:
- Monitorare i tuoi estratti conto bancari e le transazioni di credito
- Verificare le comunicazioni ufficiali da INPS e INAIL per eventuali notifiche di compromissione
- Considerare il blocco del tuo documento di identità presso le autorità competenti
- Iscriverti ai servizi di monitoraggio del credito se disponibili
- Modificare le password di account sensibili
Technical Deep Dive
Metodologia di attacco e vettori di compromissione
Gli attacchi APT come quelli condotti da Salt Typhoon utilizzano tipicamente una combinazione di tecniche sofisticate:
Fase di ricognizione: I criminali conducono una ricognizione estensiva dell’infrastruttura target, identificando servizi esposti, versioni di software e potenziali vulnerabilità attraverso scanning di rete, OSINT (Open Source Intelligence) e ricerca di informazioni pubblicamente disponibili.
Sfruttamento di vulnerabilità zero-day o note: Una volta identificate le debolezze, gli attaccanti sfruttano vulnerabilità non patchate o exploit noti per ottenere un primo accesso. Nel contesto di infrastrutture critiche, spesso vengono utilizzate vulnerabilità in sistemi di gestione remota, VPN o servizi esposti su internet.
Movimento laterale e escalazione dei privilegi: Dopo il compromissione iniziale, i criminali si muovono attraverso la rete utilizzando credenziali rubate, exploit di privilege escalation e tecniche di lateral movement per raggiungere sistemi critici e database contenenti dati di valore.
Estrazione dati e persistenza: Salt Typhoon mantiene la persistenza nell’infrastruttura utilizzando backdoor, webshell e account compromessi, permettendo un accesso continuativo e l’estrazione di dati su periodi prolungati.
Indicatori di compromissione (IOC)
Le organizzazioni dovrebbero monitorare i seguenti indicatori:
- Traffico di rete anomalo verso indirizzi IP cinesi o attraverso proxy/VPN
- Creazione di account utente non autorizzati o attivazione di account dormenti
- Accessi anomali a database sensibili durante orari inusuali
- Esportazione massiva di dati verso destinazioni esterne
- Modifiche non autorizzate a configurazioni di firewall e sistemi di logging
- Presenza di file sospetti in directory di sistema o directory web
Raccomandazioni per la difesa
Segmentazione di rete: Implementare una segmentazione rigorosa della rete per limitare il movimento laterale degli attaccanti. I dati critici dovrebbero trovarsi in segmenti di rete isolati con accesso strettamente controllato.
Monitoraggio e logging: Implementare un sistema SIEM (Security Information and Event Management) robusto che registri e correli gli eventi di sicurezza in tempo reale. I log dovrebbero essere centralizzati e protetti da modifiche non autorizzate.
Gestione delle vulnerabilità: Mantenere un inventario aggiornato di tutti gli asset IT, applicare patch di sicurezza tempestivamente e condurre regolari vulnerability assessment e penetration testing.
Controllo dell’accesso: Implementare principi di least privilege, autenticazione multi-fattore per accessi sensibili e monitoraggio continuo dei privilegi degli utenti.
Backup e disaster recovery: Mantenere backup offline e testati regolarmente di dati critici, con piani di disaster recovery documentati e sottoposti a esercitazioni periodiche.
Threat intelligence: Partecipare a programmi di threat intelligence per ricevere informazioni aggiornate su tattiche, tecniche e procedure (TTP) utilizzate da gruppi APT come Salt Typhoon.
