Cybersecurity

Dopo l'oleodotto americano anche Toshiba sotto attacco hacker da parte dei DarkSide

Le mire del gruppo hacker DarkSide si sono spostate sulla multinazionale giapponese, prendendo di mira la divisione che che produce fotocopiatrici e sistemi di pagamento POS.

di Biagio Simonetta

(AFP)

3' di lettura

Dopo l'oleodotto statunitense Colonial Pipeline, tocca a Toshiba. Le mire del gruppo hacker DarkSide si sono spostate sulla multinazionale giapponese, prendendo di mira la divisione che che produce fotocopiatrici e sistemi di pagamento POS.

A darne notizia è la filiale francese dell'azienda, che ha indicato il gruppo DarkSide come responsabile dell'accaduto. L'azienda nipponica ha riferito che l'attacco, di tipo ransomware – un particolare malware che blocca l'accesso ai sistemi o ai file degli utenti attaccati e chiede il pagamento di un riscatto per renderli nuovamente accessibili - ha colpito una quantità di dati di lavoro abbastanza esigua. Gli stessi dati, tuttavia, per Toshiba sono da considerarsi persi.

Loading...

Segno evidente che la leadership aziendale abbia deciso di non voler pagare il probabile riscatto proposto dagli hacker. «Dopo aver scoperto il danno, - hanno fatto sapere da Toshiba TechGroup - lo abbiamo immediatamente segnalato alle autorità europee. Il gruppo ha inoltre attuato contromisure per fermare i network e i sistemi operanti tra Giappone ed Europa, così come quelli attivi nelle sussidiarie europee, al fine di prevenirne la diffusione durante le manovre necessarie al ripristino».

L'oleodotto USA

L'attacco a Toshiba arriva a pochi giorni di distanza da quello, molto rumoroso, all'oleodotto statunitense Colonial Pipeline. Un'azione senza precedenti, quest'ultima, che ha messo ko una ragnatela di condutture di 8.850 chilometri, che garantisce quasi metà degli approvvigionamenti di carburanti della East Coast degli Stati Uniti. Con l'attacco ai sistemi informatici della Colonial Pipeline, gli hacker sono riusciti, in pratica, a paralizzate forniture per 2,5 milioni di barili al giorno di benzina, diesel e altri prodotti petroliferi, diretti dalle raffinerie del Golfo del Messico non solo verso l'area di New York ma anche a importanti centri del sud degli Usa, compreso l'aeroporto di Atlanta, il più trafficato del mondo per numero di passeggeri. E non è un caso, allora, che si parli di uno dei più gravi attacchi cibernetici mai realizzati nella storia, che ha esposto la vulnerabilità delle infrastrutture Usa in modo impietoso.

L'attacco all'oleodotto statunitense è avvenuto nella serata di venerdì 7 maggio, ma la vicenda è stata resa pubblica quasi ventiquattr'ore dopo, quando Colonial Pipeline ha dovuto comunicare di aver bloccato «alcuni sistemi per contenere la minaccia».


Colpa di Microsoft Exchange

Il caso dell'oleodotto americano, dal punto di vista informatico, pare sia riconducibile ad un mancato aggiornamento di Microsoft Exchange. L'azienda, infatti, secondo quanto trapelato qualche giorno dopo l'attacco, utilizzava una versione del software senza aver installato la nuova patch di sicurezza che il colosso di Rendmond ha rilasciato dopo le vulnerabilità riscontrate negli scorsi mesi. Una noncuranza che avrebbe consentito al gruppo hacker di entrare nei sistemi dell'azienda come una lama nel burro. Al momento, invece, non è chiaro come il gruppo criminale abbia avuto accesso ai sistemi di Toshiba TechGroup.

Chi sono i DarkSide

Secondo Toshiba, insomma, non ci sarebbero circa gli artefici degli attacchi: il gruppo cybercriminale DarkSide. Lo stesso che, secondo quanto stabilito dalla FBI in uno statement dello scorso 10 maggio, ha penetrato il network della Colonial Pipeline. Ma chi sono i DarkSide? Il gruppo è specializzato in attacchi di tipo ransomware: si insidiano nei sistemi delle vittime, ne rubano i dati sensibili e ne bloccano l'accesso. La restituzione avviene successivamente dietro un riscatto in bitcoin.

E se la vittima si rifiuta di pagare, i dati finiscono nelle mercanzie del deepweb. La loro presentazione arriva da un comunicato rilasciato dal collettivo nel dark web (e confermato dal quotidiano tecnologico Vice), dopo il caso dell'attacco all'oleodotto statunitense: «Siamo apolitici, non partecipiamo alla geopolitica, non abbiamo bisogno di legarci ad un governo definito e cercare altre motivazioni. Il nostro obiettivo è fare soldi e non creare problemi alla società. Da oggi introduciamo la moderazione e controlliamo ogni azienda che i nostri partner vogliono crittografare per evitare conseguenze sociali in futuro». Un modo per dire agli Stati Uniti che la loro azione prescinde dalla Russia, dopo le accuse di lavorare per il Cremlino.La verità, però, sembra meno chiara. Perché gli attacchi firmati da quelli di DarkSide hanno sempre obiettivi ben precisi e non hanno mai riguardato aziende russe o cinesi. Inoltre, secondo quanto scrive il sito Formiche.net, il codice malevolo che quelli di DarkSide iniettano nei computer delle vittime, controlla se la lingua impostata è il russo, nel qual caso ignora il terminale in cui si è infiltrato e passa oltre. Un bell'indizio.

Riproduzione riservata ©

loading...

Brand connect

Loading...

Newsletter

Notizie e approfondimenti sugli avvenimenti politici, economici e finanziari.

Iscriviti