Il 28 luglio, Orange – il più grande operatore di telecomunicazioni francese – ha confermato un attacco informatico contro i propri “sistemi informativi”. L’allerta, lanciata tramite i canali ufficiali dell’azienda e amplificata dai media francesi, è stata classificata come “niveau rouge”, il livello di allerta più elevato previsto dal framework di risposta alle crisi di sicurezza IT in Francia. L’Agenzia nazionale per la sicurezza dei sistemi informativi (ANSSI) è stata immediatamente coinvolta nelle operazioni di contenimento.
La terminologia utilizzata da Orange – “systèmes d’information” – lascia intendere che l’attacco non abbia colpito solo infrastrutture di front-end o portali pubblici, ma si sia rivolto a componenti più critici: piattaforme di gestione interna, directory utente, sistemi ERP o persino backbone IP utilizzati per il trasporto dati B2B e wholesale.
Mentre l’azienda ha precisato che le reti mobili e fisse sono rimaste funzionanti, è stato registrato un rallentamento in alcuni servizi digitali, un segnale che richiama potenziali scenari di attacco ransomware con crittografia selettiva di asset core, o in alternativa a un’esfiltrazione massiva di dati che ha richiesto l’isolamento di segmenti di rete.
Potenziali threat actor: una pista russa?
Sebbene Orange non abbia ancora rilasciato dettagli tecnici pubblici né attribuzioni ufficiali, alcune fonti OSINT suggeriscono correlazioni con gruppi ransomware affiliati al panorama russofono, in particolare Storm-1811 (ex FIN12) o Black Basta, entrambi noti per attacchi contro infrastrutture critiche e grandi conglomerati europei. Questi gruppi operano secondo un modello di double extortion, che prevede la crittografia dei dati e la successiva minaccia di pubblicazione su data leak site.
In passato, Black Basta ha colpito obiettivi simili, tra cui aziende nel settore delle telecomunicazioni e operatori di servizi IT gestiti in Europa centrale. Gli indicatori tecnici noti includono dropper come winupdate.exe, l’uso di Cobalt Strike come loader e beaconing verso IP legati a AS202425 (GlobalLayer) o a bulletproof host olandesi e bulgari. Nelle compromissioni analizzate da Mandiant e Recorded Future, sono emersi i seguenti IoC:
SHA256: a94f69a7cf2d1dc770b9d44d28f6fd4e92e59cf27e49f245e1dcbb274c75f181
IP: 185.225.73.244
Domain: cloudstorage-sync[.]com
C2 Beacon: /ajax/callback.php
Nel caso di Orange, fonti non confermate hanno individuato traffico anomalo verso subnet correlate ad AS9009 (M247), spesso utilizzate da threat actor russi per staging temporaneo dei payload.
Vector di attacco e possibili vulnerabilità sfruttate
Vista la natura dell’attacco, si ipotizza l’uso di credenziali privilegiate compromesse tramite phishing avanzato o session hijacking, oppure l’esposizione di interfacce di management vulnerabili. La superficie di attacco di una realtà come Orange è vasta, ma i precedenti incidenti nel settore indicano spesso:
- exploit di Citrix ADC (CVE-2023-3519) per accesso remoto iniziale;
- weaponizzazione di Zimbra o Exchange tramite vulnerabilità zero-day (es. ProxyShell);
- persistence tramite modifiche a GPO o creazione di account shadow Active Directory.
In un’analisi forense condotta su incidenti simili in Europa, è emersa anche l’adozione di tool come Impacket e PsExec per il movimento laterale post-exploitation, oltre all’uso di Veeam e backup manager come canale per esfiltrazione dati compressi in .7z e upload via Rclone o MegaCMD.
Implicazioni sistemiche e geopolitiche
L’attacco ad Orange arriva in un momento critico, con la Francia coinvolta in un’elevata attività geopolitica legata al cyberspazio, tra tensioni NATO e pressioni sul piano interno in vista delle Olimpiadi. L’ANSSI aveva già diramato nel mese di giugno un bollettino che avvertiva di una “offensiva silenziosa” contro le infrastrutture digitali francesi, con particolari menzioni a gruppi sponsorizzati da Stati come APT28 (Fancy Bear) e NoName057(16), entrambi attivi in campagne DDoS, defacement e spear phishing.
Orange, in quanto gestore di infrastrutture backbone, è anche parte di molte reti transfrontaliere, e qualsiasi compromissione dei suoi sistemi informativi rappresenta una minaccia non solo nazionale ma paneuropea. Gli operatori del CERT-FR e dell’ENISA sono già al lavoro per condividere IoC ed effettuare una mappatura delle dipendenze digitali con potenziale impatto su altri soggetti pubblici e privati.
La rapidità di reazione da parte di Orange e il coinvolgimento dell’ANSSI evidenziano la crescente maturità del sistema francese di gestione delle crisi cyber. Tuttavia, la natura ancora opaca dell’attacco solleva interrogativi sulla trasparenza e sulla capacità delle grandi telco di segmentare adeguatamente i propri asset critici. Resta fondamentale, in un contesto di minaccia persistente, rafforzare le pratiche di threat hunting proattivo, testare regolarmente le policy di backup air-gapped e investire nella detection precoce di attività di beaconing e data staging, anche in assenza di payload criptanti evidenti.
In attesa di aggiornamenti ufficiali, la comunità threat intel dovrà continuare a osservare i canali dei leak site ransomware, i nuovi TTP emergenti in Europa occidentale e le correlazioni tra compromissioni infrastrutturali e manovre geopolitiche più ampie.
💬 Hai notato qualcosa che ci è sfuggito? Un IoC sospetto, una firma che riconosci, o semplicemente un’ipotesi da lanciare? Vieni a parlarne con noi sul forum Ransomfeed 🧠
🔥 La community è già al lavoro e ogni idea può accendere nuove piste!