Sono venuto a conoscenza questa mattina, di un fatto particolarmente grave e importante, che riguarda l’Italia, tramite questo tweet di Marco Govoni:
Cosa è successo?
Si, avete letto bene, si tratta di un data leak della nostrana SO.G.I.N. (Società di Gestione degli Impianti Nucleari), confermato dalla stessa società il 13/12/2021 come da aggiornamento riportato in basso. Presunto perché al momento, l’intera analisi di questo post è basata su ciò che si è appreso da questo tweet in poi, tramite chi rivendica il possesso dei dati, ma senza avere verifiche ufficiali da parte della società che non ha mai emesso comunicati (nell’ultimo periodo) di eventuali attacchi informatici o fughe di dati (il comunicato ufficiale è parte dell’aggiornamento di questo articolo del 13/12 riportato sotto).
Questo non è stato un ostacolo alla voglia di iniziare le prime indagini sull’accaduto. Per cui approfondendo anche tramite gli screenshot di Claudio, possiamo notare che sul noto forum underground RaidForum, durante le prime ore di questa mattina, è apparso il primo annuncio di questo data breach.
Andando a fondo sulla vicenda inaugurata da zerox296, che rivendica il possesso di 800 GB di dati della società italiana, vediamo che li mette in vendita a 250.000 dollari in XMR (criptovaluta Monero). L’utente appena menzionato è lo stesso attore che a luglio si è occupato della grossa azienda saudita Aramco anch’essa operante nel settore industriale dell’energia (per la gestione del petrolio).
Continuando a seguire l’ipotesi dell’incidente informatico, sono venuto a conoscenza, tramite anche la pubblicazione da parte di ArvinClub, che lo stesso attore ha inserito un annuncio molto simile anche su un secondo forum underground, stavolta di lingua russa, noto come XSS. A livello investigativo ovviamente mi sono subito interessato di scaricarne tutti gli eventuali samples per analizzarli e capire di cosa si tratta.
L’annuncio è pressoché identico a RF, se non fosse che qui il sample è più completo e riporta più documenti dimostrativi dell’effettivo leak.
Su RaidForum infatti gli screenshot rilasciati, sembrano tutti collegati ad un unico vecchio progetto di SOGIN, risalente al 2016 denominato CEMEX, che ha avuto una certa ripercussione pubblica e dunque a prima vista potrebbe far pensare a una truffa tipica di questo genere di forums. Ma confrontando il sample di RaidForum con quello di XSS (più completo appunto), si evidenziano anche documenti recenti, non collegati al progetto CEMEX e riferibili anche al 2020.
La società in data odierna ha emesso il comunicato sull’accaduto, fornendo il dettaglio della conferma dell’attacco informatico subito.
Roma, 13 dicembre 2021. Sogin comunica che ieri ha avuto evidenza di un attacco hacker al suo
sistema informatico.
La Società ha immediatamente informato le Autorità competenti con le quali sono state messe in atto
le procedure per porre rimedio all’accaduto e verificare l’eventuale violazione di profili collegati alla
privacy e alla sicurezza dei dati.
Sogin rappresenta che la sicurezza sia nucleare che convenzionale degli impianti e la loro operatività è
sempre stata garantita.
Seguiranno qui gli sviluppi della vicenda.
Basandoci sul contenuto listato sul file di testo appena citato, il lasso di tempo coperto da questi ipotetici 800 GB va dal 2004 a tutto il 2020. Ci sono anche numerosi file del 2021 fino alla data del 11/12/2021, ma ho modo di pensare che non siano files facente parte dell’archivio rubato, ma directory e file di indicizzazione creati dal sistema utilizzato per la manipolazione di questo leak, in occasione di una spostamento o manipolazione dell’archivio di altro genere, effettuata in data di ieri.
Resta comunque chiaro che anche solo 16 anni di archiviazione, in una società come la SOGIN, partecipata dal MEF e collegata alle più grandi e importanti aziende strategiche del Paese (fino al 2020 è cliente di Leonardo SpA prima Finmeccanica, con collaborazione di anni che ho verificato almeno dal 2015; poi Engineering SpA, con la quale collabora tutt’oggi; SAIPEM e tante altre), non è poi un fatto di poco conto.
Cosa contiene?
Tra di due samples notiamo che vengono diffuse informazioni abbastanza interne della società, come foto degli impianti, foto interne dei dipendenti (scattate in occasione di riunioni o eventi interni), cartografie di progetti e siti geografici di interesse per la società.
Come detto ci sono anche dati riferiti a operazioni più recenti, che potrebbero dimostrare (se verificati dalla società), l’effettiva autenticità del furto, in quanto non riferiti tutti a un unico progetto, ma pescati “random” da una più grossa quantità di file (appunto gli 800 GB promessi).
Perché SOGIN è sensibile e questa vicenda è importante?
Sulla prima riga delle risposte a questa domanda, metto sicuramente questo motivo: SOGIN è MEF (Ministero Economia e Finanze). Non è importante che siano stati condivisi dati in un sample di qualche foto, apparentemente non importante. E’ molto rilevante che ci siano 800 GB di dati, rubati, di una società come SOGIN collegata al 100% al MEF italiano e a una serie di aziende strategiche per il Paese (come Engineering, interessata peraltro in attacco informatico nel mese di agosto, riconducibile a LazioCrea con la vicenda dell’hub vaccinale di Regione Lazio).
Negli 800 GB infatti possono esserci dati anche molto più rilevanti di quelli diffusi nel sample, sensibili per l’attività che la SOGIN svolge (che già è tanto), e sensibili per lo Stato a giudicare dai collegamenti che la società ha con punti strategici del nostro governo (es. MEF).
A completamento dei vari sample, zeroX ha diffuso anche un elenco, all’interno di un file di testo, della dimensione di 95 MB (solo per un unico file di testo), contenente 473.000 righe, ciascuna delle quali riporta il file che è stato esfiltrato dai sistemi SOGIN.
Da una prima analisi del contenuto di questo file, notiamo dati di uso comune di un PC, quasi casalingo direi, come foto personali, ricevute di pagamento, liste movimenti bancari, ma anche codici fiscali (probabilmente di collaboratori/dipendenti) e purtroppo anche file contenenti dati di Login o Password e chiavi di accesso a determinati software (proprio ieri ho parlato di gestione delle password per il caso RDS).
La prima cosa da segnalare al lettore è quindi la scarsa igiene digitale anche all’interno di realtà di questa entità e di questa sensibilità strategica per lo Stato. Nel 2021 (quasi 2022) non è concepibile per qualsiasi attività avere all’interno dei propri computer dati di questo genere, ancora di più per quelle società che sono parte integrante dello Stato e che per esso (grazie a generose partecipazioni) svolgono attività strategica di rilievo come la gestione di siti e rifiuti nucleari.
Procedendo con l’analisi capiamo anche che si tratta di un computer di lavoro e non una macchina ad uso personale, da tutti i file di sistema elencati, riconducibili a vari sistemi industriali, non utilizzati in ambito casalingo. C’è infatti per esempio tutto il necessario a far funzionare una workstation WindChillDS, prodotto di PTC, utilizzato proprio a livello industriale per il monitoraggio di impianti e la collaborazione tra colleghi di un determinato team di sviluppo per la gestione delle varie fasi progettuali.
L’importanza di SOGIN
La società italiana, oltre ad essere direttamente partecipata dallo Stato, è di grande interesse internazionale per via delle attività svolte (gestione del nucleare appunto), con collegamenti in Russia (personale e uffici a Mosca), e negli Stati Uniti, per vari progetti di import/export di rifiuti nucleari.
Inoltre personale di spicco di SOGIN, scienziati di livello internazionale, sono stati il centro delle polemiche per le azioni sul cambiamento climatico. Dal 2019 fino al 2021 infatti, tra i firmatari della petizione indirizzata all’Unione Europea, per la dimostrazione dello stato di non emergenza in ambito climatico, troviamo proprio lo scienziato Ugo Spezia, Ingegnere, Responsabile Sicurezza Industriale, SoGIN. Fatto curioso che ci fa pensare che tra i promotori delle non emergenza climatica c’è proprio personale dipendente di una delle società fondamentali allo smaltimenti dei rifiuti nucleari che, presumibilmente avrebbe qualche determinato interesse a promuovere la causa (ma questa è una considerazione personale).