L’attacco hacker alla Colonial Pipeline

Ne ha parlato perfino il presidente Joe Biden: in televisione, di fronte a tutti i cittadini, ha promesso di agire con fermezza e rapidità all’attacco al grande oleodotto della Colonial Pipeline da parte di un gruppo di hacker identificato come DarkSide. Il presidente ha definito quest’aggressione, che ha bloccato quasi metà delle consegne di carburante nelle regioni orientali degli Stati Uniti, un “atto criminale da prendere molto seriamente”, aggiungendo inoltre di non avere prove o indicazioni di responsabilità da parte della Russia, per quanto DarkSide si esprima in lingua russa e pare abbia sede proprio nell’ex Unione Sovietica. Sul suo sito, accessibile tramite il dark web, questa organizzazione offre un vero e proprio servizio di sviluppo di malware agli hacker, che possono lanciare i loro attacchi, pagando poi una percentuale dei riscatti incassati. All’indomani dell’attacco alla Colonial Pipeline, DarkSide ha osservato, quasi scusandosi, che il suo obiettivo primario sarebbe quello di guadagnare dei soldi e non di creare problemi alla società. Ha quindi annunciato di voler moderare gli attacchi, controllando con maggiore attenzione i suoi partner e clienti, per evitare che in futuro si creino altri gravi problemi sul piano sociale. Pare anche che negli ultimi mesi questa organizzazione abbia donato decine di migliaia di dollari in beneficenza. Alcuni commentatori hanno ironicamente definito “confortante” questo atteggiamento: si tratterebbe, insomma, di un gruppo di cyber criminali che ha molto a cuore la propria responsabilità sociale.

In ogni caso, quello alla Colonial Pipeline non è certo il più grave caso di ransomware registrato, soprattutto negli Stati Uniti. Il malware noto come NotPetya, che ha colpito il mondo intero nel 2017 e fu scatenato da un software presumibilmente di origine ucraina, è costato complessivamente una decina di miliardi di dollari, secondo quanto calcolato degli esperti della Casa Bianca. 

Lo scorso dicembre, inoltre, un attacco a SolarWinds, una delle principali società di information technology in Texas, è passato inosservato per mesi e ha avuto quindi la possibilità di diffondersi tra i clienti della compagnia: gli hacker sono stati così in grado di impossessarsi delle informazioni vitali di molte società private e perfino del Dipartimento Federale della Sicurezza interna. 

Si è trattato di un attacco con conseguenze assai meno drammatiche rispetto a quello perpetrato nei confronti della Colonial Pipeline, ma SolarWinds gestisce la sicurezza e l’amministrazione di circa 300mila aziende in tutto il mondo, tra cui Microsoft, il dipartimento del Tesoro degli Stati Uniti e persino la società di sicurezza informatica FireEye. Il governo americano ha ripetutamente accusato la Russia di essere il mandante dell’attacco a SolarWinds. Non esistono prove sicure al riguardo, ma il fatto che gli hackers non abbiano chiesto denaro, preferendo impadronirsi delle informazioni delle loro vittime, conferisce una notevole credibilità a questa tesi. 

Il 7 maggio scorso, però, i cyber criminali hanno colpito direttamente il cuore dell’economia degli Stati Uniti, attaccando il principale gasdotto che trasporta carburanti verso la costa orientale della federazione e provocando un vero e proprio salto di qualità nella percezione del governo americano sulle problematiche legate alla sicurezza informatica. La società Colonial Pipeline gestisce il trasporto del petrolio dalle raffinerie della costa del Golfo alle aree metropolitane di New York, Washington e Atlanta, con un percorso di oltre 5mila miglia, e fornisce quasi la metà di tutta la benzina e il gasolio che vengono consumati sulla costa orientale, uno dei territori più densamente popolati della federazione. In pratica, si tratta del maggiore fornitore di carburanti negli Stati Uniti, con una produzione di oltre 100 milioni di galloni al giorno.  

Il gasdotto della società colpita è rimasto chiuso per alcuni giorni, finché non è stato pagato agli hackers un riscatto di oltre quattro milioni di dollari, ma non è ancora chiaro a quanto ammonti la perdita economica complessiva causata dallo shut-down.

Il dipartimento dei Trasporti ha dichiarato lo stato di emergenza in 18 Stati, oltre a quello di Washington DC, a causa dell’imprevista interruzione della fornitura di benzina, diesel, carburante per aerei e altro petrolio raffinato, negli stati colpiti. Anche la Carolina (sia del Nord che del Sud) e la Virginia hanno dichiarato lo stato di emergenza. Il blocco della fornitura ha determinato un aumento dei prezzi dei carburanti, ma non è possibile stabilire quanto lo stesso dipenda dall’attacco o sia stato semplicemente causato dalla lungamente attesa riapertura dell’economia statunitense dopo la crisi generata dalla pandemia. 

Il ceo di Colonial Pipeline, Joseph Blount, ha comunque confermato di aver autorizzato il pagamento del riscatto richiesto dagli hacker, per ripristinare il funzionamento dell’arteria energetica e impedire la diffusione del malware attraverso i sistemi della compagnia. In un’intervista al Wall Street Journal, il manager ha ammesso di aver preso questa controversa decisione nell’interesse del Paese, per rimettere in funzione il gasdotto. L’esatto importo pagato ammonterebbe a circa 75 bitcoin. Come avviene in questi casi, una volta pagato il riscatto richiesto, la Colonial Pipeline ha ricevuto in cambio il software di decrittazione.

Pare che la società abbia stipulato una polizza cyber con Axa, ma non si conoscono i dettagli relativi alla copertura prestata. In particolare, è abbastanza improbabile che l’ammontare del riscatto venga risarcito. Pochi giorni prima dell’attacco all’oleodotto americano, infatti, la grande compagnia francese ha sospeso l’operatività di questa particolare estensione di garanzia, introdotta a partire dal 2020, basandosi sul fatto che la stessa non farebbe che agevolare i comportamenti criminali degli hackers.

La decisione di Axa ha scatenato una vera e propria polemica nel mercato cyber francese, che varrebbe circa 130 milioni di euro. Altre compagnie come Generali, ad esempio, hanno sempre escluso dalla copertura il pagamento dei riscatti, non volendo alimentare un sistema criminale. Il pagamento del riscatto, inoltre, non garantisce in alcun modo il rilascio dei dati estorti o la scomparsa del virus, che può sempre essere riattivato. La filiale francese di Hiscox, invece, copre anche questa garanzia e ha annunciato di non voler cambiare la sua politica, sia per sottolineare la differenza della sua offerta, che per il fatto che nel mercato inglese i riscatti e le estorsioni sono regolarmente oggetto di copertura. Ricorderemo che il mercato italiano è generalmente allineato alla decisione di Axa, dal momento che la copertura di un’attività criminale non è consentita nel nostro sistema giuridico.

Tornando all’attacco alla Colonial Pipeline, la preoccupazione creata dalla mancanza di approvvigionamenti di carburante ha accresciuto l’allarme per gli attacchi alle infrastrutture chiave, già diffuso dopo che nel 2017 il ransomware WannaCry provocò un blocco dei sistemi informatici di ospedali, banche e compagnie telefoniche. 

Molte amministrazioni cittadine degli Stati Uniti, tra cui Baltimora, sono state anch’esse colpite dai cyber criminali e l’Fbi ha riferito che nel 2017 un gruppo sponsorizzato dal governo russo e chiamato Dragonfly o Energetic Bear avrebbe ottenuto l’accesso alle sale di controllo delle aziende elettriche statunitensi.

In breve, l’infezione alla Colonial ha evidenziato l’estrema vulnerabilità dell’infrastruttura critica del Paese e l’amministrazione del presidente ha annunciato la creazione di un fondo di 20 miliardi di dollari per potenziare le infrastrutture energetiche e contribuire alla modernizzazione dei sistemi informatici in tutta la federazione. Le amministrazioni locali potranno richiedere sovvenzioni per adeguare i propri sistemi, ma dovranno dimostrare di avere in programma di installare “tecnologie in grado di rilevare e bloccare attività cibernetiche dannose sulle reti informatiche e tecnologiche operative”.  L’investimento farebbe parte di un provvedimento ancora più ampio, da 2 trilioni di dollari, che Biden avrebbe firmato la scorsa settimana per migliorare la sicurezza informatica della nazione. Si tratta di un’operazione ad ampio raggio, che include la creazione di un comitato di revisione della sicurezza informatica che si riunirà dopo i principali incidenti. Del consiglio faranno parte membri dei dipartimenti della Difesa e della Giustizia, diverse agenzie di sicurezza e specialisti del settore privato.