Raymond Pompon, Direttore degli F5 labs, spiega quali sono i cinque aspetti maggiormente critici che dovrebbero essere presi in considerazione
Dopo aver affrontato un’ondata di frodi e crimini informatici che hanno sfruttato la pandemia, cosa possiamo aspettarci dai rischi legati alle campagne vaccinali appena iniziate in tutto il mondo? A mio avviso, sono cinque gli aspetti maggiormente critici che dovremmo considerare:
1. Spionaggio informatico per rubare i dati sui vaccini
Un vaccino sicuro ed efficace rappresenta una proprietà intellettuale di valore. Al di là della formula farmaceutica, anche i dati sui trial e sugli studi clinici possono essere informazioni preziose per un’organizzazione che lavora per sviluppare il proprio farmaco. Oggi, le diverse Potenze competono per sviluppare e assicurarsi un vaccino efficace, per questo motivo questi dati sono un obiettivo senz’altro allettante e, purtroppo, abbiamo già assistito ad attacchi di questo genere.
Alla fine del 2020, alcuni hacker nordcoreani hanno colpito il produttore di vaccini AstraZeneca nel Regno Unito utilizzando lo spear phishing tramite social media per cercare di diffondere malware attraverso i documenti delle job description pubblicate online; durante l’estate è stato sventato un ulteriore tentativo di furto del vaccino ad opera di alcuni cybercriminali russi.
In questo scenario, sono gli hacker più capaci, ovvero quelli che lavorano per gli stati nazionali o sono stati da loro ingaggiati, ad andare a caccia di dati sui vaccini. Il supporto degli stati nazionali li rende la minaccia più pericolosa ed economicamente equipaggiata che le organizzazioni possano oggi affrontare.
L’obiettivo di questi aggressori è l’accesso non autorizzato ai dati relativi alle ricerche in corso, allo sviluppo e alla produzione di farmaci, ai documenti e ai test clinici.
Le strutture di ricerca sanitaria e farmaceutica sono dotate di elevati controlli di sicurezza per proteggere la loro proprietà intellettuale e, proprio per questo, gli attacchi spesso prendono di mira i loro partner commerciali e le terze parti che possono invece essere più carenti dal punto di vista della difesa informatica.
La probabilità che si verifichino altri casi di spionaggio informatico sui vaccini è alta, dato che abbiamo già assistito ad attacchi che colpiscono le organizzazioni di ricerca, le istituzioni accademiche, i laboratori biomedici, le aziende farmaceutiche, gli ospedali e i produttori di farmaci.
2. Sabotaggio delle campagne vaccinali
Nell’ottobre 2020, un grande produttore di software per la sperimentazione clinica statunitense coinvolto nei test di alcuni farmaci per il coronavirus ha subito un attacco ransomware, e dozzine di attacchi ransomware e malware colpiscono regolarmente gli ospedali.
Dobbiamo considerare che anche i sistemi di raffreddamento richiesti per la conservazione dei vaccini sono vulnerabili ai cyberattacchi, soprattutto se collegati a sistemi IoT. Come abbiamo visto nel corso degli anni, questo genere di dispositivi dispone di controlli di sicurezza molto scarsi ed è spesso infettato da malware. Abbiamo già assistito a un attacco ad opera di attivisti no-vax volto a sabotare fisicamente i sistemi di raffreddamento dei vaccini, sfruttando proprio il fatto che la manomissione dell’IoT è tanto facile da portare a termine quanto difficile da tracciare.
I criminali informatici, inoltre, potrebbero trarre un guadagno consistente rallentando o addirittura paralizzando la catena di distribuzione dei vaccini, e sarebbe altrettanto facile per gli stati nazionali concorrenti avvalersi di ransomware (o pagare dei criminali informatici) per colpire una nazione e frenare la ripresa economica post pandemia. Ora più che mai i piani vaccinali sono essenziali al pari di tutte le altre infrastrutture critiche di un Paese.
I sabotatori dei vaccini sono altamente motivati e ben finanziati e i nuovi ransomware in circolazione sono più veloci, intelligenti e pericolosi rispetto al passato. Chi attacca si adopererà per negare l’accesso ai dati e alle risorse informatiche più critiche, sia a breve termine per assicurarsi il pagamento del riscatto, sia anche nel lungo periodo per ostacolare l’avvio delle campagne vaccinali.
Molte strutture prese di mira sono ben protette e consapevoli delle minacce IT ma, ancora una volta, saranno le terze parti con cui queste si interfacciano a rappresentare il potenziale tallone d’Achille, soprattutto le strutture cliniche più piccole, le farmacie al dettaglio, le amministrazioni regionali e altre entità con ridotte capacità di cybersecurity, che sono oggi vittime potenziali.
3. Campagne di disformazione che sfruttano i dati rubati sui vaccini
Sempre nell’ottobre del 2020, il Centre for Countering Digital Hate ha affermato che 50 milioni di persone seguono le community no-vax sui social media. Nel gennaio del 2021, i dati normativi relativi al vaccino COVID-19 sono stati rubati da alcuni hacker presumibilmente proprio per alimentare le campagne di disinformazione.
In passato gli F5 Labs avevano già approfondito come la tecnica del doxing, ovvero la diffusione non autorizzata di informazioni private o personali, venisse utilizzata dagli hacktivisti per intimidire o intralciare un avversario. Abbiamo anche osservato come i leaker siano in grado di diffondere email attentamente curate e incriminanti o documenti riservati che possono essere utilizzati contro organizzazioni o personaggi pubblici, e a volte modifichino i dati sui vaccini trapelati prima della pubblicazione, nel tentativo di disseminare disinformazione.
4. Ladri informatici di vaccini
I cybercriminali più abili sono certamente quelli legati agli stati nazionali, che utilizzano e diffondono la disinformazione per rallentare le campagne vaccinali dei Paesi rivali. Ci sono poi anche i no-vax che, al contrario, tendono ad agire come “cani sciolti”. È importante notare come quest’ultimo movimento non sia spiegabile solo come effetto collaterale della paura o dell’ignoranza, ma si colleghi direttamente a una questione di profitto. Ci sono, infatti, individui e gruppi che tentano di screditare i vaccini allo scopo di vendere le proprie terapie mediche alternative.
In questi casi, l’obiettivo degli aggressori è di violare i dati riservati con l’intento di modificarli per influenzare le opinioni e manipolare la divulgazione delle notizie. Gli asset presi di mira sono gli stessi dei criminali di spionaggio informatico: dati di ricerca, test clinici e sui virus che evidenziano gli effetti collaterali o i potenziali rischi correlati. Anche in questo caso la maggior parte delle organizzazioni prese di mira sono tendenzialmente soggette a regolamentazione e protezione della proprietà intellettuale, ma le connessioni con terze parti possono inevitabilmente far espandere il perimetro di attacco e gli account privati dei singoli ricercatori, come le e-mail personali, rappresentano anch’essi potenziale materiale che gli aggressori potrebbero utilizzare per influenzare l’opinione pubblica.
5. Hackeraggio dei sistemi di gestione degli appuntamenti per la vaccinazione
In questo specifico caso i criminali informatici sono individui dotati di abilità di hacking che cercano di vendere illecitamente l’accesso al vaccino. Le loro capacità sono modeste e non così avanzate come nei casi precedenti dal momento che seppur tramite questo genere di attacco rimangano profitti da realizzare, questi non sono così redditizi come altri schemi di criminalità informatica. L’obiettivo finale è quello di infiltrarsi nel sistema di prenotazione dei vaccini con modifiche non autorizzate o aggiunte illecite alla lista d’attesa.
Il controllo dei sistemi di prenotazione e registrazione per la somministrazione dei vaccini variano notevolmente a seconda del Paese, della regione, dei sistemi scelti, ma in generale sono abbastanza elevati, considerando che anche in questo caso si tratta di sistemi medici regolamentati.
Tuttavia, anche in questo campo, evidenze concrete di attività criminali stanno iniziando ad emergere. Ad esempio, un’organizzazione sanitaria del Michigan ha recentemente cancellato 2.700 appuntamenti per la somministrazione del vaccino anti Covid-19 dopo che una falla ha permesso alle persone di saltare la fila delle prenotazioni. Il tentativo è fallito e la probabilità che attacchi simili abbiano effettivamente successo è tendenzialmente molto bassa. Al contrario metodi meno “tracciabili” per ottenere l’accesso anticipato ai vaccini come i tentativi di corruzione del personale sanitario rimangono i più probabili.
In conclusione, possiamo notare come vi sia un aspetto comune a tutti questi casi: qualsiasi organizzazione e azienda che abbia un ruolo attivo nella catena di approvvigionamento dei vaccini è un potenziale obiettivo e deve di conseguenza ripensare al più presto i propri sistemi di sicurezza, rafforzandone le difese.
Tutto questo, a mio avviso, non significa perdere tempo nel cercare di capire come pensano gli aggressori, perché anche se potessimo comprenderne perfettamente intenzioni e metodi, sappiamo che queste cambierebbero costantemente. La strategia migliore resta quindi quella di valutare i tipi più probabili di attacchi che ogni sistema e risorsa potrebbe affrontare, e costruire di conseguenza le proprie difese.