print preview Ritornare alla pagina precedente Pagina iniziale

Da quel giorno è diventato diffidente

Il reclutamento di specialisti rappresenta una sfida per la Base d'aiuto alla condotta (BAC). Molte imprese IT attrattive lottano sul mercato del lavoro inaridito per aggiudicarsi i migliori talenti. È stata sfruttata questa situazione d'emergenza per sferrare un ciberattacco al capo Personale BAC, che è riuscito, almeno parzialmente.

23.09.2020 | Comunicazione Difesa, Anna Muser

DSC03109_eh
Diego Schmidlin, capo della Divisione Cyber Security (a destra nella foto), spiega al capo Personale BAC Marc Lauener come si è svolto in dettaglio l'attacco contro di lui. (Foto: VBS/DDPS)

La Divisione Esercizio fornisce servizi TIC robusti e altamente sicuri a favore dell'Esercito svizzero: in seno a tale unità organizzativa vengono sbrigati i compiti centrali della BAC. Per il posto di capo di questa divisione, a partire da gennaio 2020 Marc Lauener, capo Personale BAC, aveva cercato per alcune settimane una persona adatta ad assumere quella posizione. Il primo periodo previsto per la pubblicazione del bando di concorso, inclusa la procedura di candidatura tramite l'apposito tool online, si era già concluso, quando un candidato si è rivolto direttamente via e-mail a Lauener.

Un attacco raffinato

Il presunto candidato ha scritto che voleva candidarsi seguendo la procedura ufficiale, ma che l'opzione online era già stata disattivata. «Il testo dell'e-mail era una specie di lettera di motivazione. Il candidato sembrava promettere bene. Il numero di cellulare e il profilo LinkedIn erano indicati. Ciononostante qualcosa mi ha insospettito», afferma Marc Lauener ricordandosi della sua prima impressione. Il candidato aveva indicato di lavorare per la Liechtensteinische Nationalbank. Dato che Lauener non ne aveva mai sentito parlare, aveva fatto delle ricerche online. Come risultato appariva la Liechtensteinische Landesbank. La Liechtensteinische Nationalbank non esiste.

Un momento di imprecisione

Lauener non ha notato questa sottile differenza e ha visto confermata provvisoriamente la sua sensazione che la candidatura fosse autentica. Sensibilizzato da diverse campagne, ha comunque scelto un secondo metodo di verifica e ha consultato il profilo LinkedIn del candidato. Il profilo è apparso e collimava con il contenuto della lettera di motivazione. «Dopo questo secondo controllo, mi sentivo abbastanza sicuro e ho aperto il PDF allegato», aggiunge Lauener.

Caduto nella trappola

Tuttavia, il contenuto del documento PDF ha fatto suonare il campanello d'allarme al capo del personale. «Il curriculum vitae non era abbastanza dettagliato per il profilo richiesto. Ho decisamente avuto un brutto presentimento. Ho chiuso il documento e fatto clic sul pulsante spam», racconta Lauener. Ora doveva confidare nel fatto che i colleghi della Divisione della sicurezza avessero fatto il loro lavoro. E, in effetti, erano pronti. «Aprendo il PDF sono state attivate delle macro che avrebbero permesso agli attori di penetrare nel sistema. Tuttavia, i nostri sistemi sono ben protetti da simili attacchi e quindi l'attacco in questione non ha avuto successo», spiega Diego Schmidlin, Chief Information Security Officer presso la BAC.

Una procedura tipica

La procedura è tipica per lo «spear phishing» (vedi riquadro): viene realizzato un profilo credibile, nel caso presente avrebbero presumibilmente risposto anche chiamando il numero di cellulare indicato. Il destinatario viene così indotto ad aprire documenti inviati da un mittente sconosciuto. «Il nostro compito nella Divisione Cyber Security è quello di ovviare a questa prima disattenzione del destinatario; con diverse misure di sicurezza e di sorveglianza realizziamo una linea di difesa a più livelli», afferma Schmidlin.

Abbiamo imparato qualcosa

«Dopo questo episodio, in seno al team abbiamo discusso intensamente su come dobbiamo gestire le candidature inoltrate via e-mail; sono importanti per noi ma nascondono anche un rischio per la sicurezza», sostiene Lauener oggi. Da quel momento, il suo team è diventato ancor più prudente. «Per tale motivo mi preme raccontare questa esperienza. Ho imparato una cosa: tutti possiamo essere presi di mira», conclude Lauener.

L'«autore» era un insider

Diego Schmidlin è soddisfatto: «Ottimizziamo costantemente i nostri meccanismi di difesa. Il fatto che il capo Personale sia stato così scettico e abbia premuto il pulsante spam, ci mostra che le nostre misure di sensibilizzazione sono efficaci». E non può fare a meno di sorridere mentre lo afferma poiché questo attacco diretto contro il capo Personale era parte integrante delle misure di sensibilizzazione ricorrenti. L'attacco è quindi partito dalla stessa BAC. Gli esercizi di sensibilizzazione nell'ambito della cibersicurezza funzionano analogamente a un'esercitazione dei pompieri, quando ai fini dell'allenamento vengono evacuati edifici interi. «Chi ha fatto questa esperienza una volta, dopo rimane prudente. Poter ottenere questo effetto con un attacco simulato è molto prezioso; in tal modo aumentiamo la cibersicurezza dell'esercito», afferma Schmidlin.

Che cos'è lo spear phishing?

Mentre le e-mail di phishing non hanno destinatari concreti, gli attacchi di spear phishing sono rivolti in modo mirato contro determinate persone. Spesso i destinatari di tali e-mail sono attivi in posizioni esposte, per esempio impiegati presso il servizio del personale, che ricevono regolarmente anche messaggi di posta elettronica provenienti dall'esterno. Le candidature spontanee fanno parte della loro attività professionale quotidiana. Coloro che effettuano l'attacco vogliono accedere al PC delle vittime. Tramite macro che vengono attivate in molti programmi, ricevono l'accesso quando un documento viene aperto. Da lì cercano di procurarsi l'accesso agli account o di far uso dei diritti del destinatario per scopi personali. Gli aggressori abili evitano che il malware sia individuato da programmi di protezione eludendo in tal modo i sistemi di sicurezza. È quindi importante un coordinamento tra le diverse organizzazioni per individuare e sventare rapidamente eventuali nuove tecniche adottate dagli aggressori.