Fuga di dati riguardanti il sistema balistico nucleare Minuteman III ?

http://www.aiirsource.com/

in-warning-to-kim-jong-un-us-test-launch-nuclear-missile-minuteman-iii/

I ransomware, come sappiamo, continuano da anni a colpire indisturbati e sembra che le cose non siano destinate a migliorare, anzi.
Se è vero che si sente raramente parlare di attacchi contro strutture militari, forse anche perché difficilmente tali attacchi vengono denunciati, è anche vero che le catene logistiche e i fornitori anche delle organizzazioni militari, sono sempre più colpite forse perché considerate più deboli o semplicemente perché è più facile far cassa senza troppo rumore.
La settimana scorsa è accaduto proprio questo, la società Westech International, sub-contractor di Northrup Grumman, ha infatti confermato a Sky News di aver subito un attacco ransomware.
La società Westech International ha infatti ammesso di aver subito un attacco per mezzo del ransomware Maze a seguito del quale molti dati sono stati cifrati, con richiesta dunque di riscatto.
La cosa più preoccupante è però un aspetto secondario di quanto accaduto, infatti i dati (o parte di essi) sono stati esfiltrati per provare la veridicità dell'attacco e resi pubblici: si tratta di dati in qualche modo collegati al sistema di dissuasione nucleare LGM-30 Minuteman III ballistic missile (ICBM), in servizio negli USA.
La pubblicazione on-line di parte dei dati cifrati può infatti avere il duplice scopo di provare la veridicità di quanto fatto ad un più ampio pubblico e di affacciarsi verso potenziali clienti interessati ai dati sottratti. Secondo l'articolo si tratterebbe in particolare di elementi hacker russi che potrebbero aver collaborato con agenzie di spionaggio.
Indipendentemente da chi sia dietro l'atto in se e da quale fosse il vero obiettivo, resta il fatto che un attacco può essere perpetrato ai danni di una grande organizzazione colpendo uno degli anelli deboli della catena e la catena logistica civile è normalmente la più debole in quanto presenta una superficie d'attacco maggiore.

https://www.armscontrol.org/act/2015-07/news/

air-force-drafts-plan-follow-icbm

Mentre le procedure di lavoro, i sistemi informatici e il personale militare sono soggetti a controlli molto stringenti, non si può dire lo stesso per le società esterne, che necessitano, per la loro natura, di scambi informativi molto più frequenti con il mondo civile, dei fornitori e subfornitori, consulenti o con il mondo della ricerca, tutte cose che si traducono in debolezze.
Un altro aspetto importante del caso è da ricercarsi nella minaccia di pubblicare i dati sottratti, indubbiamente allo scopo di sollecitare il pagamento di un riscatto, probabilmente più alto del valore stesso dei dati sottratti, in considerazione della conseguente pardita di immagine, cosa ancor più importante per una società che lavora nel settore militare.
Non dimentichiamo inoltre che il sistema Minuteman III è un sistema di missili balistici nucleari distribuito sulla superficie terrestre e capace di trasportare diverse testate termonucleari ad una distanza di circa 10.000 km per mezzo di missili balistici capaci di raggiungere velocità prossime a MAC 23 (ovvero 28.176 km/ora).
La perdita di informazioni sul sistema Minuteman III è dunque considerabile come una grave compromissione del sistema di deterrenza nucleare americano, basato come noto, su tre pilastri: terrestre (Minuteman III), aereo: armi nucleari trasportate da bombardieri strategici, navale: missile balistico Trident lanciato dai sommergibili nucleari.
L'impiego dei sistemi digitali informatici presenta infatti sempre più spesso il conto sotto forma del cosiddetto capability-vulnerability paradox, ovvero l'aspetto negativo legato all'eccessivo sviluppo digitale che fa si che più i sistemi siano interconnessi e digitalizzati e maggiori siano i rischi cyber da affrontare. La digitalizzazione e informatizzazione da una parte porta i benefici legati alla maggiore capacità di raccolta e trattamento di dati ma allo stesso modo porta tutti i rischi legati all'impiego delle tecnologie suddette.
Sophos, in uno studio spiega in dettaglio il funzionamento del ransomware Maza, mentre in un altro studio, "The State of Ransomware 2020" indica chiaramente che una buona poitica di backup è in linea di massima la scelta migliore per poter ripristinare i dati cifrati senza pagare alcun riscatto.

Naturalmente la cosa funziona se i dati non vengono esfiltrati, caratteristica di Maze, che unisce alla cifratura il fattore reputazionale legato alla minaccia di diffusione dei dati esfiltrati.

Come al solito: fatta la legge, trovato l'inganno!

Alessandro Rugolo


Per approfondire:
- https://news.sky.com/story/hackers-steal-secrets-from-us-nuclear-missile-contractor-11999442
- https://nakedsecurity.sophos.com/2020/06/04/nuclear-missile-contractor-hacked-in-maze-ransomware-attack/
- https://news.sophos.com/en-us/2020/05/12/maze-ransomware-1-year-counting/
- https://cybersecurityreviews.net/2020/06/08/nuclear-missile-contractor-hacked-in-maze-ransomware-attack/