Cybercrime nell’healthcare, i principali attacchi del 2020

Con la corsa ai vaccini e terapie anti-Covid, il 2020 è stato contraddistinto da una sequela di attacchi informatici a centri di ricerca sparsi in tutto il mondo

Con l’emergenza Covid e l’attivazione dell’imponente macchina di ricerca e sviluppo per terapie e vaccini, i pirati informatici hanno trovato terreno fertile per le proprie attività. E non parliamo di gruppi criminali isolati, ma anche di vere e proprie organizzazioni che alle spalle hanno il benestare dei governi. Perché le guerre, come si sa, non si combattono solo a colpi di arma da fuoco o sgambetti finanziari, bensì anche con lo spionaggio industriale attraverso le pieghe del web. Nel corso dei mesi di questo funesto 2020 i vari governi si sono rimpallati le varie responsabilità e le accuse reciproche non sono mancate. Gli Usa e l’Europa hanno accusato più volte Cina e Russia le quali, manco a dirlo, hanno rispedito al mittente le provocazioni. Sta di fatto che, nei fatti, i data breach sono stati rilevanti sia per numero che per importanza. Neanche a farlo di proposito, gli obiettivi principali sono state le aziende farmaceutiche e le loro ricette segrete per i preparati anti-Covid.

Gli esordi: vaccini fasulli in vendita

Cominciando dagli attacchi di gennaio e di cui si è venuti a conoscenza solo di recente che hanno coinvolto a più riprese istituzioni e imprese, a maggio, quando la ricerca di un vaccino era solo a livello embrionale, nel dark web già giravano prodotti fasulli spacciati come rimedio anti Sars-Cov2 e messi in vendita, secondo alcuni dati raccolti da CybergON, business unit di Elmec informatica dedicata alla cybersecurity, a 400 dollari. Pubblicizzati anche, tra l’altro, prodotti al plasma di pazienti Covid-19 a 1700 dollari.

Offensiva negli Usa e Inghilterra

Ma il primo vero attacco di spionaggio industriale e governativo accade a luglio. Il gruppo Cozy Bear, conosciuto anche come Atp29 e legato, apparentemente, ai servizi segreti russi, viene subito indicato come responsabile a una serie di data breach nei laboratori di Usa, Canada e Regno Unito. A differenza di precedenti attacchi legati al furto di credenziali attraverso malware, in quell’occasione è stata sfruttata la vulnerabilità dei sistemi CVE-2019-19781 Citrix e CVE-2019-11510 Pulse Secure VPN. Episodi non dissimili da quelli registrati a gennaio. Dopo i russi, anche i cinesi vengono accusati di spionaggio. Pochi giorni dopo, infatti, il 21 luglio, i due esperti informatici Jiazhi Dong e Xiaoyu Li entrano nei server di alcune aziende coinvolte nell’elaborazione di un vaccino. A copertura del loro operato, secondo gli americani, l’intelligence cinese. I due, però, non erano sconosciuti agli invetigatori. Sia Dong che Li erano stati accusati di aver rubato brevetti industriali da Spagna, Olanda, Regno Unito, Svezia, Germania e Giappone.

Le denunce di Microsoft

Dopo mesi di apparente calma, Microsoft lancia l’allarme a novembre e denuncia le attività illecite di Nord Corea e Russia per nuovi attacchi all’indirizzo di Usa, Canada, Francia, Corea del Sud e India. Colpevole numero uno è l’organizzazione russa Strontium a cui si affiancano anche le nordcoreane Zinco e Cerium.

Obiettivo Astrazeneca

Con il vaccino ormai in dirittura d’arrivo e pronto per le valutazioni delle agenzie regolatorie, il 27 novembre è il turno di Astrazeneca ad essere colpita da un attacco cyber. La società anglo-svedese lamenta il tentativo da parte di pirati nordcoreani di rubare i dati del loro vaccino senza Rna attraverso tecniche di ingegneria sociale (furto di dati di dipendenti attraverso i social network e poter così entrare nei server della società).

Il cambio di rotta: si punta alla logistica

Il 3 dicembre 2020 Ibm divulga un’allerta ai naviganti. Adesso nel mirino non ci sono più i centri di ricerca bensì gli snodi logistici della catena del freddo. Con i vaccini ormai sviluppati, i corsari del web attaccano i trasporti mirando alla conservazione -70 e -20, fondamentali per la consegna di alcuni prodotti. Quello più a rischio, in questo senso, è il vaccino di Pfizer/Biontech che richiede, per l’appunto, condizioni a bassissime temperature.

Attacco all’Ema

E infatti proprio Pfizer sarà l’azienda che sarà oggetto del recente attacco all’Ema. Entrando all’interno dei server dell’Agenzia europea dei medicinali, i pirati hanno puntato ai dossier di presentazione del proprio vaccino all’ente regolatorio europeo per carpirne le informazioni.