Red Hot Cyber
La cybersecurity è condivisione. Riconosci il rischio, combattilo, condividi le tue esperienze ed incentiva gli altri a fare meglio di te.
Cerca
Apache Tomcat: Un Rischio di Denial of Service minaccia Migliaia di Server!  ///    hai una start-up innovativa sulla cybersecurity? Candidati alla call!    ///  GAIA di Red Hot Cyber intervista Vannevar Bush. Alla scoperta delle idee rivoluzionarie che ci hanno regalato il Futuro  ///    scopri betti-rhc, il fumetto sul cybersecurity awareness    ///  Ecco Come un Attaccante può Ottenere il Controllo Completo del Tuo PC  ///    Scropri i corsi di Red Hot Cyber    ///  Colpo di Scena! Il gruppo Telegram di Breach Forum torna nelle mani dei criminali per un errore dell’FBI  ///    Iscriviti al nostro canale Whatsapp    ///  Berners Lee e Vint Cerf vs ONU! Scopri cosa chiedono nella loro lettera aperta sulla governance di Internet  ///    hai una start-up innovativa sulla cybersecurity? Candidati alla call!    ///  Vulnerabilità Critiche in Splunk Enterprise Consentono l’Esecuzione di Codice Remoto  ///    scopri betti-rhc, il fumetto sul cybersecurity awareness    ///  Un Threat Actors mette in vendita 180.000 utenti di Shopify  ///    Scropri i corsi di Red Hot Cyber    ///  GlitchZone: la Nuova Frontiera della Cybersecurity Promossa da Scientifica Venture Capital  ///    Iscriviti al nostro canale Whatsapp    ///  CPU Intel Vulnerabili! Nuovo Attacco “Indirector” Minaccia Rileva Dati Sensibili  ///    hai una start-up innovativa sulla cybersecurity? Candidati alla call!    ///  OpenSSH: Una RCE eseguita come Root mette a rischio 14 milioni di istanze su Linux  ///  

Attacco informatico all’Università di Salerno. L’esperienza di uno studente nel silenzio dell’ateneo

Chiara Nardini : 3 Luglio 2023 08:23

Come abbiamo riportato il 30 giugno, il sito dell’Università di Salerno è andato down per poi rivelarsi un attacco informatico ai danni dell’università, da parte di una cybergang ransomware.

Il 30 giugno, l’Università di Salerno ha subito un grave attacco informatico che ha compromesso la sua infrastruttura. Uno studente del corso di ingegneria informatica ha condiviso la propria esperienza in prima persona, offrendo dettagli su quanto accaduto.

La situazione attuale

Nella giornata di ieri, finalmente, i servizi dell’Università di Salerno che erano stati bloccati a seguito dell’attacco informatico hanno iniziato a riprendere gradualmente il loro funzionamento. Nonostante ciò, l’università non ha ancora emesso alcun comunicato ufficiale sull’accaduto, lasciando gli studenti e il personale con molte domande e incertezze.

Supporta Red Hot Cyber attraverso

Dopo diversi giorni di disservizi e inaccessibilità, sia il portale e-learning (Moodle) che il sito web dell’università sono tornati parzialmente operativi. Gli studenti hanno segnalato un miglioramento della velocità e della stabilità del portale, consentendo loro di accedere ai materiali didattici e alle risorse online. Tuttavia, alcuni problemi minori persistono, come alcune pagine che potrebbero caricarsi lentamente o richiedere più tentativi di accesso.

Nonostante la ripresa dei servizi, l’università ha mantenuto un silenzio assoluto riguardo all’attacco informatico, probabilmente in quanto ancora risultano in corso l’incident response (IR) e le analisi forensi. Gli studenti, i docenti e il personale attendono ansiosamente un comunicato ufficiale che fornisca informazioni dettagliate sull’evento, le misure adottate per mitigare l’attacco e le azioni intraprese per garantire la sicurezza dei dati e dei sistemi dell’università.

La mancanza di comunicazione ufficiale sta generando frustrazione e preoccupazione tra la comunità universitaria. Gli studenti sono desiderosi di comprendere l’entità dell’attacco e se i loro dati personali e accademici sono stati compromessi. I docenti e il personale hanno bisogno di indicazioni chiare su come procedere con le attività accademiche e amministrative, oltre che sulla sicurezza dei propri dati professionali.

La lettera dello studente della facoltà di Ingegneria Informatica

La mattina dell’attacco, gli studenti si sono recati presso l’aula designata per sostenere un esame, ma sono stati informati di un “imprevisto” che richiedeva un’evacuazione temporanea. Successivamente, sono stati invitati a tornare per ricevere ulteriori aggiornamenti intorno alle 10:00.

Una volta rientrati, il professore ha comunicato loro che l’università era stata colpita da un attacco, anche se non erano disponibili molti dettagli.

La parola “esfiltrazione” è stata menzionata, suggerendo che i dati potessero essere stati sottratti. Il professore ha richiesto agli studenti di tornare alle 13:00 per ulteriori aggiornamenti.

Lettera pervenuta al servizio whistleblower di Red Hot Cyber da uno studente della facoltà di ingegneria informatica

All’orario stabilito, il professore ha confermato che la situazione non si era risolta e che l’esame non poteva essere sostenuto. È stato menzionato l’intervento della polizia postale o della questura come parte delle misure adottate per affrontare l’attacco.

Oltre all’annullamento dell’esame, sono stati riportati disservizi nei sistemi dell’università. Il portale e-learning (Moodle) era lento e spesso non caricava correttamente le pagine, anche se a volte si riprendeva. Nel frattempo, il sito web dell’università era completamente inaccessibile, probabilmente a causa dell’attacco ransomware e dell’elevato traffico che il sito deve gestire quotidianamente.

Nel pomeriggio, il sistema e-learning ha presentato problemi con l’integrazione dell’autenticazione tramite SPID. La pagina di errore di Apache Tomcat segnalava una risorsa mancante per il login, nella cartella /idp/profile/redirect/SSO. Questa informazione è stata condivisa dallo studente come un problema facilmente verificabile e non riservato.

La situazione attuale è critica, e non è chiaro se siano stati esfiltrati dati sensibili. Gli studenti dovranno attenersi alle comunicazioni ufficiali per sapere quando la situazione tornerà alla normalità.

L’esperienza condivisa dallo studente offre uno sguardo diretto sulla gravità dell’attacco informatico e sugli effetti che ha avuto sull’università. Resta da vedere come l’università stia affrontando questa situazione e quali saranno le azioni intraprese per ripristinare la sicurezza e il normale funzionamento dei sistemi.

Salve Red Hot Cyber,
sono uno studente dell'università di Salerno al corso di ingegneria informatica e questa mattina ho avuto il (dis)piacere di vivere in prima persona l'attacco avvenuto all'infrastruttura, in quanto avevo un esame da sostenere.

Tendo a precisare che non sono a conoscenza di dettagli tecnici ma più che altro di informazioni fornite dai professori/tecnici/personale che si trovava in zona e di passaggio, quindi nulla di confidenziale/riservato.

Il materiale non è molto ma spero possa essere d'aiuto.

Cercherò inoltre di fornire dei timestamp più o meno precisi in modo da poter concretizzare meglio quanto accaduto.

Ore 09:00 : noi studenti ci rechiamo presso l'aula dove bisognava svolgere la prova e il professore ci avvisa di un "imprevisto" che ci costringe ad andarcene temporaneamente. Ci riferisce di tornare verso le 10 per eventuali aggiornamenti.

Ore 10:00 : dopo essere tornati ed aver aspettato ulteriore tempo, il professore esce dall'aula e ci avvisa di essere venuto a conoscenza di un attacco. Non si capisce molto (probabilmente lui è il primo a non saperne niente) e non fornisce dettagli precisi ma ricordo perfettamente che è stata usata la parola "esfiltrazione" (a questo punto si capisce che la situazione è bella che andata, niente più esame). Ci dice di tornare verso le 13 per eventuali aggiornamenti. (a questo punto sapevo/volevo/potevo già andarmene a casa, ma sono restato sia per curiosità mia, sia per avere una comunicazione ufficiale dal docente)

Ore 13:00 : una volta tornati dinnanzi all'aula della prova, il professore conferma che la situazione non si è risolta e che sostenere un esame risulta essere impossibile (cita anche l'intervento della polizia postale/questura).

A questo punto ci hanno banalmente mandati tutti a casa.

Per quanto riguarda i disservizi legati ai sistemi dell'università, il portale elearning (moodle) che sarebbe stato usato per la prova risultava molto lento/non caricava proprio ma tutto sommato ogni tanto si riprendeva.

Il sito dell'università era invece inusabile, sicuramente il ransomware assieme alla mole di traffico che deve quotidianamente gestire lo ha fatto andare down: infatti non c'è stato un singolo momento in cui si è ripreso e anche attualmente risulta essere nella stessa situazione in cui si trovava stamattina.

Oggi pomeriggio invece (dalle 16 circa) il precedentemente citato elearning (versione web) risulta avere problemi con l'integrazione dell'autenticazione tramite SPID (pagina di errore di apache tomcat, dove nella cartella /idp/profile/redirect/SSO risulta essere mancante la risorsa richiesta per fare il login). QUESTA INFORMAZIONE NON È RISERVATA ED È FACILMENTE VERIFICABILE IN AUTONOMIA.

In conclusione la situazione sembra essere critica: ora che siano stati esfiltrati dati o no non possiamo saperlo (l'università di certo non renderà pubblica un'informazione del genere) e noi studenti non abbiamo modo di sapere se e quando la situazione si riprenderà (in ogni caso dobbiamo attenerci alle comunicazioni ufficiali)

Spero di essere stato d'aiuto, in caso avrò altre informazioni utili non esiterò a mandarvele.

Cosa sappiamo sulla cyber gang

Delle fonti vicine alla questione, ci hanno segnalato che a colpire e’ stata una cyber gang emergente che si chiama Rhysida.

Qualora questa ipotesi sia corretta, ancora sul data leak site (DLS) della gang non vi è traccia della pubblicazione di un post che attesti la reale compromissione dei dati dell’ateneo. È anche importante riportare che nella giornata di ieri, 2 luglio 2023, per gran parte del tempo il data leak site della cybergang è stato offline oppure è migrato su un altro sito “onion” ad oggi non conosciuto.

Come nostra consuetudine, seguiamo con interesse la questione e lasciamo spazio ad una dichiarazione dell’azienda qualora voglia darci degli aggiornamenti in merito e saremo lieti di pubblicarli con uno specifico articolo dando risalto alla questione.

RHC monitorerà l’evoluzione della vicenda in modo da pubblicare ulteriori news sul blog, qualora ci fossero novità sostanziali. Qualora ci siano persone informate sui fatti che volessero fornire informazioni in modo anonimo possono accedere utilizzare la mail crittografata del whistleblower.

Chiara Nardini
Esperta di Cyber Threat intelligence e di cybersecurity awareness, blogger per passione e ricercatrice di sicurezza informatica. Crede che si possa combattere il cybercrime solo conoscendo le minacce informatiche attraverso una costante attività di "lesson learned" e di divulgazione. Analista di punta per quello che concerne gli incidenti di sicurezza informatica del comparto Italia.
Categorie
Segui i corsi di ethical hacking di CyberSecurityUP
Banner
Redhotcyber è un progetto di open-news nato nel 2019 e successivamente ampliato in una rete di persone che collaborano alla divulgazione di informazioni e temi incentrati la tecnologia, l'Information Technology e la sicurezza informatica, con lo scopo di accrescere i concetti di consapevolezza del rischio ad un numero sempre più crescente di persone.

Redazione: [email protected]
© Copyright RED HOT CYBER. PIVA 16821691009