Red Hot Cyber
La cybersecurity è condivisione. Riconosci il rischio, combattilo, condividi le tue esperienze ed incentiva gli altri a fare meglio di te.
Cerca

Fincantieri scrive a RHC e ricostruisce l’attacco alla terza parte. Molto bene nella comunicazione!

Redazione RHC : 17 Marzo 2023 08:24

Come avevamo riportato recentemente, sul noto forum underground Breach Forums, un criminale informatico aveva pubblicato un post dove riportava di essere in possesso di dati riservati della Fincantieri S.p.a.

All’interno del post venivano messi a disposizione, liberamente scaricabili, 16GB di dati che a detta del criminale informatico contenevano informazioni “confidenziali” su motori (l’MT30 della Rolls Royce), disegni CAD, schemi delle navi d’assalto, File ISO, documenti classificati di progettazione di navi da guerra italiane e altro ancora.

Fincantieri ha recentemente scritto a Red Hot Cyber, fornendo una ricostruzione dettagliata dei fatti che vogliamo condividere con i nostri lettori. Vogliamo ringraziare Fincantieri per averci fornito anche dei dettagli tecnici su questa vicenda, cosa assai rara soprattutto nelle aziende italiane quando si parla di incidenti informatici.

Vorresti toccare con mano la Cybersecurity e la tecnologia? Iscriviti GRATIS ai WorkShop Hands-On della RHC Conference 2025 (Giovedì 8 maggio 2025)

Se sei un ragazzo delle scuole medie, superiori o frequenti l'università, oppure se solamente un curioso, il giorno giovedì 8 maggio 2025 presso il teatro Italia di Roma (a due passi dalla stazione termini e dalla metro B di Piazza Bologna), si terranno i workshop "hands-on", creati per far avvicinare i ragazzi alla sicurezza informatica e alla tecnologia. Questo anno i workshop saranno:

  • Creare Un Sistema Ai Di Visual Object Tracking (Hands on)
  • Social Engineering 2.0: Alla Scoperta Delle Minacce DeepFake
  • Doxing Con Langflow: Stiamo Costruendo La Fine Della Privacy?
  • Come Hackerare Un Sito WordPress (Hands on)
  • Il Cyberbullismo Tra Virtuale E Reale
  • Come Entrare Nel Dark Web In Sicurezza (Hands on)

  • Potete iscrivervi gratuitamente all'evento, che è stato creato per poter ispirare i ragazzi verso la sicurezza informatica e la tecnologia.
    Per ulteriori informazioni, scrivi a [email protected] oppure su Whatsapp al 379 163 8765


    Supporta RHC attraverso:


    Ti piacciono gli articoli di Red Hot Cyber? Non aspettare oltre, iscriviti alla newsletter settimanale per non perdere nessun articolo.

    La ricostruzione dei fatti svolta da Fincantieri riporta quanto segue:

    Relativamente all’articolo pubblicato si ritiene utile fornire alcune precisazioni, per ricondurre i fatti ad una sostanzialità diversa da quella dipinta dal soggetto attaccante.
    
    A seguito della pubblicazione online di materiale di titolarità di Fincantieri in data 6 Marzo, le analisi condotte hanno mostrato infatti che nessun server in carico all’azienda sia stato oggetto di incursione.
    
    I dati oggetto di pubblicazione sono stati ottenuti compromettendo un’utenza in carico ad una terza parte, con un limitato accesso ad una cartella in condivisione contenente pre-lavorati da ricondividere a sua volta con Fincantieri.
    
    Nessun dato oggetto di diffusione è classificato e buona parte dell’archivio condiviso online (circa l’80%) è rappresentato da software commerciale liberamente scaricabile dal portale dei produttori dei relativi apparati.
    
    L’attribuzione dell’attacco alla infrastruttura di Fincantieri e non alla realtà esterna è probabilmente parte di un disegno perpetrato dall’attaccante alla ricerca di sensazionalismo e riscatto: già tre settimane prima dell’annuncio in questione, infatti, il medesimo soggetto pubblicava un post contenente le stesse immagini – poi velocemente rimosso – dichiarando di aver compromesso un soggetto diverso da Fincantieri, senza mai fare alcun riferimento al Gruppo Cantieristico.

    Di seguito riportiamo l’immagine del post precedentemente pubblicato dal threat actors sul forum Breach forums, successivamente cancellato, fornito da Fincantieri.

    Post del 15 febbraio successivamente cancellato (Fonte Fincantieri)
    Post del 6 marzo sul forum underground Breach Forums

    La ricostruzione di Fincantieri prosegue riportando:

    Al termine delle indagini che hanno portato a identificare il soggetto terzo, Fincantieri ha informato dell’accaduto le autorità preposte ed ha opportunamente sporto denuncia, indicando l’origine, la natura dei file ed il dettaglio dei contenuti.
    
    Lo spazio di condivisione con l’azienda coinvolta è stato disattivato ed applicato un protocollo standard di ri-controllo e bonifica delle cartelle di lavoro assegnate a fornitori simili, in modo da ridurre la possibilità di replica del pattern, protocollo che non ha rilevato alcuna ulteriore anomalia.
    
    Come è purtroppo noto dalla cronaca internazionale, la condivisione di informazioni con terze parti è sempre più spesso oggetto di minacce informatiche: proprio per questo motivo Fincantieri - che conta oltre 7000 realtà esterne tra i propri fornitori – sta da tempo implementando una roadmap serrata volta alla implementazione di tecnologie per proteggere in modo sempre più efficace non solo le proprie infrastrutture, ma anche la sicurezza della propria catena di fornitura, con un approccio di gradualità e partendo dai sistemi e dalle informazioni con maggiore criticità.

    Ritornando a quanto riporta Fincantieri, gli attacchi alla catena di approvvigionamento (attacchi alla supply chain) stanno diventando sempre più diffusi e utilizzati dai threat actors.

    In questo periodo storico, molto spesso stiamo assistendo a continue perdite “collaterali” di dati, che non avvengono con esfiltrazioni dirette alle infrastrutture IT delle aziende, ma da aziende di terze parti. Tutto questo ci porta all’attenzione che i fornitori stanno diventano il “tallone di Achille” nella sicurezza informatica aziendale e occorre prestarne la massima attenzione.

    Gli attacchi supply chain possono avvenire in variegate forme: vulnerabilità sui sistemi, malware, impiegati infedeli, e le attività di controllo da applicare a tali aziende spesso si poggiano sulla corretta stipula di clausole contrattuali.

    Per approfondire meglio il tema degli attacchi alla supply chain, vi consigliamo di leggere l’approfondimento di RHC pubblicato recentemente.

    Concludiamo dicendo che quello che ha fatto Fincantieri dovrebbe essere la prassi comune che ogni azienda debba seguire per comunicare quello che si nasconde dietro un attacco informatico.

    Questo è necessario – oltre che per far comprendere ai propri clienti la realtà dei fatti – anche per far conoscere le modalità di esecuzione di un attacco informatico ad altre organizzazioni in modo che possano beneficiare di queste “lesson learned”.

    Redazione
    La redazione di Red Hot Cyber è composta da un insieme di persone fisiche e fonti anonime che collaborano attivamente fornendo informazioni in anteprima e news sulla sicurezza informatica e sull'informatica in generale.

    Articoli in evidenza

    Una PE in Microsoft Windows sfruttata da 2 anni Nel Patch Tuesday. Aggiornare avverte CISA e ACN

    All’interno del Patch Tuesday di marzo è stata inclusa la CVE-2025-24983, una Vulnerabilità di elevazione dei privilegi del sottosistema kernel Win32 di Microsoft Windows. La Cybersec...

    Ragazzi, Pronti per i Workshop della RHC Conference? Scopriamo assieme Deepfake, AI, Darkweb, Ethical Hacking, Doxing e Cyberbullismo

    Giovedì 8 maggio, la Red Hot Cyber Conference 2025 ospiterà un’intera giornata dedicata ai ragazzi con i Workshop Hands-on (organizzati in collaborazione con Accenture Italia). Si tra...

    Arriva NightSpire! Un Nuovo Attore nel Panorama del Ransomware

    Nelle ricognizioni nel mondo dell’underground e dei gruppi criminali svolte dal laboratorio di intelligence delle minacce DarkLab di Red Hot Cyber, ci siamo imbattuti all’interno di un D...

    FUNKSEC rivendica un attacco Informatico All’Università di Modena e Reggio Emilia. Scopri i dettagli

    Nella giornata di oggi, la banda di criminali informatici di FUNKSEC rivendica all’interno del proprio Data Leak Site (DLS) un attacco informatico all’università italiana di Modena ...

    Attacco a X: Scovato il Responsabile? Le Indagini Puntano in una Direzione Inattesa!

    L’attacco informatico a X, il social network di Elon Musk, ha scatenato una vera e propria caccia ai responsabili. Dopo le dichiarazioni dello stesso Musk, che ha attribuito l’attacco a ...