Red Hot Cyber, il blog italiano sulla sicurezza informatica
Red Hot Cyber
La cybersecurity è condivisione. Riconosci il rischio, combattilo, condividi le tue esperienze ed incentiva gli altri a fare meglio di te.
Cerca

Fincantieri scrive a RHC e ricostruisce l’attacco alla terza parte. Molto bene nella comunicazione!

Redazione RHC : 17 Marzo 2023 08:24

Come avevamo riportato recentemente, sul noto forum underground Breach Forums, un criminale informatico aveva pubblicato un post dove riportava di essere in possesso di dati riservati della Fincantieri S.p.a.

All’interno del post venivano messi a disposizione, liberamente scaricabili, 16GB di dati che a detta del criminale informatico contenevano informazioni “confidenziali” su motori (l’MT30 della Rolls Royce), disegni CAD, schemi delle navi d’assalto, File ISO, documenti classificati di progettazione di navi da guerra italiane e altro ancora.

Fincantieri ha recentemente scritto a Red Hot Cyber, fornendo una ricostruzione dettagliata dei fatti che vogliamo condividere con i nostri lettori. Vogliamo ringraziare Fincantieri per averci fornito anche dei dettagli tecnici su questa vicenda, cosa assai rara soprattutto nelle aziende italiane quando si parla di incidenti informatici.

Iscriviti GRATIS ai WorkShop Hands-On della RHC Conference 2025 (Giovedì 8 maggio 2025)

Il giorno giovedì 8 maggio 2025 presso il teatro Italia di Roma (a due passi dalla stazione termini e dalla metro B di Piazza Bologna), si terranno i workshop "hands-on", creati per far avvicinare i ragazzi (o persone di qualsiasi età) alla sicurezza informatica e alla tecnologia. Questo anno i workshop saranno:

  • Creare Un Sistema Ai Di Visual Object Tracking (Hands on)
  • Social Engineering 2.0: Alla Scoperta Delle Minacce DeepFake
  • Doxing Con Langflow: Stiamo Costruendo La Fine Della Privacy?
  • Come Hackerare Un Sito WordPress (Hands on)
  • Il Cyberbullismo Tra Virtuale E Reale
  • Come Entrare Nel Dark Web In Sicurezza (Hands on)
    •
    Potete iscrivervi gratuitamente all'evento, che è stato creato per poter ispirare i ragazzi verso la sicurezza informatica e la tecnologia.
    Per ulteriori informazioni, scrivi a [email protected] oppure su Whatsapp al 379 163 8765


    Supporta RHC attraverso:


    Ti piacciono gli articoli di Red Hot Cyber? Non aspettare oltre, iscriviti alla newsletter settimanale per non perdere nessun articolo.

    La ricostruzione dei fatti svolta da Fincantieri riporta quanto segue:

    Relativamente all’articolo pubblicato si ritiene utile fornire alcune precisazioni, per ricondurre i fatti ad una sostanzialità diversa da quella dipinta dal soggetto attaccante.

A seguito della pubblicazione online di materiale di titolarità di Fincantieri in data 6 Marzo, le analisi condotte hanno mostrato infatti che nessun server in carico all’azienda sia stato oggetto di incursione.

I dati oggetto di pubblicazione sono stati ottenuti compromettendo un’utenza in carico ad una terza parte, con un limitato accesso ad una cartella in condivisione contenente pre-lavorati da ricondividere a sua volta con Fincantieri.

Nessun dato oggetto di diffusione è classificato e buona parte dell’archivio condiviso online (circa l’80%) è rappresentato da software commerciale liberamente scaricabile dal portale dei produttori dei relativi apparati.

L’attribuzione dell’attacco alla infrastruttura di Fincantieri e non alla realtà esterna è probabilmente parte di un disegno perpetrato dall’attaccante alla ricerca di sensazionalismo e riscatto: già tre settimane prima dell’annuncio in questione, infatti, il medesimo soggetto pubblicava un post contenente le stesse immagini – poi velocemente rimosso – dichiarando di aver compromesso un soggetto diverso da Fincantieri, senza mai fare alcun riferimento al Gruppo Cantieristico.

    Di seguito riportiamo l’immagine del post precedentemente pubblicato dal threat actors sul forum Breach forums, successivamente cancellato, fornito da Fincantieri.

    Post del 15 febbraio successivamente cancellato (Fonte Fincantieri)
    Post del 6 marzo sul forum underground Breach Forums

    La ricostruzione di Fincantieri prosegue riportando:

    Al termine delle indagini che hanno portato a identificare il soggetto terzo, Fincantieri ha informato dell’accaduto le autorità preposte ed ha opportunamente sporto denuncia, indicando l’origine, la natura dei file ed il dettaglio dei contenuti.

Lo spazio di condivisione con l’azienda coinvolta è stato disattivato ed applicato un protocollo standard di ri-controllo e bonifica delle cartelle di lavoro assegnate a fornitori simili, in modo da ridurre la possibilità di replica del pattern, protocollo che non ha rilevato alcuna ulteriore anomalia.

Come è purtroppo noto dalla cronaca internazionale, la condivisione di informazioni con terze parti è sempre più spesso oggetto di minacce informatiche: proprio per questo motivo Fincantieri - che conta oltre 7000 realtà esterne tra i propri fornitori – sta da tempo implementando una roadmap serrata volta alla implementazione di tecnologie per proteggere in modo sempre più efficace non solo le proprie infrastrutture, ma anche la sicurezza della propria catena di fornitura, con un approccio di gradualità e partendo dai sistemi e dalle informazioni con maggiore criticità.

    Ritornando a quanto riporta Fincantieri, gli attacchi alla catena di approvvigionamento (attacchi alla supply chain) stanno diventando sempre più diffusi e utilizzati dai threat actors.

    In questo periodo storico, molto spesso stiamo assistendo a continue perdite “collaterali” di dati, che non avvengono con esfiltrazioni dirette alle infrastrutture IT delle aziende, ma da aziende di terze parti. Tutto questo ci porta all’attenzione che i fornitori stanno diventano il “tallone di Achille” nella sicurezza informatica aziendale e occorre prestarne la massima attenzione.

    Gli attacchi supply chain possono avvenire in variegate forme: vulnerabilità sui sistemi, malware, impiegati infedeli, e le attività di controllo da applicare a tali aziende spesso si poggiano sulla corretta stipula di clausole contrattuali.

    Per approfondire meglio il tema degli attacchi alla supply chain, vi consigliamo di leggere l’approfondimento di RHC pubblicato recentemente.

    Concludiamo dicendo che quello che ha fatto Fincantieri dovrebbe essere la prassi comune che ogni azienda debba seguire per comunicare quello che si nasconde dietro un attacco informatico.

    Questo è necessario – oltre che per far comprendere ai propri clienti la realtà dei fatti – anche per far conoscere le modalità di esecuzione di un attacco informatico ad altre organizzazioni in modo che possano beneficiare di queste “lesson learned”.

    Redazione
    La redazione di Red Hot Cyber è composta da un insieme di persone fisiche e fonti anonime che collaborano attivamente fornendo informazioni in anteprima e news sulla sicurezza informatica e sull'informatica in generale.

    Articoli in evidenza

    Spotify e Andato giù e DarkStorm Rivendica un attacco DDoS col botto!

    ​Il 16 aprile 2025, Spotify ha subito un’interruzione del servizio che ha colpito numerosi utenti in Italia e nel mondo. A partire dalle ore 14:00, migliaia di segnalazioni sono state re...

    20 Milioni di euro persi da IKEA per un attacco Ransomware

    Fourlis Group, il gestore dei negozi IKEA in Grecia, Cipro, Romania e Bulgaria, ha dichiarato di aver subito un attacco ransomware prima del Black Friday del 27 novembre 2024, che ha causato...

    CVE a rischio! La spina dorsale della cybersecurity Occidentale potrebbe spegnersi oggi. Riflessioni

    Noi di Red Hot Cyber lo diciamo da tempo: affidarsi esclusivamente a infrastrutture critiche gestite da enti statunitensi è un rischio per l’autonomia strategica europea. È anni che s...

    Breach Forums che fine hai fatto? Sequestro in corso, Honeypot federale o Disservizio?

    A partire da poco dopo la mezzanotte del 15 aprile 2025, BreachForums – uno dei principali forum underground – risulta offline sia nella sua versione clearnet che nella controparte su re...

    Un Exploit Zero Day su FortiGate in vendita nei forum underground per 6.500 dollari

    Un utente anonimo ha pubblicato nel forum underground chiuso Exploit un annuncio che ha subito attirato l’attenzione della comunità di cybersecurity: la vendita di un exploit zero-day...

    Categorie
    Segui i corsi di ethical hacking di CyberSecurityUP
    Banner
    Redhotcyber è un progetto di open-news nato nel 2019 e successivamente ampliato in una rete di persone che collaborano alla divulgazione di informazioni e temi incentrati la tecnologia, l'Information Technology e la sicurezza informatica, con lo scopo di accrescere i concetti di consapevolezza del rischio ad un numero sempre più crescente di persone.

    PRINCIPALI CATEGORIE
    Attacchi Informatici Italiani
    Dark Web & Cybercrime
    0day, bug e Vulnerabilità
    Hacking
    Cybersecurity Italia
    Cyberpolitica & Intelligence

    RISORSE
    Academy
    Rubriche
    Il manifesto di Red Hot Cyber
    Feed RSS
    Contatti

    Copyright @ REDHOTCYBER Srl
    PIVA 17898011006