fbpx
Red Hot Cyber, il blog italiano sulla sicurezza informatica
Red Hot Cyber
La cybersecurity è condivisione. Riconosci il rischio, combattilo, condividi le tue esperienze ed incentiva gli altri a fare meglio di te.
Cerca

Il Consiglio Nazionale delle Ricerche (CNR) finisce su Breach Forums. Esposto un file .SQL

Sandro Sana : 26 Agosto 2024 15:12

Il Consiglio Nazionale delle Ricerche (CNR) è l’ente pubblico di ricerca più importante in Italia, un pilastro della scienza e della tecnologia che supporta la crescita e l’innovazione del paese. Il CNR si occupa di condurre ricerche avanzate in molteplici campi, dalla biomedicina all’intelligenza artificiale, e collabora con istituti e università a livello globale.

Il 25 agosto 2024, questa istituzione è stata vittima di una presunta compromissione della sicurezza informatica. Un criminale informatico, noto come “SilkFin”, ha pubblicato su BreachForums un dump di un database del CNR, esponendo informazioni sensibili legate a progetti di ricerca, sessioni utente e altre attività interne.

Questo atto ha sollevato preoccupazioni significative per la sicurezza della ricerca e delle operazioni del CNR.

Dinamiche della Compromissione

Prova la Demo di Business Log! L'Adaptive SOC italiano

Log management non solo per la grande Azienda, ma una suite di Audit file, controllo USB, asset, sicurezza e un Security Operation Center PERSONALE, che ti riporta tutte le operazioni necessarie al tuo PC per tutelare i tuoi dati e informati in caso di problemi nel tuo ambiente privato o di lavoro.

Scarica ora la Demo di Business Log per 30gg

Promo Corso CTI

Il presunto attacco informatico è stato reso noto tramite un post su BreachForums, un forum di hacking dove vengono scambiati e venduti dati rubati, vulnerabilità e strumenti per attacchi informatici. “SilkFin“, l’utente che ha caricato i dati, ha annunciato la pubblicazione gratuita del dump del database, affermando che il file conteneva informazioni rilevanti del CNR.

Questo tipo di attacco, qualora confermato, indica una compromissione significativa dei sistemi del CNR, probabilmente attraverso una vulnerabilità non risolta o tramite l’uso di credenziali compromesse.

Al momento, non possiamo confermare la veridicità della notizia, poiché l’organizzazione non ha ancora rilasciato alcun comunicato stampa ufficiale sul proprio sito web riguardo l’incidente. Pertanto, questo articolo deve essere considerato come ‘fonte di intelligence’.

Il Consiglio Nazionale delle Ricerche è il principale istituto pubblico di ricerca in Italia, con una lunga storia di eccellenza scientifica. Fondato nel 1923, il CNR ha sede a Roma e si articola in una vasta rete di istituti e centri di ricerca distribuiti su tutto il territorio nazionale. Il CNR è attivo in tutti i principali settori della scienza e della tecnologia, con particolare attenzione allo sviluppo di nuove tecnologie, alla ricerca applicata e alla collaborazione internazionale. Ogni anno, gestisce un vasto numero di progetti di ricerca, molti dei quali sono finanziati da enti governativi e organizzazioni internazionali.

Piattaforma di File Sharing dove i criminali mettono a disposizione un file con estensione SQL di 5,1 MB

Informazioni sul Criminale

“SilkFin” è un nickname noto nel panorama degli hacker underground, riconosciuto per la sua attività su vari forum dove vengono condivisi dati trafugati da enti governativi e privati. Nonostante la sua reputazione, è raro che rilasci dati gratuitamente, il che potrebbe suggerire una motivazione ideologica o un tentativo di ottenere fama all’interno della comunità di hacking.

La scelta di rendere il file accessibile gratuitamente potrebbe essere stata fatta per massimizzare il danno, esponendo il CNR a ulteriori attacchi da parte di altri criminali informatici.

Contenuto del DataLeak

Il file scaricabile dal DataLeak, reso pubblico dal criminale informatico “SilkFin”, è un dump SQL che contiene una copia completa del database esfiltrato dal sistema del CNR. Questo tipo di file, in formato .sql, rappresenta una snapshot dettagliata dell’intero database al momento della compromissione. In esso sono memorizzate le strutture delle tabelle, i dati degli utenti, le informazioni sulle sessioni attive, le chiavi primarie e relazionali, nonché tutte le informazioni archiviate nelle varie tabelle del database.

Nel caso specifico, il database esfiltrato includeva dettagli sensibili relativi ai progetti di ricerca in corso, alle sessioni degli utenti interni, e altre informazioni cruciali per il funzionamento dell’ente. Questi dati, se analizzati e sfruttati da altri attori malevoli, potrebbero portare a ulteriori violazioni, esponendo il CNR a rischi considerevoli in termini di sicurezza informatica e protezione della proprietà intellettuale.

Dall’analisi del file SQL associato al leak, sono emersi i seguenti dettagli:

Tipo di Database

Il database esfiltrato è gestito da un server MariaDB, una variante popolare di MySQL, versione 5.5.60. Questo tipo di database è comunemente utilizzato per gestire dati strutturati in applicazioni web e sistemi gestionali.

Il database è denominato archmotro2, suggerendo che potrebbe essere legato a un sistema di archiviazione o gestione di informazioni, forse relativo a progetti di ricerca o attività amministrative all’interno del CNR.

Contenuti del Database e impatti potenziali

Il database contiene dati sensibili relativi a:

  • Progetti di Ricerca: Informazioni su progetti di ricerca, inclusi titoli, nomi di ricercatori coinvolti, date di inizio e fine, e numeri di bando associati. Questi dati, se utilizzati impropriamente, potrebbero portare a furti di proprietà intellettuale e compromissione di collaborazioni scientifiche.
  • Sessioni Utente: Dettagli sulle sessioni attive, con indirizzi IP, agenti utente, e altre informazioni che potrebbero essere utilizzate per attacchi di tipo “man-in-the-middle” o per tentativi di accesso non autorizzato ai sistemi del CNR.

Questi dati, estratti dal database archmotro2, forniscono una visione interna delle operazioni e delle attività del CNR, rendendo evidente la portata della compromissione e i potenziali rischi associati alla divulgazione di tali informazioni.

La compromissione del database potrebbe avere diversi impatti negativi a breve e lungo termine:

  1. Perdita di Fiducia: La fiducia tra il CNR e i suoi partner internazionali potrebbe essere seriamente compromessa, mettendo a rischio future collaborazioni e finanziamenti.
  2. Furto di Proprietà Intellettuale: L’accesso ai dettagli dei progetti di ricerca potrebbe portare a un furto di idee e tecnologie, mettendo a rischio il vantaggio competitivo del CNR e dell’Italia nel campo della ricerca scientifica.
  3. Rischi di Sicurezza Nazionale: Alcuni progetti potrebbero essere legati a settori strategici, come la difesa o la tecnologia avanzata, e la loro compromissione potrebbe avere implicazioni per la sicurezza nazionale.
  4. Attacchi Futuri: I dati esposti potrebbero essere utilizzati per ulteriori attacchi mirati, come spear-phishing, manipolazione delle sessioni, o accessi non autorizzati ai sistemi del CNR.

Conclusioni

L’incidente, qualora confermato dal Consiglio Nazionale delle Ricerche, evidenzia la necessità urgente di rafforzare le misure di sicurezza informatica nei settori critici della ricerca e dell’innovazione. La gravità della violazione non risiede solo nei dati immediatamente esposti, ma anche nei potenziali danni a lungo termine che potrebbero derivare dalla compromissione della fiducia e dalla perdita di proprietà intellettuale.

Questo incidente serve come monito per tutte le istituzioni di ricerca: la sicurezza dei dati non è solo una questione tecnica, ma un elemento cruciale per la salvaguardia della competitività e della sicurezza nazionale.

Come nostra consuetudine, lasciamo sempre spazio ad una dichiarazione da parte dell’azienda qualora voglia darci degli aggiornamenti sulla vicenda. Saremo lieti di pubblicare tali informazioni con uno specifico articolo dando risalto alla questione.

RHC monitorerà l’evoluzione della vicenda in modo da pubblicare ulteriori news sul blog, qualora ci fossero novità sostanziali. Qualora ci siano persone informate sui fatti che volessero fornire informazioni in modo anonimo possono utilizzare la mail crittografata del whistleblower.

Sandro Sana
Membro del gruppo di Red Hot Cyber Dark Lab e direttore del Red Hot Cyber PodCast. Si occupa d'Information Technology dal 1990 e di Cybersecurity dal 2014 (CEH - CIH - CISSP - CSIRT Manager - CTI Expert), relatore a SMAU 2017 e SMAU 2018, docente SMAU Academy & ITS, membro CLUSIT.
Visita il sito web dell'autore

Articoli in evidenza

Anonymous Italia risponde agli attacchi di NoName057(16). Deface contro siti russi!

Negli ultimi giorni, il collettivo hacktivista italiano Anonymous Italia ha risposto agli attacchi informatici sferrati dal gruppo filorusso NoName057(16) colpendo una serie di obiettivi russi. Gli at...

Windows sotto scacco: scoperta una vulnerabilità che bypassa tutte le attivazioni!

Gruppo di ricerca MASSGRAVE ha presentato un Exploit chiamato TSforge che consente di attivare qualsiasi versione di Windows a partire da Windows 7, nonché tutte le edizioni di Microsof...

220$ per entrare nella Polizia di Stato Italiana: l’inquietante offerta di EDRVendor

Su BreachForum un utente dallo pseudonimo EDRVendor ha venduto, dopo poche ore dall’annuncio, l’accesso ad una cassetta postale della polizia di stato italiana. Oltre alla mail viene off...

Google Scopre Triplestrength: il gruppo Ransomware che colpisce il Cloud per estrarre Criptovalute

Team di intelligence sulle minacce di Google ha reso pubblica l’informazione sul gruppo di hacker Triplestrength, finora sconosciuto, attivo dal 2020. Il gruppo è composto da poc...

NoName057(16) Cancellato da Telegram! Ma subito il “Reborn” Con Attacchi DDoS All’Italia!

I canali Telegram degli hacker filorussi di NoName057(16) sono stati eliminati da telegram. Ma subito gli attivisti ricreano nuovi canali marchiati con il suffisso “reborn“. Ma...

Categorie
Segui i corsi di ethical hacking di CyberSecurityUP
Banner
Redhotcyber è un progetto di open-news nato nel 2019 e successivamente ampliato in una rete di persone che collaborano alla divulgazione di informazioni e temi incentrati la tecnologia, l'Information Technology e la sicurezza informatica, con lo scopo di accrescere i concetti di consapevolezza del rischio ad un numero sempre più crescente di persone.

PRINCIPALI CATEGORIE
Attacchi Informatici Italiani
Dark Web & Cybercrime
0day, bug e Vulnerabilità
Hacking
Cybersecurity Italia
Cyberpolitica & Intelligence

RISORSE
Academy
Rubriche
Il manifesto di Red Hot Cyber
Feed RSS

Copyright @ 2003 – 2024 REDHOTCYBER Srl
PIVA 17898011006