Attacchi cyber: uno, nessuno e centomila

“Ogni realtà è un inganno", scriveva Luigi Pirandello nel suo “Uno, nessuno e centomila”. Non ho potuto fare a meno di pensare a questo dopo avere letto quanto ha scoperto Mandiant, società di Google specializzata nella risposta agli incidenti cyber, dell’attacco subito da 3CX, azienda leader nelle piattaforme di comunicazione aziendale con oltre 600 mila istallazioni nel mondo e 12 milioni di utenti, ed emerso nelle scorse settimane. Ricostruendo i fatti vedo di spiegarmi.

L’attacco è iniziato nel 2022 quando un impiegato di 3CX ha installato sul suo computer il software X_TRADER della Trading Technologies. Quest’ultima è un’azienda specializzata nel trading finanziario on line, e possiamo ipotizzare che la persona abbia scaricato il software per operare sui mercati. Peccato che esso fosse compromesso e contenesse un malware che ha consentito all’organizzazione criminale di prendere il controllo del dispositivo, e quindi intercettare le sue utenze aziendali. La prima evidenza di attacco ai sistemi di 3CX è stata rilevata a seguito di un accesso via VPN, effettuato utilizzando le credenziali aziendali del dipendente, due giorni dopo che il personal computer era stato compromesso.

“Ogni realtà è un inganno" è una frase fin troppo vera: il dipendente, che stava scaricando un software per fare trading on line, non ha avuto la minima percezione di quanto realmente stava accadendo. Questo conferma quanto sostengo da almeno dieci anni: siamo biologicamente inadatti a percepire quello che avviene oltre uno schermo. A questo punto si pone la questione di “Uno, nessuno e centomila”. Questa è la straordinaria debolezza del sistema, che nello specifico si presenta all’ennesima potenza. Mandiant ha affermato di avere osservato per la prima volta un attacco Matrioska, ovvero un’aggressione a un fornitore di servizi che ne ha compromesso un altro. Mi permetto di aggiungere che tale approccio per una struttura criminale organizzata sarà lo standard dei prossimi anni, o forse lo è da tempo, ma nessuno lo aveva mai osservato prima. Il cloud computing e la sempre più forte delega a terze parti di una pluralità di servizi offre esattamente questa opportunità ai delinquenti. Scelgo un qualsiasi servizio basato su una app che sia vulnerabile, attendo che un utente la scarichi, comprendo per quale organizzazione lavora, e se mi trovo nel suo dispositivo di lavoro. A quel punto decido se vale la pena andare oltre oppure aspettare un’altra preda. Eccoci al punto: potrebbe essere soltanto uno o forse si tratta di nessuno, ma se sono fortunato parliamo di centomila o, chissà, di qualche miliardo. Magari sono riuscito a compromettere WhatsApp e allora il mondo diventa terribilmente piccolo e… vulnerabile.