Attacco hacker contro Xplain: l’Ufficio federale della cibersicurezza pubblica un rapporto sull’analisi dei dati
Berna, 07.03.2024 - L’Ufficio federale della cibersicurezza (UFCS, ex Centro nazionale per la cibersicurezza, NCSC) ha coordinato l’elaborazione in seno all’Amministrazione federale dell’attacco hacker subìto dalla società Xplain. Il mandato comprendeva anche l’analisi dei dati pubblicati dagli hacker sul darknet. In un rapporto pubblicato in data odierna, l’UFCS informa in merito all’analisi eseguita e descrive il tipo di dati interessati dall’attacco e le sfide affrontate in fase di esecuzione. Il rapporto non contiene una valutazione dei contenuti dei dati. Le cause esatte della fuga di dati, sulle quali il rapporto non si esprime, saranno chiarite nel quadro dell’inchiesta amministrativa in corso.
Nel corso di un attacco eseguito mediante ransomware contro la società Xplain, il gruppo di hacker «Play» è riuscito a impossessarsi di un pacchetto di dati presumibilmente pubblicato integralmente dagli hacker stessi sul darknet il 14 giugno 2023. Il pacchetto di dati comprendeva anche informazioni classificate e dati personali particolarmente degni di protezione provenienti dall’Amministrazione federale. L’elaborazione dell’evento in seno all’Amministrazione federale è stata svolta sotto la direzione dell’ex Centro nazionale per la cibersicurezza (NCSC, ora Ufficio federale della cibersicurezza, UFCS), che ha definito misure per il ripristino della sicurezza dei sistemi e svolto un’analisi esaustiva dei dati pubblicati.
La pubblicazione del rapporto dell’UFCS è volta a contribuire all’elaborazione generale dell’evento e a promuovere la massima trasparenza al riguardo. Il rapporto descrive l’accaduto, i risultati dell’analisi dei dati, il tipo di dati interessati dall’attacco informatico e le sfide affrontate nel corso dell’analisi.
Rilevanza dei dati pubblicati
Il pacchetto di dati pubblicati sul darknet comprendeva circa 1,3 milioni di oggetti. Una volta scaricati, i dati sono stati sistematicamente classificati sotto la direzione del NCSC, allo scopo di individuare tutti i documenti determinanti per l’Amministrazione federale. Dall’analisi risulta che i documenti di rilievo per quanto concerne la Confederazione sono circa 65 000, pari a circa il 5 per cento dei dati sottratti. Oltre il 70 per cento dei documenti determinanti per l’Amministrazione federale sono di proprietà della società Xplain (47 413 oggetti), circa il 14 per cento (9040 oggetti) appartiene all’Amministrazione federale. Tra i documenti appartenenti all’Amministrazione federale, circa il 95 per cento è riconducibile alle unità amministrative del Dipartimento federale di giustizia e polizia (DFGP): all’Ufficio federale di giustizia, all’Ufficio federale di polizia, alla Segreteria di Stato della migrazione e al fornitore di prestazioni interne CSI DFGP. Circa il 3 per cento è attribuibile al Dipartimento federale della difesa, della protezione della popolazione e dello sport (DDPS): quest’ultimo è stato dunque interessato dall’evento in misura limitata e i rimanenti Dipartimenti federali hanno subìto ripercussioni soltanto marginali.
Quota di dati sensibili
5182 oggetti, dunque circa la metà degli oggetti di proprietà dell’Amministrazione federale, contenevano dati sensibili quali dati personali, informazioni tecniche, informazioni classificate e password. Più precisamente, 4779 dei 5182 oggetti summenzionati contenevano dati personali quali nominativi, indirizzi e-mail, numeri telefonici, indirizzi postali ecc. Un gruppo di 278 oggetti conteneva informazioni tecniche quali informazioni su sistemi IT, requisiti di applicazioni o descrizioni dell’architettura di sistemi. Un ulteriore pacchetto di 121 oggetti conteneva informazioni classificate ai sensi della legislazione sulla protezione delle informazioni. Infine, quattro oggetti contenevano password.
Sfide poste all’analisi
Per determinare l’origine, le caratteristiche e l’entità dei dati sottratti sono state necessarie analisi lunghe e approfondite. Le serie di dati non strutturati hanno dovuto essere elaborate e rese leggibili con il ricorso ad appositi strumenti. Dopodiché gli oggetti riconosciuti come determinanti hanno dovuto essere consultati e suddivisi in categorie manualmente. Gli Uffici federali e i fornitori di prestazioni interessati hanno operato in stretta collaborazione nel quadro della gestione dell’evento sotto la direzione dell’ex NCSC. A tal fine sono state utilizzate le possibili sinergie e le risorse disponibili sono state impiegate in maniera opportuna per guadagnare tempo prezioso.
Inchiesta amministrativa
Per un’elaborazione esaustiva della fuga di dati presso la società Xplain, il Consiglio federale ha istituito il 28 giugno 2023 uno stato maggiore di crisi politico-strategico «Fuga di dati» e il 23 agosto 2023 ha ordinato un’inchiesta amministrativa. Quest’ultima dovrebbe concludersi entro la fine di marzo 2024. Al termine dell’inchiesta il Consiglio federale sarà informato in merito ai risultati e alle raccomandazioni ai fini delle ulteriori decisioni.
Indirizzo cui rivolgere domande
Comunicazione UFCS
+41 58 465 04 64
media@ncsc.admin.ch
Pubblicato da
Ufficio federale della cibersicurezza
https://www.ufcs.admin.ch
Segreteria generale del DDPS
https://www.vbs.admin.ch/