Ministero della Sanità e ASL Roma3 sotto attacco

Oggi giornata impegnativa per il centro della sanità pubblica italiana: Roma. La capitale è la sede del Ministero della sanità pubblica del Paese e, nella suddivisione dei distretti, viene coperta dalle Aziende Sanitarie Locali.

Inizio dunque a scrivere questo articolo, che sarà in aggiornamento vista la scarsità di informazioni ancora pubbliche, a fine giornata. Ma seppur già trascorsa, ancora oggi il sito Internet del distretto Roma3 della ASL (www.aslromad.it) è fuori servizio. Down dei server che perdura da sabato scorso, a causa di un attacco informatico nel cuore del Lazio che, ricordiamo arriva dopo “il ransomware” (ancora senza riscatto!) di LazioCrea (supply chain Regione Lazio): del quale ho ricostruito un ampio scenario sulla sicurezza della sanità laziale, here pochi giorni fa.

La strana coincidenza

A cavallo con questo attacco, si apprende questa mattina dal solito Forum underground uno strano messaggio: si tratta di una rivendicazione di un hack, da parte dell’operatore (o qualcuno al suo posto), che ha come vittima proprio il Ministero della Sanità italiano, anche questo localizzato a Roma.

La notizia esce questa mattina alle 8.22 con questo tweet di Sono Claudio:

L’utente sul forum pone l’attenzione a questo attacco diffondendo la sua storia della vicenda e condividendo dei log di Apache, software server web che sarebbe stato affetto da vecchi 0days.

Tutto ciò che abbiamo su questa vicenda finora è solo un PDF ricostruito della storia divulgata e il contenuto dei logs Apache che in serata sono stati condivisi da Andrea Draghetti: riportanti tra le altre cose, query GET con username e password in chiaro, nelle trasmissioni web.

La storia nel PDF

Riportiamo anche una traduzione del contenuto sostanziale di questa storia che viene raccontata, che sia vera o meno, ha dell’incredibile su come l’Italia e l’Europa siano diventati (molto di più post pandemia) gli zimbelli da deridere in campo sicurezza informatica (che si traduce in potere contrattuale politico nei confronti del mondo):

Sto scrivendo online una storia per alcuni ZeroDay che voglio testare, ecco che arriva un contatto che mi chiede se posso ottenere vaccini, chiede per UE, e più specificatamente per l’Italia.
Ho pensato “No problem” gli sviluppatori italiani sono scimpanzé, sarà semplice se itali funziona via web.
Ho impiegato 8 ore per avere il controllo completo del DB, Linux o la shell che aveva una conoscenza del 90% del sistema (e io avevo quelle credenziali). Ho dato il vaccino al mio amico e ho iniziato a conoscere meglio il sistema, c’era accesso a troppe informazioni critiche, avrei potuto far arrestare le persone cancellando i loro vaccini, avrei potuto ottenere dati sulle spedizioni, qualsiasi cosa relativa all’assistenza sanitaria, ho avuto accesso al 100%, server di posta, bla b la bla, 100% catturato.
A causa della troppa info-struttura critica e non avendo a che fare con alcuna operazione adeguata ho deciso di pagare un annuncio pubblicitario e trovare un acquirente.
Vengo contattato da un ragazzo, chiede screenshot mi dice che sta avviando una società di sicurezza informatica e vorrebbe comprarlo (l’accesso) per segnalarlo,
gli dico di non farlo perchè in Italia sono scimpanzé e lui sta solo sprecando soldi, mi ignora e continua a chiedere l’accesso! Vendo gli accessi per 15k$ in monero, contatta i tecnici per segnalare che dice loro nome e azienda.

Il tecnico dice che non erano a conoscenza dell’hack e che non era possibile, gli hanno chiesto di inviare le prove via e-mail, lui mi chiede le prove e le inoltra ai “tecnici”
passa un giorno, poi gli scrivono una mail chiedendo maggiori informazioni su una possibile “partnership”, smettono di rispondere. Il mio cliente invia loro un’e-mail chiedendo di informare i milioni di utenti danneggiati, come da legge GDPR della violazione, a questo punto parte il ricatto:
1) I tecnici non si sono legittimamente obbligati a divulgare violazioni come da normativa europea GDPR.
2) Hanno ricattato un ricercatore di sicurezza whitehat via e-mail con nomi falsi
3) Lo hanno ricattato su Instagram (WTF)
4) Hanno rimosso una pagina pensando di risolvere il problema. invece di assumere qualcuno di professionale, sono ancora vulnerabili.
Non passando per la via ufficiale e giusta, sono riusciti a cagare su qualsiasi legge e a lasciare vulnerabile una delle strutture informative più, se non la più, vulnerabile.

tl; dr
Non cercare i sistemi italiani. Perché sono poveri scimpanzé ritardati.

La storia diffusa sul forum

L’unico controllo che mi è subito venuto in mente di fare è una comparazione dei DNS per capire come sono gestite queste due coincidenze laziali di questa giornata, ma sembrano non essere in relazione diretta, almeno per ora con ciò che ho in mio possesso: nsis.sanita.it si trova a Roma ma sotto Vodafone (pagina archiviata); aslromad.it è invece gestito da rete Fastweb.

Al momento sembra essere decisamente una coincidenza dei primi di novembre! Rimane sempre il punto interrogativo sul collegamento che viene da pensare con l’attacco LazioCrea (presumibilmente ancora sotto trattativa), gli ospedali locali italiani (es. San Raffaele di Milano e San Giovanni di Roma) e il leak delle chiavi private utili alla firma del QR code per i Green Pass falsi, ma validi. Ora si aggiunge ASL Roma 3 e Ministero della Sanità. Troppe coincidenze?

Aggiornamento del 4/11

L’autore del post “ItalyIsMafia”, ha dato le prove del suo hack al Ministero della Salute.

È stato condiviso un file .rar con dentro informazioni importanti riguardo l’attacco alla struttura del ministero:

Tutto sembra basarsi sulla vulnerabilità ancora non fixata dal 2008. Si usava infatti JBOSS 4.2.3 (che ha cessato l’aggiornamento dal 18/Jul/2008) del sottodominio nsis.sanita.it , ovvero il sito che ospita la form di login che permette l’accesso alle applicazioni del Nuovo Sistema Informativo Sanitario (NSIS).

Nel file sono inoltre contenute scambio mail tra il ricercatore e indirizzi ufficiali e centrali del Ministero. E il file contenente la password di root per l’accesso al server tramite SSH. Ecco gli screenshot

A questo punto, la situazione potrebbe essere autentica, anzi sarebbe doverosa una comunicazione ufficiale da parte del Ministero che chiarisca l’accaduto. Da come stanno i fatti è già tutto abbastanza ridicolo anche così: si parla di una infrastruttura critica, per niente adeguatamente protetta né mantenuta.

Ricordiamo che per problemi di sicurezza al sistema sanitario, persone nel mondo hanno già perso la loro vita. Forse conviene davvero considerarla infrastruttura critica?

Come sempre, se qualcuno è in grado di fornire informazioni importanti sulla vicenda, può comunicare con me tramite i riferimenti sulla pagine dedicata al Whistleblowing oppure tramite il contatto Telegram indicato nei contatti in fondo alla pagina.