Scenari da cyberwar quelli delineati recentemente, quando si è scoperto che BMW e Hyundai sono state sotto attacco hacker da parte dei vietnamiti di OceanLotus.
L’attacco del gruppo di hackers vietnamiti è iniziato nella primavera del 2019. Lo rivela la Bayerischer Rundfunk, ovvero l’emittente radiotelevisiva pubblica locale del Land tedesco della Baviera associata ad ARD. Secondo la tv bavarese, lo scorso fine settimana BMW ha rimosso dalla rete i computer compromessi tramite Cobal Strike, dopo che gli esperti di sicurezza avevano monitorato gli hacker per mesi. Da notare come Cobal Strike sia di per sé uno strumento assolutamente legale, ma che può essere utilizzato come in questo caso come strumento di penetrazione su reti altrui.
Perchè gli esperti di sicurezza hanno aspettato così tanto prima di bloccare l’attività hacker? Semplicemente si tratta di una operazione simile a quanto accade nel controspionaggio: generalmente nel momento in cui ci si accorge che una “porta” è aperta, si controlla l’attività hacker per valutare la sua profondità, l’eventuale entità dei dati trafugati o magari forzarli per fargli prelevare informazioni falsate o comunque modificate.
Pare che in questo caso gli hacker non siano riusciti ad avere accesso ad alcun dato sensibile e che non sarebbero riusciti ad accedere ai sistemi presso la sede dell’azienda a Monaco. Sebbene BMW non commenti i singoli casi, ha dichiarato che “Abbiamo implementato strutture e processi che riducono al minimo il rischio di accesso esterno non autorizzato ai nostri sistemi e ci consentono di rilevare, ricostruire e recuperare rapidamente i dati in caso di incidente“.
Anche Hyundai sarebbe stata attaccata nello stesso modo, ma non ci sono stati riscontri da parte dell’azienda coreana.
Gli strumenti ed il modus operandi utilizzato dagli hacker durante gli attacchi portano a pensare sia opera del gruppo OceanLotus (noto anche come APT32 o Cobalt Kitty) che negli ultimi mesi ha preso di mira l’industria automobilistica. Secondo alcune fonti, APT32 potrebbe essere stato alla base di attacco diretto a più concessionari Toyota e Lexus, riuscendo a mettere le mani sui dati personali di circa 3,1 milioni di clienti.
[embedcontent src=”twitter” url=”https://twitter.com/ItsReallyNick/status/1106192887556042752″]
Non solo, perchè il tutto incomincia ad avere i connotati dell’intrigo internazionale. Secondo Dror-John Röcher di DCSO (Organizzazione tedesca per la sicurezza informatica), la predilezione di OceanLotus nel prendere di mira le case automobilistiche è stata osservata subito dopo che la Repubblica Socialista del Vietnam ha deciso di iniziare a costruire le prime automobili vietnamite, Vinfast, delle quali avevamo parlato in tempi non sospetti qui. Guarda caso, precedentemente, gli obiettivi di OceanLotus includevano dissidenti o Paesi percepiti dal Vietnam come rivali.
Sempre secondo Dror-John Röcher, come riporta Bayerischer Rundfunk, non ci sono prove concrete che il gruppo agisca per conto dello stato vietnamita. Tuttavia, osservando quanto accaduto ed analizzando gli obiettivi, secondo l’esperto informatico ci sarebbero prove evidenti che a guadagnarci dalle azioni del gruppo ci sia anche lo stato vietnamita.
Un attacco in grande stile, se la VDA, ovvero l’Associazione Tedesca dell’Industria Automobilistica ha ritenuto opportuno inviare un’e-mail con un messaggio di avvertimento su possibili attacchi informatici di OceanLotus contro le case automobilistiche tedesche.