L’8 settembre 2023 un gruppo di hacker americani ha paralizzato i sistemi informatici di MGM Resorts International, la lussuosa catena di alberghi statunitensi con oltre 300 strutture nel mondo, da Las Vegas a Macao. L’attacco ha costretto clienti e proprietari a ritornare a un mondo “analogico”, rinunciando a carte di credito e chiavi elettroniche. Per il ritorno alla normalità, i cybercriminali hanno chiesto 30 milioni di dollari. Ma il colosso statunitense ha rifiutato di pagare, preferendo perdere circa 100 milioni e contrattaccare. La normalità è stata prontamente rinstaurata, ma lo spettro degli attacchi hacker continua a essere una delle preoccupazioni strategiche delle aziende e degli Stati di tutto il mondo.
Le dinamiche
Il gruppo dietro l’attacco alla MGM si chiama Star Fraud e, secondo le autorità USA, è nato da una comunità online che si chiama Com. Virtualmente sconosciuta fino a cinque anni fa, la community è diventata uno dei principali problemi di cybersicurezza per gli Stati Uniti. Gli hacker provenienti dal gruppo hanno rubato milioni di dollari in criptovalute, ingannato agenti dell’FBI, hackerato colossi come Microsoft, Invidia e Meta.
Per entrare nei sistemi di MGM Resorts International, Star Fraud ha contattato un dipendente della società su LinkedIn. È bastato qualche minuto di conversazione e gli hacker sono riusciti a entrare nella rete aziendale. Tecnica nota come ingegneria sociale, ovvero impossessarsi delle credenziali personali di un dipendente.
Dopo la paralisi dei sistemi, però, MGM ha preferito rispondere all’attacco. Ha accettato il gioco secondo la più vecchia regola di Las Vegas: Il banco vince sempre. La società si è rivolta a CrowdStrike, che ha gestito più di 50 attacchi della community Com. Diversa dalla risposta dei rivali di Caesars, altra catena di Las Vegas. Il colosso degli hotel aveva infatti scelto di pagare la richiesta di riscatto da 30 milioni di dollari durante la scorsa estate.
A surprisingly young cohort of hackers paralyzed some of Las Vegas’ biggest hotels and casinos last fall, demanding an exorbitant ransom. The FBI and cybersecurity researchers call them “Scattered Spider.” Bill Whitaker reports, Sunday. https://t.co/mEN4CWeXMW pic.twitter.com/mHVhny44l6
— 60 Minutes (@60Minutes) April 11, 2024
La minaccia cibernetica
Gli attacchi hacker sono ormai diventati la normalità e stanno ridisegnando le priorità securitarie degli attori mondiali. La minaccia informatica prioritaria è il cosiddetto attacco DDoS (Distributed denial-of-service). Il meccanismo mira a rendere indisponibile un sistema informatico sovraccaricandolo con traffico dannoso. Il modo più semplice per farlo è utilizzare malware che si insinuano nella difesa dei dispositivi elettronici prendendone il controllo.
Gli obiettivi degli Hacker ricadono su governi, istituzioni e aziende. Il modus operandi è molto spesso lo stesso. Dopo aver messo fuori uso un sistema informatico richiedono un riscatto che molti enti, una volta messi alle strette, sono costretti a pagare. Ciononostante, il consiglio dell’FBI è quello di non pagare gli Hacker e di contrattaccare. Secondo l’azienda Coveware, circa il 30% delle vittime ha potato per il pagamento negli ultimi 4 mesi del 2023, partendo da una soglia del 72% di quattro anni prima, con una media di circa 500mila dollari di pagamenti.
L’intreccio tra informatica e geopolitica risulta spesso nelle cosiddette cyberwar. La guerra segue l’evoluzione tecnologica e, come conseguenza, internet è entrato a gamba tesa nella conduzione dei conflitti. Basti pensare alla guerra in Ucraina, dove, solamente nel 2022, si sono registrati 4500 attacchi informatici. L’avanzata di terra e i raid aerei molto spesso vengono accompagnati da attacchi DdoS e malware. L’attacco più grande è stato condotto ai danni dell’azienda di telecomunicazioni Kyivstar. Si tratta di un’azienda che serve più di 24 milioni di clienti in tutto lo Stato.
La crescita del fenomeno ha portato gli Stati a incrementare i meccanismi di difesa informatica. Per esempio, gli Stati Uniti hanno da tempo avviato trasformazioni per rendere le loro infrastrutture digitali più solide.
Stuxnet: il primo attacco informatico della storia
Stuxnet è passata alla storia come una delle più grandi offensive cibernetiche della storia. Nel 2006, l’allora presidente americano George Bush diede l’ordine di attaccare ciberniticamente l’impianto nucleare di Natanz, un’infrastruttura l’arricchimento dell’uranio in Iran. L’attacco si sviluppò con un malware volto a bloccare le turbine dell’impianto.
All’epoca, Stati Uniti e Israele erano infatti già concentrati sul programma nucleare iraniano e la scelta della via cibernetica sembrò più discreta e responsabile di un raid aereo. Nei primi mesi del 2010, fu portata avanti l’operazione Olympic Games in collaborazione tra gli USA e alcuni informatici israeliani. L’inizio dell’infezione sarebbe iniziata con una chiavetta Usb inserita su vari computer da un operatore dell’impianto. Il risultato fu il sabotaggio delle centrifughe. Di 9000 attive, solamente 3700 rimasero in funzione. La situazione, però, sfuggì di mano, diffondendosi fino in Russia e Bielorussia.
Successivamente, il virus è stato neutralizzato. Tuttavia, si confermò nella storia come l’apripista per gli attacchi cyber-fisici e ancora oggi continua a influenzare le strategie securitarie globali.
