Ladri di dati: quei cyber-criminali che attaccano aziende e case farmaceutiche per carpirne i segreti, con la regia della Cina

Siamo quasi al traguardo. La corsa per il vaccino per il Covid-19 è alle battute finali: le prime dosi sono arrivate e la campagna di vaccinazione è iniziata, dopo mesi di test e ricerche. Una competizione che ha visto in ballo non solo interessi economici, ma anche gli equilibri geopolitici tra le potenze del pianeta: i paesi arrivati prima avranno vantaggi enormi rispetto agli altri. Per questo nella gara tra scienziati e ricercatori non sono mancati i colpi bassi. Fra chi ha cercato di mettere i bastoni tra le ruote ai contendenti ci sono i cyber-criminali: abilissimi esperti informatici che hanno tentato di rubare le ricerche sul vaccino o che hanno provato a bloccare i sistemi di alcune aziende con attacchi mirati.

L’ultimo caso risale all’inizio di dicembre. Il presidente dell’Irbm di Pomezia Piero Di Lorenzo, che insieme a Astrazeneca sta sviluppando uno dei vaccini contro il virus, il 4 dicembre ha annunciato che i server dell’azienda hanno subito «sette attacchi molto pesanti, lanciati dall’estero», con l’obiettivo di rubare dati sensibili: «Ora non possiamo più utilizzare mail e telefoni per tutte le comunicazioni - ha dichiarato a Repubblica - e le garantisco che è un bel granello di sabbia nell’ingranaggio».

Ma gli attacchi informatici contro le case farmaceutiche, perpetrati da hacker criminali pagati per rubare ogni tipo di informazione, non sono una novità. È lo spionaggio industriale 2.0. Sono esperti informatici, reclutati dai concorrenti ma anche da stati e governi. Le principali minacce arrivano da Russia, Iran, Corea del Nord, e soprattutto Cina. Anche l’Italia è finita nel mirino di questi corsari digitali. Come nel caso di Apt-41.

Volpe nera e Rosa malvagia

Questi gruppi di cybercriminali rimangono ignoti per anni, nonostante le indagini di polizia e servizi segreti di tutto il mondo. Per questo vengono identificati con la sigla “Apt”, advanced persistent threat (minaccia avanzata e persistente, ndr), accompagnata da un numero. Gli hacker di Apt-41, che hanno attaccato anche il nostro paese, fanno eccezione: ai suoi cinque componenti è stato dato un nome e un volto, e sono stati portati alla luce i legami con il governo e con l’esercito della Repubblica popolare cinese.

A capo della banda di corsari digitali c’era Jiang Lizhi, soprannominato Black Fox, la Volpe Nera. Jiang è vicepresidente di Chengdu 404, una società informatica che ha sede nella provincia sud-occidentale di Sichuan. In un’intercettazione inedita, presente nel fascicolo di indagine con cui l'Fbi ha incriminato il gruppo di cybercriminali nel settembre 2020, Lizhi scrive a un suo sodale non ancora identificato di tenere d’occhio le aziende del nostro paese: «La Francia e l’Italia sono un buon obiettivo, ci sono molte società importanti lì. Basta che le cerchi e lavori su quelle».

«L’Italia è stato uno di quei paesi particolarmente colpiti da Apt-41», spiega Gabriele Zanoni, esperto informatico di FireEye, società di sicurezza informatica, che da anni è in prima linea per disinnescare gli attacchi degli Apt. «Lo Stato cinese paga questi gruppi di persone per potere ottenere un vantaggio dato dall’accesso a delle informazioni e sono pagate per eseguire questo tipo di operazioni». Uno dei membri della banda di Lizhi è Tan Dailin, per tutti Wicked Rose, la Rosa Malvagia. Tan è nel mirino degli investigatori statunitensi dal 2005, quando era uno studente della Sichuan University: allora, appena ventenne, aveva partecipato alla simulazione di attacchi informatici per il People Liberation Army, l’esercito cinese.

La squadra di hacker cinesi sotto inchiesta dalla Fbi

Corsari digitali all’arrembaggio

«Questi gruppi riescono dove la maggior parte di hacker falliscono, sorpassando anche i sistemi di sicurezza più all’avanguardia esistenti. E le persone che si occupano di evitare le intrusioni cibernetiche hanno una grande paura delle loro abilità», afferma Ludovico Loreti, esperto di sicurezza informatica. Le tecniche, i software e i codici utilizzati dagli Apt sono raffinatissime. Per prima cosa, individuano l’azienda o il centro di ricerca in possesso dei dati di cui ha bisogno il suo committente. Finita la ricerca, parte lo studio del modo di entrare nei server e nei computer dell’azienda. Ecco quindi che inviano una e-mail che nasconde un file o un link truccato. Una volta aperta da un utente, si installa automaticamente un virus che crea una connessione con il server dei cybercriminali.

Così sono in grado di leggere tutti i contenuti, spiare le operazioni e rubare i file, per poi continuare a diffondersi e infettare tutti i computer connessi alla stessa rete. In questo modo l’hacker è in grado di rubare milioni di dati, rimanendo nell’ombra anche per mesi o addirittura anni. «C’è un notevole flusso di informazioni commerciali e di segreti industriali sottratti dagli Apt cinesi, che sono attivi su due-tre fronti molto significativi», racconta Stefano Zanero, professore del Politecnico di Milano. «Il primo fronte è di natura economica, e questa è una caratteristica molto specifica dei cinesi. Gli altri stati utilizzano le aggressioni informatiche più per motivi tattici e strategici e militari e meno per sottrarre informazioni di carattere commerciale, come fanno gli Apt che attaccano dalla Cina».

Cosa ci guadagna la Cina

La politica del governo di Pechino di arruolare hacker per sottrarre informazioni commerciali ad aziende leader di settore di altri stati si può ricondurre al piano di crescita economica. Il motivo è stato spiegato nel corso di alcune conferenze stampa, dai procuratori del Dipartimento di Giustizia Usa: «La Cina sta usando i cyberattacchi per rapinare e replicare le innovazioni tecnologiche di altri paesi. Non sorprende che abbiano attaccato le stesse industrie che vogliono sviluppare con “Made in China 2025”».

“Made in China 2025” è un programma decennale presentato nel 2015 dal Consiglio di Stato Cinese, che ha lo scopo di far diventare il paese un polo di innovazione tecnologica e di produzione di eccellenza. Tra i dieci settori da sviluppare c’è l’industria farmaceutica e dei dispositivi medici high-tech. Il piano prevede un aumento della produzione per il consumo domestico dal 50 per cento del 2020 al 95 per cento del 2030. L’industria del farmaco cinese negli ultimi anni è in ascesa. Basti pensare che tra 2008 e 2019 la Cina ha immesso sul mercato 44 nuovi antitumorali, a fronte dei soli cinque approvati nei 23 anni precedenti. Nuovi prodotti, che vengono commercializzati a prezzi molto inferiori rispetto a quelli occidentali.

«Abbiamo identificato Apt-41 mentre comprometteva aziende del settore delle biotecnologie, oppure mentre rubavano da delle aziende informazioni sullo sviluppo di farmaci, e dei test clinici riguardo a studi sul cancro», spiega ancora Gabriele Zanoni. «In Cina, il cancro negli ultimi anni è la prima causa di morte», dichiara Roberto Setola, professore dell’università Campus Biomedico di Roma e consulente della presidenza del Consiglio. «Per questo c’è una forte attenzione del governo e una grande richiesta della popolazione per il miglioramento delle capacità di cura. È evidente che acquisire informazioni su sistemi sanitari, su cure e trattamenti è diventato un dominio lucroso per chi vuole espandere i propri affari un mercato sanitario in fortissima espansione, che attualmente non ha ancora raggiunto il massimo sviluppo».

Una gara truccata

In questo contesto, attraverso i furti e le intrusioni informatiche si possono abbattere i costi e i tempi di una ricerca scientifica, risparmiando milioni di euro e anni di studi. «Dal punto di vista della ricerca il fatto di avere a disposizione, bypassando tutti i protocolli di protezione di dati personali, i dati genetici o i dati di screening tumorale di un’ampia fascia di popolazione, è fondamentale», spiega ancora Stefano Zanero. «Sono dati che alcune aziende potrebbero essere tentate di ottenere in modo illecito, perché è molto lungo il procedimento per ottenere queste informazioni in modo corretto».

Assoldando dei cybercriminali le aziende risparmiano tempo e soldi, hanno un guadagno enorme e danneggiano fortemente la concorrenza. «Se dei farmaci sono veramente innovativi, il danno per un’azienda può essere di centinaia di migliaia di milioni di euro», afferma Lorenzo Livi, primario del reparto di radioterapia dell’Ospedale Careggi di Firenze e professore dell’ateneo del capoluogo toscano. «Se gli studi di un’azienda vengono rubati da un hacker si perdono l’idea, il tempo, i soldi dell’investimento e soprattutto la possibilità avere poi l’esclusiva del prodotto sul mercato».

Gli attacchi informatici, nei mesi della pandemia globale, sono costantemente cresciuti: il motivo è la corsa per il vaccino. La motivazione però non è solo sanitaria, ma geopolitica. «La pandemia è stata una grandissima opportunità per tutte le agenzie di intelligence e il governo cinese l’ha sfruttata anche per motivazioni politiche», analizza Jim Lewis, vicepresidente del Center for Strategic and International Studies di Washington. «Non è semplice quantificare il numero di attacchi degli ultimi mesi, ma è impressionante, sia per gli Stati Uniti che per l’Europa. I cinesi sanno che le industrie europee hanno una forte capacità di ricerca, e attaccano noi, come attaccano voi».

Ogni anno la Cina mette a bilancio circa 170 miliardi di dollari per le spese militari e della difesa: nel 2020, nonostante la pandemia, il governo di Pechino ha aumentato il budget del 6,6 per cento. «La Cina spende ogni anno cifre iperboliche, al punto di terrorizzare l’universo», avverte Umberto Rapetto, generale della Guardia di Finanza in congedo e fondatore negli anni ‘90 del Gruppo Anticrimine tecnologico delle Fiamme gialle. «Hanno reparti che fanno difesa e guerra informatica contro realtà militarizzate e grandi aziende. Per poter dar luogo a invasioni senza trincee. La Cina vanta propria potenza digitale, non ha rispetto degli amici». Paesi amici come l’Italia, le cui aziende vengono prese di mira dai suoi cybercriminali.

Attacco agli ospedali

«Esistono due tipi di aziende, quelle che sono state attaccate dagli hacker criminali, e quelle che ancora non lo sanno» dice Zanero, professore al politecnico di Milano: le intrusioni informatiche nei sistemi operativi di istituzioni, società, industrie, università, ad oggi sono inevitabili.

In Italia, negli ultimi mesi, se ne sono resi conto soprattutto ospedali e aziende farmaceutiche. Durante la pandemia, non hanno dovuto fare i conti solo con il Sars-Cov-2, ma con un altro virus, altrettanto pericoloso, di cui spesso ci si rende conto quando ormai è troppo tardi: un virus informatico, che infetta il sistema digitale della sanità italiana, per rubare ogni sorta di dato e ricerca scientifica, da rivendere poi sul mercato nero.

Nelle settimane più difficili della gestione dell’epidemia, nella scorsa primavera, è stato attaccato per primo il centro nevralgico del contrasto al Covid-19 nel nostro paese: l’Istituto Spallanzani di Roma, finito sotto attacco lo scorso marzo. Poi è stata la volta del San Raffaele di Milano, a maggio; ad agosto dell’Ospedale Santo Spirito e a settembre di quello di Tor Vergata, dove sono state sottratte proprio le ricerche sul coronavirus.

Quattro intrusioni informatiche ad alcune delle strutture ospedaliere e di ricerca medica più importanti del paese nel giro di pochi mesi. A cui ne va aggiunta un’altra, del dicembre 2019: a Erba, cittadina di 16mila abitanti in Lombardia, l’ospedale Fatebenefratelli ha subito il furto di ben 35mila radiografie da parte di un gruppo di cybercriminali, che poi hanno chiesto un “cavallo di ritorno”, un riscatto in bitcoin da pagare sul dark web.

Sanità sotto attacco

«L’Italia rappresenta un target molto invitante: abbiamo un servizio sanitario nazionale che ha una lunga storia, che riguarda una popolazione di una consistenza media, medio-grande, 50-60 milioni di individui, e ha una storicizzazione dei dati molto profonda», spiega Francesco Modafferi, dirigente del Dipartimento Sanità e ricerca dell’Autorità Garante della Privacy. «Questo presuppone che tutte le infrastrutture ospedaliere adottino misure di protezione adeguate alle minacce. E siccome le minacce non sono più solo minacce sporadiche, di qualche incursione isolata, ma sono addirittura minacce sistemiche di interi paesi, il livello di protezione deve sicuramente aumentare».

Negli ultimi anni, il numero di attacchi cyber è cresciuto considerevolmente. Lo hanno segnalato i servizi segreti nelle ultime relazioni al Parlamento, sottolineando che nel nostro paese negli ultimi anni sia mancata la consapevolezza della minaccia cibernetica. E lo evidenziano i dati del Clusit, l’associazione italiana per la sicurezza informatica: dal 2014 il numero totale di intrusioni conosciute è passato da poco più di 850 ai quasi 1700 del 2019. Una crescita del 100 per cento. Nel primo semestre del 2020, gli attacchi gravi sono stati invece 850. Il settore della salute è il terzo più colpito, con il 12 per cento degli attacchi. Quelli alle strutture ospedaliere sono il 2 per cento, ma si sono registrati dei picchi mai registrati prima durante l’epidemia di Covid. Dal 2005 a oggi, le cartelle cliniche sottratte duranti i furti informatici sono 300 milioni.
«La sanità ha tre caratteristiche che la rendono un obiettivo goloso per i cybercriminali», analizza Gabriele Faggioli, presidente Clusit. «Per prima cosa, un fascicolo sanitario, una cartella clinica, hanno un costo sul mercato nero dei dati personali molto alto, più alto del costo dei dati dei conti correnti. Un secondo motivo è che gli ospedali sono tipicamente attaccati con sistemi ransomware con attacchi ransomware o phishing, che bloccano i sistemi o criptano i dati presenti nei server, e così bloccano le attività di cura: e così un ospedale è portato quasi sempre a pagare un riscatto. Il terzo motivo è che il mondo sanitario è tecnologicamente molto permeato ma ha sempre avuto pochi investimenti, non sempre indirizzati verso la sicurezza».

Rubare con un click

Quanto è semplice “bucare” un ospedale ce lo ha dimostrato con una simulazione in presa diretta uno dei più abili hacker italiani, Andrea Amani. Da quando è scoppiata l’epidemia di coronavirus, Amani si preoccupa per l'aumento degli attacchi informatici a strutture sanitarie. Bastano pochi minuti e un paio di click per sorpassare le difese cyber di un ospedale. «Esistono dei programmi a cui basta dare in pasto il link del sito che vogliamo attaccare e fanno tutto in modo automatico», spiega Amani, mentre dallo schermo del suo computer iniziano a spuntare i primi dati e una serie di username e password.

«Se tu fai questo tipo di attacco contro un ospedale, puoi ottenere tutti i dati di tutti gli utenti, tutti i dati presenti nel database. In questo caso abbiamo user e password ma se ci fossero state 5mila cartelle, avremmo avuto 5mila cartelle di dati. Non viene fatto da hacker esperti, viene fatto in modo semplice. Chiunque può fare un attacco del genere».

Bastano pochi minuti e un minimo di conoscenze informatiche, e nemmeno quelle di un esperto, per superare le difese informatiche delle strutture sanitarie. Uno dei motivi è lo scarso investimento nella loro sicurezza, sia a livello umano, sia a livello di strutture. «Ci potremmo chiedere chi è il responsabile dell’informatica in un ospedale? Nei grandi nosocomi ovviamente c’è. Ma nei piccoli ospedali è molto più difficile che esistano figure professionali qualificate che non capiscano solo di informatica medica», ragiona il professor Zanero. «Gli scarsi investimenti nel settore si riflettono anche nelle paghe: lo specialista di sicurezza informatica, che in un’azienda privata guadagnerebbe stipendi quasi a cinque zeri, difficilmente andrà a lavorare nel pubblico e molto difficilmente andrà a lavorare per un ospedale».

Anche le strutture informatiche degli ospedali non sono all’avanguardia, il che rende difficile la loro protezione dai ladri di dati. «Noi abbiamo plessi ospedalieri che hanno visto sviluppare dei sistemi informatici di gestione di macchinari complessi che vengono aggiunti di volta in volta all’interno di un dominio ma non vengono ingegnerizzati in maniera sicura», afferma Ivano Gabrielli, direttore del Centro nazionale anticrimine informatico della Polizia postale. «Ci troviamo spesso di fronte a delle reti piatte, a delle reti che permettono a chi riesce a penetrarle di navigare all’interno in maniera libera e quindi di poter arrivare ad esempio a un database in cui sono contenute referti di quel tipo, referti radiologici o cartelle sanitarie. Insomma, il problema è che si va a proteggere un’infrastruttura che non è nata per essere sicura».

Privacy a rischio

Ad essere a rischio sono le nostre informazioni più riservate, quelle sulla nostra salute. Una volta rubate, sono alle mercé di chiunque voglia comprarle. E chi ne viene in possesso può condizionare in più modi la nostra vita.

«Proviamo ad immaginare a chiedere un mutuo in banca e dall’altra parte qualcuno sa quali sono le nostre condizioni di salute. Proviamo a stipulare una polizza vita e la compagnia assicuratrice ci dice “scusa, ma so che hai i giorni contati”. Beh, allora ci rendiamo conto che la riservatezza delle nostre informazioni ha un valore inestimabile», afferma Umberto Rapetto, generale della Guardia di Finanza in pensione, fondatore del Gruppo Anticrimine Tecnologico delle Fiamme Gialle.

«Qualcuno ha saputo affilare le proprie armi, congegnare gli attacchi per poter estrarre quell’insieme di informazioni che sono di interesse non soltanto rispetto all’ambito che saremmo portati in maniera quasi naturale a individuare».

La digitalizzazione della sanità italiana, con le cartelle cliniche ormai diventate informatiche, rischia di essere un boomerang per i pazienti se i dati non vengono messi in sicurezza. «La digitalizzazione del paese è un bene per i cittadini ma se questa digitalizzazione non è accompagnata anche da un’adeguata protezione, rischiamo di farci un clamoroso autogol», spiega Francesco Modafferi, dell’Autorità Garante della Privacy.

Nelle ultime settimane sono stati fatti grandi passi avanti, con il consiglio dei ministri che ha promulgato un decreto attuativo per la creazione di un perimetro di sicurezza nazionale cibernetico. Ma potrebbe non bastare: serve un continuo aggiornamento. «La sicurezza non è un prodotto, è un processo. Dobbiamo costantemente migliorare, perché dall’altra parte c’è gente che raffina le tecniche di attacco continuamente», spiega Roberto Setola del Campus Biomedico di Roma, che aggiunge: «Per cui non avremo mai un punto finale, dobbiamo tenere alta l’attenzione su questa dimensione in modo che siamo pronti a fronteggiare le nuove minacce che ci si presenteranno».

Questa inchiesta è stata finalista e vincitrice della nona edizione del Premio Roberto Morrione ed è stata realizzata grazie al supporto dell’associazione Amici di Roberto Morrione, di cui Domani è media partner.

Federico Marconi e Giorgio Saracino