FOCUS ON

L’impatto delle campagne a fini estorsivi nei casi eclatanti di TA505 e PLAY Team

04 Gennaio 2024

Gli attacchi a fini estorsivi costituiscono una minaccia trasversale che impatta in modo significativo sul business in tutti i settori e ad ogni livello, ma che mette potenzialmente a rischio anche realtà sensibili come quelle governative. Fra tutte le campagne segnalate e rivendicate nel 2023, due hanno avuto caratteristiche di particolare rilievo. Un caso eclatante, per le dimensioni globali che ha assunto nel giro di poche settimane, è costituito dalla campagna di TA505 (Cl0p Team). Un altro è quello di un’offensiva molto mirata, rivendicata da PLAY Team contro un provider di software, che ha avuto ripercussioni su realtà governative e dei trasporti in Svizzera.

La campagna globale di TA505

TA505 ha sfruttato una vulnerabilità 0-day di tipo SQL Injection (CVE-2023-34362) del software per il trasferimento dati MOVEit, sviluppato dalla Ipswitch e ora distribuito dalla Progress Software, adottato a livello aziendale in tutto il mondo. La vulnerabilità è stata sanata dal vendor il 31 maggio, ma l’attacco, preparato con almeno due anni di anticipo, è stato avviato nei giorni 27 e 28 di maggio ed è perdurato per diverse settimane.

Le prime vittime sono state realtà anche di alto livello attive nei settori assicurativo, energetico, dei trasporti, finanziario, governativo, industriale, medico, farmaceutico, tecnologico, dei servizi professionali e dell’intrattenimento, localizzate soprattutto in Nord America ed Europa. Fra di esse, Sony, Shell, Schneider Electric, Siemens Energy, le compagnie assicurative Zurich e ÖKK, la società di sicurezza informatica NortonLifeLock, la multinazionale britannica per il brokeraggio assicurativo AON, la compagnia EY (Ernst & Young) e la multinazionale che offre servizi professionali strategici PwC. Inoltre, è stato segnalato il caso della britannica Zellis, la cui compromissione avrebbe esposto anche informazioni inerenti ai dipendenti di alcune aziende con le quali collabora, tra cui Aer Lingus, BBC, British Airways. L’elenco si è andato via via allungando nel corso dei mesi con la conferma di breach ai danni dell’agenzia governativa francese per l’impego Pôle emploi, che ha impattato i dati di 10 milioni di persone, e di numerose agenzie statunitensi, fra cui i dipartimenti della Difesa e della Giustizia. Complessivamente, si stima l’esposizione di dati sensibili appartenenti oltre 2.600 organizzazioni e più di 83 milioni di individui. Per ottimizzare tempistiche e gestione della condivisione del materiale sottratto, ad agosto, TA505 ha iniziato a sfruttare i torrent.

A conferma della rilevanza di questa campagna, il 16 giugno – nella fase in cui si susseguivano con maggiore intensità le rivendicazioni di TA505 – il Dipartimento di Stato americano ha offerto una taglia di 10 milioni di dollari (circa 9,12 milioni di euro) a chiunque fosse stato in grado di fornire informazioni utili all’identificazione o alla localizzazione di persone coinvolte, su mandato di governi stranieri, in attività cyber contro le infrastrutture critiche statunitensi. Il riferimento al mandato di governi stranieri non sembrerebbe casuale. TA505, infatti, è un gruppo cybercrime strutturato, attivo almeno dal 2014, che in passato potrebbe aver operato in sinergia con altri team russi, sia di matrice crime, che state-sponsored. Gli analisti hanno ipotizzato che nell’ultimo trimestre del 2022 abbia collaborato con APT29 e Sofacy nell’ambito di operazioni di spionaggio e attacchi ransomware contro realtà dei settori finanziario, tecnologico e industriale in America, Europa, Giappone e Asia.

PLAY Team e l’attacco alla compagnia svizzera Xplain

PLAY Team ha messo a segno, a fine maggio, un attacco contro la compagnia svizzera Xplain che avrebbe coinvolto numerose altre realtà del Paese, fra le quali le Ferrovie Federali (FFS), l’Ufficio Federale di Polizia (Fedpol) e l’Ufficio federale della Dogana e della Sicurezza dei Confini (UDSC).

Xplain è una società con sede a Interlaken che sviluppa e distribuisce, fra l’altro, soluzioni software per la pubblica amministrazione e il tool Polaris, adottato anche dalla Polizia ferroviaria.

Il 23 maggio, l’avversario ha rivendicato la violazione di Xplain sul proprio sito del leak. Il 1° giugno è avvenuta la pubblicazione di una parte delle informazioni sottratte, corrispondente a un complessivo di 5 GB, ripartiti in sei archivi RAR compressi. Il team ha specificato che il leak comprende dati confidenziali e finanziari della compagnia e informazioni private dei suoi clienti.

La portata effettiva del breach non è stata definita con chiarezza. Secondo media locali, informazioni relative all’Esercito svizzero, a UDSC, a Fedpol e a diversi corpi di Polizia cantonali, conservate all’interno della rete della società, sono state diffuse nell’underground. Altre fonti di stampa avrebbero segnalato che fra le potenziali vittime vi sarebbero stati anche l’Ospedale universitario di Basilea, la Procura per i minorenni, l’Ufficio per la migrazione e l’integrazione e i servizi penitenziari cantonali e il Canton Argovia, che adotta soluzioni software per l’Ufficio del Pubblico Ministero. Inoltre, stando alla descrizione fornita da Xplain, Polaris è un programma utilizzato per la gestione di investigazioni e fascicoli di competenza della Polizia giudiziaria, amministrativa e di sicurezza. Quindi non si può escludere che dati raccolti nell’ambito di tali attività possano essere stati esposti.

Il 21 giugno, il Governo della Confederazione Svizzera ha annunciato l’avvio di un’indagine su presunte gravi violazioni delle norme sulla protezione dei dati da parte dall’Ufficio Federale di Polizia (Fedpol) e dall’Ufficio federale della Dogana e della Sicurezza dei Confini (UDSC). Ma già il 13 aprile, l’IFPDT aveva avviato un’inchiesta preliminare in merito alle questioni sollevate dal quotidiano svizzero Aargauer Zeitung sulla legittimità dell’accesso dei dipendenti di UDSC al registro nazionale di ricerca (RIPOL) gestito da Fedpol.


Focus On è una serie di approfondimenti su temi e dati analizzati dal team di esperti del Cyber Intelligence Operations Center di TS-Way. Il Centro è diretto da analisti e ricercatori di sicurezza con competenze tecniche e investigative e un’esperienza riconosciuta in ambito internazionale. Produce informazioni su una vasta gamma di minacce cibernetiche e eventi geopolitici consentendo alle organizzazioni di anticipare gli attacchi, comprenderne la portata, potendo contare su un partner affidabile in caso di incidente informatico.