Nella notte tra il 31 maggio e il 1 giugno la filiale statunitense del colosso agroalimentare brasiliano JBS è stata vittima di un attacco informatico su larga scala. Si è trattato di un intervento hacker coordinato che ha colpito contemporaneamente gli apparati produttivi presenti in Canada, Australia e Stati Uniti. L’azienda in una nota ha dichiarato: «JBS Usa ha scoperto di essere stata l’obbiettivo di un attacco organizzato alla sicurezza informatica che ha colpito molti dei server su cui si basa il suo sistema informatico in Nord America e Australia». Qual è stata l’origine di tale attacco? Le indicazioni del FBI  JBS: FBI says Russia-linked group hacked meat supplier – BBC News, fanno risalire l’attacco ad un gruppo di hacker chiamato REvil, attribuendolo ad una matrice russa, anche se al momento si tratta di ipotesi non confermate.

Quali sono state le conseguenze dell’attacco? In primo luogo va compreso chi è JBS: si tratta del più grande esportatore di carne al mondo, specializzato in prodotti di manzo, pollo e maiale. Oltre che in Brasile e negli altri Paesi latino-americani, è presente negli Stati Uniti, in Canada, Australia, Nuova Zelanda e Regno Unito, con significative esportazioni verso la Cina e il mercato asiatico. L’attacco informatico è stato portato con tecnica ransomware. Tutti gli impianti di macellazione della carne e della lavorazione dei prodotti alimentari destinati alla grande distribuzione sono stati fermati. Nonostante gli effetti dell’attacco siano risultati circoscritti, il suo impatto è stato tutt’altro che trascurabile.

Secondo le stime del dipartimento dell’agricoltura del Governo degli Stati Uniti, a causa dell’attacco alla JBS, i produttori di carne statunitensi hanno macellato il 22% in meno di bestiame rispetto alla settimana precedente e il 18% in meno rispetto allo stesso periodo del 2020. Si tratta di una situazione di crisi che potrebbe portare ad un aumento dei prezzi tra l’1 e il 2% dei prodotti a base di carne e della stessa carne lavorata e venduta dalla JBS e dall’indotto collegato alla corporation. L’attacco alla JBS è stato preceduto, sempre a maggio, da un evento pressoché analogo accaduto a Colonial pipiline, il principale oleodotto degli Stati Uniti. È un’infrastruttura cruciale: consta di una rete di quasi 9.000 km, che trasporta il 45% del fabbisogno di carburante delle regioni orientali degli Stati Uniti; oltre 2.5 milioni di barili/giorno tra benzina, diesel, carburante per velivoli e riscaldamento dalle raffinerie del Golfo del Messico, in Texas, a New York.

L’attacco è stato fatto risalire a DarkSide che, dopo aver preso in ostaggio i sistemi di Colonial è entrato in possesso di enormi quantità di dati e di segreti industriali: oltre 100 gigabytes che ha bloccato e minacciato di pubblicare. Darkside è un gruppo di pirati informatici con il centro nevralgico in Paesi dell’ex URSS. È responsabile finora di hacker attacks ai danni di oltre 80 aziende, ma rivendica un codice etico che risparmia ospedali, ospizi, scuole, filantropie e agenzie governative. Si tratta di un business criminale estremamente redditizio: la media dei riscatti richiesti da DarkSide è salita a 850.000 dollari, con picchi di 50 milioni.

Per quanto riguarda Colonial, il pagamento, confermato dai vertici aziendali, è stato di 4.4 milioni di dollari in Bitcoin (Colonial Pipeline boss confirms $4.4m ransom payment – BBC News).  La paralisi dell’oleodotto più grande d’America ha portato conseguenze rilevanti, generando difficoltà distributive in tutto il Paese, con gravi carenze in diverse aree. L’eco sulla sicurezza è stata così ampia da comportare il fatto che perfino il presidente Biden abbia parlato di emergenza nazionale. Nonostante l’avvenuto recupero, da parte del FBI, di una buona parte del riscatto corrisposto (Recuperati i bitcoin pagati agli hacker per riattivare i sistemi di Colonial | Euronews) il tema della cyber criminalità permane, in quanto gli attacchi hacker risultano sempre più frequenti, ben organizzati ed invasivi. Il caso recente più eclatante è stato quello di SolarWinds, classificato come “grande attacco agli Stati Uniti” e scoperto nel dicembre 2020.

Si è trattato di un attacco alla supply chain: significa che anziché prendere di mira direttamente un obiettivo, gli hacker hanno agito alla lontana, colpendo i suoi fornitori. Il più famoso di questi fornitori è appunto SolarWinds, una società informatica texana che produce Orion, un software di gestione delle reti aziendali. Gli hacker hanno ottenuto l’accesso al sistema di aggiornamento di Orion e quando, nel marzo del 2020, SolarWinds ha pubblicato un aggiornamento di Orion, l’hanno sfruttato per installare una backdoor (“porta di servizio”: è un programma che consente di entrare in un sistema informatico senza che il proprietario se ne accorga) nelle reti interne dei clienti di SolarWinds. Degli oltre 300.000 clienti di SolarWinds (tra cui tutti tutte e cinque le Forze Armate USA, il Pentagono, la NASA, l’NSA, i Ministeri e l’Ufficio di Presidenza della casa Bianca, le dieci più grandi compagnie telefoniche USA, centinaia di università e migliaia di uffici pubblici) pare che ne siano stati effettivamente colpiti circa 18.000. Una volta all’interno dei sistemi informatici, gli hacker hanno probabilmente creato un accesso persistente, installando altre backdoors difficilmente individuabili.

Le conseguenze? Secondo gli esperti informatici, solo per capire quanto l’attacco sia andato in profondità, potrebbero volerci dei mesi, tempo che si estenderebbe a numerosi anni per rimettere tutti i sistemi in sicurezza. I danni sono di fatto incalcolabili. Tali vicende dimostrano quanto sia vulnerabile il sistema informatico americano, nelle sue infrastrutture strategiche. Pierluigi Paganini, membro del gruppo Cyber Threat Landscapes di ENISA (European Union Agency for Network and Information Security) e CEO di CYBHORUS, ha recentemente dichiarato: «L’attacco a JBS, così come quello contro Colonial Pipeline, dimostrano come un attacco opportunistico ed apparentemente finanziariamente motivato possano avere un impatto devastante non solo sulle vittime, ma sull’intero settore in cui operano – precisando – La paralisi dell’intero sistema produttivo di un’azienda indica l’incapacità della stessa ad individuare tempestivamente la minaccia e i lunghi tempi di risposta per le attività di remediation suggeriscono l’inadeguatezza delle procedure di risposta agli incidenti. Talvolta, addirittura, le vittime preferiscono cedere al ricatto dei criminali per velocizzare il ripristino delle operazioni». La conclusione dell’esperto è risoluta: «Non vi è dubbio che occorre un nuovo approccio alla cyber security che si fondi sulla consapevolezza dei rischi e sulla condivisione tempestiva delle informazioni inerenti le minacce».

La questione cyber security si intreccia inevitabilmente con quella geopolitica: è chiaro infatti che gli hackeraggi ai sistemi strategici (sia industriali che militari) di un Paese sono delle vere e proprie armi in grado di cambiare le sorti economiche, politiche e finanziarie degli equilibri globali. Uno scontro tra le potenze non potrà che essere anche cibernetico. La rilevanza della questione è dimostrata dal fatto che ad essa è stato dedicato un punto specifico dell’agenda del primo bilaterale Biden-Putin, che si terrà il 16 giugno a Ginevra. In un sistema che, all’uscita dalla pandemia, risulta sempre più digitale, la salvaguardia dei sistemi informatici delle aziende strategiche e della logistica dei trasporti (di persone e mezzi) è un’assoluta priorità anche per l’Europa. Essa dovrà pertanto ricoprire un posto di massimo rilievo all’interno dell’agenda del Next Generation EU, pena non solo la dipendenza dagli altri grandi attori del mondo, ma anche il concreto rischio di sudditanza nei loro confronti.