Cyber spionaggio: nel mirino l’industria automotive europea

In un’industria così tecnologica e innovativa l’importanza della sicurezza informatica continuerà a crescere insieme alla globalizzazione

Da sempre, l’automotive è uno dei comparti più innovativi. In un’industria così influenzata da tante e differenti tecnologie – tra cui computer, information security, comunicazioni, reti e crittografia – l’importanza della sicurezza informatica continuerà a crescere parallelamente al ritmo della globalizzazione e delle comunicazioni. Man mano che i veicoli saranno sempre più complessi e connessi a internet, diventeranno più vulnerabili agli attacchi informatici. Lo spionaggio informatico è una grande minaccia per lo sviluppo, la produzione e la vendita dei veicoli; dato che l’industria automotive è altamente competitiva, e non solo tra i diversi produttori, ma anche tra i differenti Paesi, esiste quindi un grande slancio verso le nuove tecnologie e l’innovazione.

FireEye osserva sempre più spesso attività di cyber spionaggio contro l’industria automotive principalmente da parte di gruppi legati alla Cina, ma anche di gruppi nordcoreani e di gruppi con sospetti legami con il Vietnam. Questi aggressori state-sponsored (ovvero finanziati da uno Stato) hanno come obiettivo quello di rubare informazioni ai produttori di automobili, e nutrono un particolare interesse per i dati relativi alle ricerche specie se innovative, ma anche per informazioni sullo sviluppo e sulla proprietà intellettuale, che possano fornire un qualsiasi tipo di vantaggio competitivo.

Gli attaccanti nation-state possono anche prendere di mira l’industria automotive per ottenere informazioni sulle nuove tecnologie sviluppate per scopi militari. Il furto della proprietà intellettuale non è una novità ma il prendere di mira i costruttori automobilistici (anche i team di F1 potrebbero essere parte delle aziende colpite) potrebbe fornire agli attaccanti nation-state una serie di informazioni critiche come ad esempio quelle sviluppate per i governi o gli enti militari, compresi i progetti relativi ai veicoli autonomi, all’intelligenza artificiale, ai dettagli dei sensori e persino informazioni su come installarli.

Nel passato, l’attività di cyber spionaggio nel settore automobilistico si è concentrata principalmente verso i risultati dei dipartimenti di ricerca e sviluppo dei produttori, con gruppi hacker particolarmente interessati ai progressi tecnici dei produttori occidentali, utilizzandoli poi per il proprio sviluppo economico. Più recentemente, sono stati presi di mira anche dati e processi operativi. Grazie alla progressiva modernizzazione e digitalizzazione, anche i dati sulle intelligenze artificiali per la guida autonoma e le informazioni per lo sviluppo di potenti batterie sono stati al centro degli obiettivi degli hacker. In tutti questi casi, le informazioni rubate hanno la possibilità di causare un significativo danno all’azienda colpita.

L’intero settore automotive è un’enorme ricchezza per i cyber criminali che mirano a ottenere un guadagno economico, o scatenare una potenziale guerra informatica con un danno finanziario notevole ottenendo così un vantaggio competitivo. Negli ultimi anni i ricercatori hanno rilevato intrusioni nell’industria automotive in tutta Europa, principalmente da parte di attaccanti cinesi. Altre attività rilevate sono state condotte da Nord Corea e Vietnam.

Il gruppo vietnamita APT32 legato allo Stato rivolge le sue “attenzioni” ad aziende automobilistiche straniere in attività che sembrano destinate a sostenere gli obiettivi di produzione di veicoli del proprio Paese. FireEye ha visto aumentare l’attività di APT32 a partire dal febbraio 2019; queste operazioni non sembrano essere finalizzate all’acquisizione di proprietà intellettuale ma molto più probabilmente alla ricerca di informazioni sulla organizzazione e il funzionamento delle aziende.

Il gruppo si ha attaccato inoltre aziende di sicurezza, di infrastrutture tecnologiche e di consulenza e anche attivisti politici. Mentre gli attaccanti che provengono dalla Cina, dall’Iran, dalla Russia e dalla Corea del Nord rimangono i gruppi state-sponsored più attivi monitorati da FireEye, nel cyber spionaggio, gruppi come APT32, sono rappresentativi di un numero crescente di nuovi Paesi coinvolti in questa tipologia di attività.

Fornitori e altre terze parti sono stati presi di mira da parte di attaccanti alla ricerca di informazioni sul settore automotive.

“Paradossalmente i fornitori possono sembrare a prima vista obiettivi di poco interesse per i cyber criminali. Aggredire queste realtà, invece, è l’opzione più facile per gli attaccanti per poter poi arrivare alle aziende dell’automotive: compromettendo i fornitori possono, infatti, agevolmente raggiungere le reti delle aziende con cui i fornitori lavorano. Indipendentemente dal fatto che l’accesso sia ottenuto attraverso terzi o direttamente, un produttore in questo settore potrebbe essere vittima una serie di azioni malevole, incuso lo spionaggio, il furto di dati, l’interruzione dei processi di produzione e fino ad arrivare alla compromissione dei sistemi usati a bordo dei veicoli”, dichiara Gabriele Zanoni, EMEA Solutions Architect di FireEye.

La sicurezza delle reti è indispensabile ed è quindi imperativo possedere una strategia tecnologica avanzata. Anche i processi di autenticazione possono avere gravi falle nella sicurezza. Anche se le minacce alla sicurezza continuano a evolversi, la maggior parte delle organizzazioni continuano a basarsi su soluzioni di sicurezza reattive e basate solo su sull’uso di prodotti per proteggere le loro risorse di maggior valore. La sola tecnologia non basta a proteggere totalmente da un attaccante particolarmente determinato, ad aggravare questa condizione c’è da aggiungere che è difficile e costoso trovare, assumere, formare e trattenere in azienda gli esperti di sicurezza, in particolar modo per quelli specializzati nella identificazione delle minacce più sofisticate.

È fortemente consigliato il monitoraggio della rete 24 ore su 24 con un approccio proattivo con analisti esperti in grado di sfruttare le più recenti informazioni sugli attaccanti ottenute tramite l’esperienza nella risposta agli incidenti informatici. Il servizio gestito di rilevamento e risposta alla cyber minacce combina le più alte competenze di sicurezza informatica riconosciute nel settore, le tecnologie e una conoscenza senza pari riguardo gli attaccanti per contribuire così a minimizzare l’impatto di una violazione. I professionisti specializzati nella sicurezza informatica possono così monitorare costantemente le minacce informatiche globali e sfruttare l’intelligence per conoscere i sistemi usati dagli aggressori, le campagne di attacco in corso, le tecniche, tattiche e procedure usate dagli avversari e, in ultimo, le informazioni su come le vittime sono state compromesse: queste informazioni arrivano dalle attività svolte in prima linea nella gestione degli attacchi informatici che sono diventati i più noti al mondo.