Cominciamo dai fatti.
30 gennaio 2019: Airbus rilascia un comunicato stampa con cui annuncia di aver subito un attacco cyber, in particolare l'incidente riguarda la parte commerciale dell'azienda. Si tratta di accesso non autorizzato a dati aziendali. Annuncia inoltre che non vi è alcun impatto sulle operazioni commerciali di Airbus.
Airbus, ricordiamolo, è una società europea con base nei Paesi Bassi, attiva nel campo della produzione di aeromobili, dello Spazio e della Difesa e degli elicotteri. Tra le sue attività sia per uso interno che a favore dei suoi clienti vi è anche la cyber defense.
Il comunicato prosegue dicendo che l'incidente è sotto analisi da parte dei propri esperti che hanno intrapreso tutte le azioni necessarie a rinforzare le misure di sicurezza esistenti e a mitigare l'impatto potenziale nonché ad identificare l'origine dell'attacco. La società afferma che le analisi mirano a capire anche se i dati presi di mira riportano ad un possibile obiettivo, in ogni caso si è verificato l'accesso a dati personali, principalmente contatti professionali e riferimenti IT di impiegati di Airbus in Europa.
Il comunicato stampa del 30 gennaio termina con la frase di rito relativa ai contatti regolari con le autorità del settore, comprese quelle del settore Data Protection e con la rassicurazione che gli impiegati della Airbus sono stati informati affinché prendano tutte le necessarie precauzioni nel prosieguo delle attività.
La stampa si occupa del caso qualche giorno dopo l'annuncio. Il giornale "Challenges" il 4 febbraio riporta che secondo delle dichiarazioni concordanti (provenienti da fonti statali e da fonti prossime alla società) il "modus operandi" utilizzato nell'attacco è simile a quello impiegato da un gruppo cyber che opera dalla Cina. Sembra che l'obiettivo fosse quello di impadronirsi di documenti tecnici relativi alla certificazione degli aeromobili. Lo schema d'attacco impiegato è infatti simile a quello di APT 10, anche se probabilmente più sofisticato.
Sembra che l'attacco sia iniziato a dicembre e fosse stato diretto verso uno dei fornitori di Airbus, per poi passare al vero obiettivo.
Naturalmente l'attribuzione è basata su indizi, ben diverso sarà poterlo dimostrare.
Notiamo che l'andamento in borsa della azioni non ha risentito (almeno apparentemente) di quanto accaduto.
In ogni caso quanto accaduto è ancora una volta indice di quanto sia pericoloso un attacco di tipo "supply chain attack", condotto verso una terza parte, di solito una società sub-fornitrice del vero obiettivo, dotata di scarse o nulle difese cyber.
Per approfondire:
- https://www.airbus.com/newsroom/press-releases/en/2019/01/airbus-stateme...
- https://www.challenges.fr/entreprise/transports/cyberattaque-contre-airb...
- https://www.mirror.co.uk/travel/news/breaking-airbus-cyber-attack-believ...
- https://www.fireeye.com/current-threats/apt-groups.html#apt10
- https://www.cshub.com/attacks/articles/incident-of-the-week-airbus-repor...
- https://www.csoonline.com/article/3191947/data-breach/what-is-a-supply-c...
Foto: Airbus