Attacco hacker al Vaticano, cosa sappiamo al momento

Pierguido Iezzi

In un attacco di phishing, i criminal hacker hanno nascosto un malware facendolo apparire come una lettera di condoglianze del cardinale Pietro Parolin

Negli ultimi tre mesi i criminal hacker cinesi si sono infiltrati nelle reti del Vaticano, in un apparente campagna di spionaggio per sondare il terreno prima dell'inizio di delicate trattative diplomatiche con Pechino. L'attacco è stato rilevato da Recorded Future, una società con sede a Somerville negli Stati Uniti. 

 

Colti in pieno

Gli hacker sono stati colti in pieno, cosa abbastanza rara per un gruppo di persone che ama agire nell’ombra, soprattutto considerato il livello di expertise messo in campo di quelli di Pechino. Nel loro mirino non solo la Santa Sede, ma anche la Missione di Studio del Vaticano in Cina (il gruppo di rappresentanti vaticani de facto con sede a Hong Kong che hanno avuto un ruolo nel negoziare lo status della Chiesa cattolica in Cina). 

 

Ma perché questo interesse proprio adesso?

 

Il Vaticano e Pechino dovrebbero iniziare i colloqui a settembre sul controllo della nomina dei vescovi e sullo status dei luoghi di culto nell'ambito del rinnovo di un accordo provvisorio firmato nel 2018 che ha rivisto i termini delle operazioni della Chiesa cattolica in Cina.

 

L’attacco

La serie di attacchi è iniziata all'inizio di maggio e non si è trattato di un lavoro “grossolano”. Un malware nascosto all'interno di un documento che sembrava essere una lettera legittima del Vaticano a mons. Javier Corona Herrera, il cappellano che dirige la missione di studio a Hong Kong, sembra essere stato il catalizzatore. Si è trattato di un inganno astuto: il file addirittura era stato inviato assieme a una mail sulla carta intestata ufficiale dell'arcivescovo Edgar Peña Parra, sostituto per gli affari generali della Segreteria di Stato della Santa Sede. La lettera, che di fatto non era altro che un attacco di phishing, conteneva un messaggio del cardinale Pietro Parolin, segretario di Stato del Vaticano, “secondo in comando” del Papa. Nel suo messaggio il cardinale Parolin esprimeva le condoglianze di Bergoglio per la morte di un vescovo. Non è chiaro se la lettera sia stata falsificata o se si tratti di un documento reale che gli aggressori avevano ottenuto e poi collegato a un malware che dava loro accesso ai computer degli uffici della chiesa di Hong Kong e ai server di posta del Vaticano. Secondo Recorded Future l’attacco è da ricondurre a un gruppo noto con il nome di RedDelta. Le tattiche impiegate, secondo i ricercatori americani, erano simili a quelle di altre operazioni di hacking “sponsorizzate” da Pechino già identificate in passato. Ma c'erano anche nuove tecniche e nuovi codici, rendendo l’identificazione al 100% molto difficile.

  

I dettagli

L’attacco ha avuto inizio a metà maggio 2020 e si è protratto fino al 10 giugno. In questa prima fase i server del Vaticano e delle altre organizzazioni vittime hanno “comunicato” verso l’esterno grazie al malware PlugX C2, proprio quello contenuto nella mail di phishing. Dal 10 giugno in poi c’è stata l’escalation, alla prima infezione sono subentrati due nuovi malware, questa volta però, sembra che l’attacco abbia avuto origine in Italia. Secondo quanto estratto dall’analisi di Recorded Future infatti, un indirizzo IP italiano è stato usato per prendere il controllo degli host vaticani nella seconda fase. Il sospetto adesso è che una permanenza così lunga all’interno della Rete del vaticano (si crede terminata lo scorso 21 luglio) abbia portato in dote ai criminal hacker molto di più dei soli documenti relativi all’accordo diplomatico con la Cina, magari materiale sui dossier più scottanti all’attenzione della Santa Sede.

 

Il coinvolgimento di indirizzi IP italiani ha fatto anche entrare in gioco nelle indagini anche gli investigatori italiani e ha già allertato gli organismi di sicurezza del nostro paese. Il Vaticano è stato informato preventivamente della pubblicazione del Rapporto del 27 luglio dai responsabili di “Recorded future” e da allora sono partiti gli approfondimenti della Gendarmeria di Oltretevere. Una nota curiosa, in passato, durante il cosiddetto Vatileaks2, emerse che il primo cerchio di sicurezza informatica del Vaticano era stato violato. Nel corso del processo che durò 9 mesi (2015-2016) emerse che il principale imputato poi condannato, monsignor Vallejo Balda era in contatto con emissari cinesi interessati allo stato di salute di Papa Francesco e li aveva raggiunti a Dubai.

Di più su questi argomenti: