Colpito il settore dei trasporti italiano, offensive russe in Europa, la Cina accusa l’NSA di attacchi informatici

MyCicero: breach impatta diverse aziende di trasporto pubblico locale e di mobilità in Italia

Diverse aziende di trasporto pubblico locale e di mobilità in Italia hanno segnalato un breach che ha interessato i dati personali degli utenti delle loro app. La violazione, avvenuta tra il 29 e il 30 marzo 2025, è stata scoperta il 1° aprile 2025 e ha impattato MyCicero (MooneyGo), gestore di servizi informatici per diverse applicazioni. Quest’ultima ha informato le società coinvolte riguardo il breach, avvenuto a seguito di attività malevole condotte da attaccanti esterni non identificati. In particolare, soggetti terzi non autorizzati potrebbero essere entrati a conoscenza di alcuni dati personali degli utenti. Il sistema è stato reso inaccessibile per un periodo di tempo limitato al fine di consentire le opportune verifiche e azioni di sicurezza. Le informazioni potenzialmente esposte riguardano: nome e cognome, indirizzo e-mail, numero di telefono e titoli di mobilità eventualmente acquistati. Non sono invece stati compromessi i dati di accesso e finanziari e quelli relativi alle modalità di pagamento, nonché password. Le diverse società impattate includono: ATM – Azienda Trasporti Milanesi, AMAT Palermo, Società Unica Abruzzese di Trasporto (TUA), Air Campania, ASPO Trasporto Pubblico Olbia, ATMA – azienda trasporti e mobilità di Ancona e provincia, Busitalia e Mobilità di Marca S.p.A. Il rischio più probabile per i clienti è il ricevimento di messaggi di spam contenenti offerte di beni o servizi non desiderati. In aggiunta, i dati potrebbero anche essere utilizzati per attività di phishing o vishing volte a carpire ulteriori informazioni personali.

APT: offensive state-sponsored colpiscono l’Europa

Le autorità tedesche sospettano che dietro un recente attacco informatico alla Deutsche Gesellschaft für Osteuropakunde (DGO), associazione di ricerca berlinese incentrato sull’Europa orientale, ci sia il russo APT 29. L’incidente ha aggirato le misure di sicurezza informatica rafforzate messe in atto dopo una già precedente violazione avvenuta nel 2024 con sospetti collegamenti russi. Come accaduto nell’estate dello scorso anno, l’attaccante è riuscito nuovamente ad accedere al server di posta del collegio scientifico e a estrarre e-mail, al fine di ottenere informazioni sul lavoro dell’organizzazione. Oltre a ciò, a partire dal gennaio 2025, ricercatori di sicurezza hanno tracciato una sofisticata campagna condotta sempre dallo stesso APT 29 e rivolta contro entità diplomatiche in Europa, utilizzando un inedito loader, chiamato GRAPELOADER, e una nuova variante di WINELOADER. L’operazione sembra essere la continuazione di precedenti campagne sempre basate su WINELOADER. In particolare, l’avversario ha lanciato una nuova ondata di e-mail di phishing spacciandosi per un Ministero degli Affari Esteri europeo, inviando messaggi di posta elettronica a nome di quest’ultimo, con un invito a eventi di degustazione di vini o cene. Ogni e-mail conteneva un link malevolo che, una volta cliccato, avviava il download del file wine.zip per la fase successiva dell’attacco. Si ritiene che il server che ospita il link sia altamente protetto contro le soluzioni di scansione e di analisi automatica, e che il download venga attivato solo in determinate condizioni, come orari specifici o località geografiche. Quando si accede direttamente, il link reindirizza al sito ufficiale del Ministero degli Affari Esteri impersonato.

Cina: accusati gli USA di attacchi contro Giochi Asiatici Invernali

La Cina ha accusato tre presunti dipendenti dell’NSA statunitense di aver effettuato attacchi informatici ai Giochi Asiatici Invernali di febbraio 2025. L’Ufficio di pubblica sicurezza di Harbin, dove si sono svolti i giochi, ha dichiarato che i presunti agenti – Katheryn A. Wilson, Robert J. Snelling e Stephen W. Johnson – erano coinvolti nelle offensive per conto dell’Office of Tailored Access Operations dell’agenzia. Inoltre, le squadre tecniche sembrerebbero aver anche scoperto prove che coinvolgono l’Università della California e la Virginia Tech nella campagna. Secondo il National Computer Virus Emergency Response Center cinese, forze ostili straniere hanno lanciato centinaia di migliaia di attacchi informatici ai giochi. L’agenzia di stampa statale Xinhua ha dichiarato che l’NSA, per nascondere l’origine delle sue offensive e proteggere il suo arsenale, si è servita di molteplici organizzazioni di facciata affiliate per acquistare indirizzi IP da vari Paesi e affittare anonimamente server situati in regioni come l’Europa e l’Asia. Le indagini avrebbero rivelato che l’NSA ha concentrato i suoi attacchi informatici pre-evento su sistemi critici dei Giochi Asiatici Invernali, tra cui piattaforme di registrazione, gestione degli arrivi, iscrizione alle gare e delle partenze. Nel frattempo, l’NSA avrebbe anche lanciato attacchi informatici contro infrastrutture critiche della provincia di Heilongjiang, legate all’energia, ai trasporti, alle risorse idriche, alle telecomunicazioni e a istituti di ricerca della Difesa. Ulteriori indagini hanno rivelato che i tre agenti dell’NSA avrebbero ripetutamente lanciato attacchi contro le infrastrutture critiche della Cina e partecipato a operazioni informatiche contro aziende come Huawei.

Weekly Threats Report è la newsletter settimanale di TS-Way, realizzata dal Cyber Intelligence Operations Center.

Il Centro è diretto da analisti e ricercatori di sicurezza con competenze tecniche e investigative e un’esperienza riconosciuta in ambito internazionale.

Produce informazioni su una vasta gamma di minacce cibernetiche ed eventi geopolitici consentendo alle organizzazioni di anticipare gli attacchi, comprenderne la portata, potendo contare su un partner affidabile in caso di incidente informatico.

Scopri di più sulla nostra soluzione di Cyber Threat Intelligence