AGI - I dati dell'Ema, e in particolare quelli relativi al processo di approvazione del vaccino Covid della Pfizer BioNTech, sono stati diffusi sul darkweb dopo l'attacco hacker subìto dall'agenzia europea del farmaco nel dicembre scorso, e sono stati intercettati nei giorni scorsi da alcuni esperti di cyber intelligence italiani, infiltrati sul mercato nero digitale.
Secondo quanto apprende l'AGI, che ha potuto leggere il documento riservato, consegnato alla polizia postale, si tratta di file, email, e nomi di funzionari, trafugati dal sistema e resi pubblici su un black market a cui hanno accesso almeno un centinaio di account. Poi, dopo qualche ora il materiale è stato ritirato, ma è stato comunque scaricato dal team digitale, che lo ha poi messo in mano agli investigatori.
La relazione redatta, datata 5 gennaio, è siglata dal team della società Yarix, che si occupa sicurezza informatica, e ha una sezione di 'agenti' che scandaglia il darkweb sotto copertura. Una scoperta frutto di mesi di lavoro di infiltrazione nella parte più oscura del web, che però ha consentito di scaricare il materiale e portarlo all'attenzione della polizia italiana, come un dirigente che segue l'indagine ha confermato all'AGI. Secondo una fonte del team, inoltre, gli stessi investigatori non erano ancora venuti a conoscenza fino a quel momento del materiale, nonostante, dopo l'attacco informatico del 9 dicembre, stessero lavorando polizie di diversi Paesi coordinate dall'Interpol.
Il report confidenziale contiene le informazioni dell'attacco, a partire dal forum su cui i dati sono stati esposti, forse in funzione di una possibile vendita, che appare popolato da hacker russi. Uno di questi avrebbe diverse volte fatto accesso al sistema, cambiando anche nome e millantando di avere i file. Il 5 gennaio, poi, ha messo sulla piazza gli archivi chiamati "Ema Leaks": un blocco di 33,4 Mb, e loro volta divisi in due 'faldoni' in formato '7z' e affiancati da un file di testo con la password di estrazione. Una volta estratti i singoli archivi, risulta disponibile una parte documentale composta da 5 cartelle e 50 file.
All'interno - da quanto ha raccolto l'AGI - ci sono i commenti di coloro che hanno fatto una 'peer review' sul vaccino Pfizer, ovvero gli esperti di tutto il mondo che hanno valutato gli studi scientifici pubblicati dalla casa che lo ha ideato. Ma anche il report di qualità e la relazione finale di un meeting interno di Ema risalente al 26 novembre.
Sul darkweb sono finite anche le istruzioni su come 'scalare' il vaccino e su quale strumentazione sia adatta a riprodurlo. Non solo: alla mercè dei frequentatori del forum, c'erano anche le risposte della Fda, l'agenzia americana del farmaco, in un documento datato 20 novembre (proprio quando si avvicinava la data di distribuzione negli Usa). Infine in 'chiaro' anche l'agenda degli incontri riservati all'Ema per approvare la formula in Europa, in vista del V-Day che sarebbe stato fissato il 27 dicembre.
Si tratta di atti estremamente confidenziali, che citerebbero anche membri della Commissione europea. In particolare, il flusso di informazioni è stato costante dopo l'approvazione americana, per consentire l'arrivo delle prime dosi anche nell'Unione, ed è proprio in quei giorni che gli hacker si sono insinuati nei sistemi.
Non solo: l'attacco ha consentito di accedere alle mail scambiate tra funzionari. E persino - si legge nel report - di visionare screenshot rubati dal portale Eudralink, utilizzato internamente all’Ema per le comunicazioni sicure e riservato al solo personale autorizzato.
Il contenuto dei file, i metadati ed i numerosi riferimenti a persone fisiche che lavorano per le rispettive aziende suggeriscono "l’effettiva attribuzione dei documenti del leak all’incidente di sicurezza che ha coinvolto l’Ema il 9 dicembre", sostengono gli operatori di spionaggio informatico italiani.
Nel poco tempo in cui il materiale è stato online gli 'ethical hacker' del team Yarix sono riusciti a insinuarsi sotto copertura nel sistema per scaricarli e consegnarli agli investigatori. Tuttavia non sono riusciti a raccogliere informazioni tali da capire se si trattasse solo di una parte del quantitativo trafugato, oppure dell'intero archivio.
Quanto al perché un patrimonio di questo genere sia stato reso 'pubblico', sebbene alla ristretta cerchia di frequentatori della parte oscura della rete, le ipotesi sono diverse: è possibile che gli hacker non siano riusciti a vendere il 'materiale' ad eventuali concorrenti dell'azienda tedesca produttrice del siero, e abbiano quindi deciso di minacciare i proprietari, in cambio di un riscatto; oppure, come più probabile, che abbiano deciso, mancando la vendita, di dimostrare la loro forza ad una platea di potenziali clienti futuri.