Secondo l’Agenzia europea per la sicurezza informatica (Enisa), i disagi che nel weekend hanno bloccato migliaia di passeggeri negli aeroporti europei con voli cancellati e sistemi di check-in fuori uso sono dovuti a un attacco ransomware. L’Enisa ha confermato lunedì 22 settembre che un gruppo di criminali informatici ha utilizzato un virus che blocca i computer fino al pagamento di un riscatto per paralizzare Collins aerospace, l’azienda americana che fornisce i sistemi di gestione passeggeri a decine di scali. Da venerdì 19 settembre Londra Heathrow, Bruxelles, Berlino e Dublino hanno dovuto gestire code interminabili, centinaia di voli cancellati e il ritorno alle procedure manuali di imbarco. Le forze dell’ordine europee stanno indagando per identificare i responsabili dell’attacco contro la sussidiaria di RTX Corporation, mentre i tecnici lavorano per ripristinare completamente i sistemi informatici ancora compromessi. Secondo Jonathan Hall KC, responsabile britannico per la legislazione antiterrorismo, la natura strategica degli obiettivi fa pensare al possibile coinvolgimento di hacker sponsorizzati da stati esteri. Un’ipotesi plausibile considerando che Collins aerospace era stata già bersaglio nel 2023, quando il gruppo criminale russo BianLian rivendicò il furto di 20 gigabyte di dati relativi a piloti e personale di terra.
La ricostruzione dei fatti: com’è iniziato il caos negli aeroporti?
Tutto è cominciato nella notte tra venerdì 19 e sabato 20 settembre quando i criminali informatici sono riusciti a penetrare nei sistemi di Collins aerospace, società del gruppo Rtx corporation che produce tecnologie per l’aviazione. L’obiettivo era il software chiamato Musaun programma fondamentale che permette alle diverse compagnie aeree di condividere gli stessi sportelli per il check-in e le stesse porte d’imbarco negli aeroporti. Senza questo sistema, ogni compagnia dovrebbe avere i propri banchi dedicati, rendendo gli aeroporti molto più grandi e costosi da gestire. Quando sabato mattina il personale degli aeroporti ha provato ad accendere i computersi è trovato davanti schermate bloccate. I sistemi non funzionavano più e i dipendenti hanno dovuto tornare a fare tutto a mano, compilando le carte d’imbarco con la penna e controllando i documenti uno per uno senza l’aiuto dei computer. Scene che non si vedevano dagli anni Settanta, con passeggeri costretti ad aspettare ore per operazioni che normalmente richiedono pochi minuti.
L’aeroporto di Bruxelles è stato quello più colpito, costretto a chiedere alle compagnie di cancellare metà dei voli previsti per lunedì mentre i tecnici lavoravano per ripristinare i sistemi. Il personale ha tentato di tamponare la situazione utilizzando tablet e computer portatili per effettuare i check-in online, ma nonostante gli sforzi sono stati annullati 60 voli su 550 programmati. Scene di caos si sono registrate anche a Berlinodove domenica lo scalo ha dovuto gestire un afflusso eccezionale di viaggiatori legato alla maratona cittadina: quasi tutte le partenze hanno accumulato oltre un’ora di ritardo. A Londra Heathrowil più trafficato d’Europale autorità aeroportuali hanno invitato i passeggeri a verificare lo stato dei voli prima di recarsi in aeroporto, mentre a Dublino e Cork si sono segnalati problemi più contenuti, affrontati comunque con procedure d’emergenza.
Un’industria ormai sotto assedio
L’attacco a Collins aerospace non è affatto un caso isolato. Il settore dell’aviazione ha subito un’escalation di attacchi informatici negli ultimi anni: secondo Boeing e l’agenzia Eurocontrolgli attacchi ransomware alla catena di fornitura aeronautica sono aumentati del 600% solo nel 2022, con un ulteriore incremento del 131% tra il 2022 e il 2023. La stessa Collins aerospace era già stata vittima di hacker nel 2023, dimostrando come i criminali informatici tornino a colpire le stesse aziende vulnerabili.
A.D agosto 2024 l’aeroporto di Seattle-Tacoma è stato paralizzato dal gruppo criminale Rhysida con un ransomware che ha bloccato check-in, Wi-Fi, display informativi e persino il sistema di parcheggi prenotati. Secondo i documenti ufficiali dell’aeroporto di Seattlei criminali sono riusciti a rubare dati personali di migliaia di dipendenti inclusi numeri di previdenza sociale e informazioni mediche. A febbraio 2024 Tecnica della Saudiala divisione manutenzione di Saudi Arabian airlines, è stata colpita dal gruppo 8BASE compromettendo potenzialmente la sicurezza della manutenzione degli aerei. Continental Aerospace technologies in Alabama, invece, ha subito l’attacco ransomware del gruppo noto come PlayCrypt a marzo 2024, mentre il Los Angeles international airport è stato bloccato da un attacco DDoS del Dark Storm Team, gruppo di hacker filo-palestinesi.
Il caso più eclatante degli ultimi anni è stato però l’incidente che ha coinvolto CrowdStrike di luglio 2024. Pur non trattandosi di un attacco informatico, ma di un errore di aggiornamento softwarel’episodio ha evidenziato la vulnerabilità dei sistemi informatici di molte compagnie aeree e aeroporti. In particolare, in quel caso, l’aggiornamento difettoso di un programma ha bloccato i sistemi di gestione dei voli, impedendo il check-in dei passeggeri e la pianificazione delle rotte causando perdite per milioni di dollarie 4mila voli cancellati in tutto il mondo. Secondo Eurocontroll’impatto finanziario globale di incidenti simili si stima in miliardi di euro ogni annocon le compagnie aeree costrette a sostenere non solo i costi diretti per il ripristino dei sistemi, ma anche risarcimenti ai passeggeri, danni reputazionali e possibili multe per violazioni della Privacy dei dati.
