Non più solo spionaggio: l’attacco informatico noto come “FortiBleed” ha colpito il Servizio sanitario nazionale britannico, farmacie, laboratori e fornitori di energia. Un salto di qualità che gli esperti definiscono una minaccia diretta alla sicurezza umana.
C’è una differenza sostanziale tra rubare segreti diplomatici e mettere a rischio la vita di un paziente in terapia intensiva. È questa la linea che, secondo diversi esperti di cybersicurezza britannici, sarebbe stata varcata dalla campagna di attacchi informatici nota come “FortiBleed”, che negli ultimi giorni ha esposto decine di migliaia di credenziali di accesso appartenenti a enti governativi, ospedali, farmacie e società energetiche del Regno Unito. I dati, secondo quanto riportato dal quotidiano The Telegraph, sono ora in vendita su mercati del dark web.
La campagna ha sfruttato una vulnerabilità nei firewall e nelle reti VPN del produttore Fortinet, colpendo più di ottantamila dispositivi in tutto il mondo. Gli aggressori hanno riciclato credenziali trapelate in precedenti violazioni e le hanno testate in modo sistematico contro dispositivi collegati a internet, raccogliendo oltre trentamila accessi verificati appartenenti a organizzazioni sparse in 194 paesi. Tra le vittime figurano il ministero degli Esteri britannico, amministrazioni locali, ambasciate all’estero e, soprattutto, enti legati alla sanità pubblica.
Ospedali, farmacie, laboratori: la sanità nel mirino
Secondo quanto dichiarato al Telegraph dal dottor Saif Abed, ex medico del Servizio sanitario nazionale e oggi consulente di cybersicurezza, gli ospedali, le farmacie e i laboratori britannici dipendono in larga misura da prodotti informatici come quelli compromessi in questo attacco. Una circostanza che rende l’episodio particolarmente allarmante: non un semplice furto di informazioni, ma una potenziale porta d’accesso a campagne ransomware capaci di paralizzare interi reparti ospedalieri.
“Questo è esattamente il tipo di attacco che apre la strada a campagne ransomware in grado di minacciare la sicurezza dei pazienti in tutto il paese.”
Non si tratta di un timore astratto. Nel 2024 un attacco informatico contro il fornitore di servizi di laboratorio Synnovis, anch’esso attribuito ad attori legati alla Russia, costrinse gli ospedali britannici a cancellare oltre mille interventi chirurgici e circa duemila visite mediche. La ricorrenza di questo tipo di bersagli — non infrastrutture militari, ma reparti di terapia intensiva, farmacie di quartiere, laboratori diagnostici — suggerisce agli analisti una strategia deliberata, più che una coincidenza operativa.
I fatti essenziali
- La campagna “FortiBleed” ha sfruttato password riciclate contro oltre 80.000 dispositivi Fortinet in tutto il mondo.
- Sono stati raccolti oltre 30.000 accessi verificati, tra cui quelli del ministero degli Esteri britannico, di enti locali e ambasciate.
- Tra le organizzazioni colpite figurano il Servizio sanitario nazionale (NHS), farmacie, laboratori e società energetiche.
- Il codice malevolo risulta scritto in lingua russa; non esiste ancora una prova diretta del coinvolgimento dello Stato russo, ma Londra sottolinea da tempo la tolleranza di Mosca verso questi gruppi.
Un attacco alla sicurezza umana, non solo ai dati
Gli osservatori europei di sicurezza sottolineano che colpire un sistema sanitario nazionale non è equiparabile a un normale atto di spionaggio informatico. Un ospedale che perde l’accesso ai propri sistemi non subisce solo un danno economico: mette a rischio vite umane, interventi chirurgici programmati, terapie oncologiche, forniture di farmaci salvavita. È per questo che una parte crescente della comunità di sicurezza europea propone di trattare gli attacchi informatici contro infrastrutture sanitarie critiche come una categoria a sé, distinta dallo spionaggio tradizionale e più vicina, per gravità, a un atto ostile diretto contro la popolazione civile.
Il contesto geopolitico
Questo episodio si inserisce in un quadro più ampio di attività informatiche attribuite ad ambienti vicini al Cremlino contro Regno Unito, Germania, Polonia, Danimarca e altri paesi europei. Si tratta di una costante che diversi analisti definiscono ormai “guerra ibrida permanente”: una pressione continua, condotta con strumenti digitali, che punta a testare la resilienza delle democrazie occidentali senza ricorrere apertamente alla forza militare. La vendita pubblica di dati rubati sul dark web, inoltre, segnala un salto di scala: non più operazioni coperte e silenziose, ma un vero e proprio mercato che rende sistemica la minaccia.
Le reazioni e i prossimi passi
Il Centro nazionale per la cybersicurezza britannico (NCSC) ha confermato la natura dell’attacco, descritto come una campagna di “forza bruta” contro dispositivi privi di autenticazione a più fattori, e ha invitato le organizzazioni che utilizzano apparecchiature Fortinet a verificare immediatamente le proprie reti, isolare i dispositivi compromessi e sostituire le password. Resta però il nodo più delicato: anche dopo la sostituzione delle credenziali, gli esperti avvertono che gli aggressori potrebbero aver già ottenuto un accesso più profondo ai sistemi compromessi, in particolare in assenza di autenticazione a più fattori.
Per Bruxelles e per i governi europei più esposti, il caso britannico rischia di diventare l’ennesimo banco di prova sulla necessità di rafforzare gli strumenti collettivi di difesa cibernetica, in un momento in cui la linea tra spionaggio, criminalità organizzata e guerra ibrida di Stato appare sempre più sottile.
Chiara Bellandi