Un colpo importante per il Vaticano. La società di cybersecurity statunitense, la Recorded Future, ha dichiarato di aver scoperto che un gruppo di hacker legati al governo cinese è riuscito a infiltrarsi nei server.

A rivelare la notizia è stato il New York Times, in un articolo firmato da giornalisti importanti e la rivelazione arriva in un momento alquanto particolare. Durante il mese di settembre dovrebbero iniziare i colloqui per riformulare le norme sulla nomina dei vescovi e sullo status dei luoghi di culto.

A quanto pare i presunti attacchi da un gruppo hacker chiamato RedDelta, gruppo che si sospetta abbia il supporto del governo cinese, sono iniziati lo scorso maggio, in previsione dei colloqui fissati il prossimo settembre per rinnovare l’accordo provvisorio sulle nomine dei vescovi del 2018.

Al centro del mirino di RedDelta non c’è solo la Santa Sede, ma anche la Missione di Studio del Vaticano in Cina (gruppo di rappresentati vaticani con sede a Hong Kong).

Gli attacchi hanno avuto inizio a maggio, quando un malware nascosto all’interno di un documento, che sembrava essere una lettera del Vaticano indirizzata a mons. Javier Corona Herrera, il cappellano che dirige la missione di studio a Hong Kong.

Il file era stato inviato insieme a una mail sulla carta intestata ufficiale. La lettera conteneva un messaggio da parte del cardinale Pietro Parolin, segretario di Stato del Vaticano ed era un chiaro attacco di phishing,

Nel messaggio il cardinale esprimeva il suo dispiacere di Bergoglio per la morte di un vescovo. Quello che sappiamo è il collegamento della lettera ad un malware che dava agli hacker accesso ai computer degli uffici della chiesa di Hong Kong e ai server di posta del vaticano.

L’attacco ha avuto inizio a maggio 2020, sino al 10 giugno. In questa prima fase i server del Vaticano e delle altre organizzazioni verso l’esterno grazie al malware PlugX C2, proprio quello contenuto nella mail di phishing. 

Dal 10 giugno in poi c’è stata l’escalation, alla prima infezione sono subentrati due nuovi malware, questa volta però, sembra che l’attacco abbia avuto origine in Italia. Secondo quanto estratto dall’analisi di Recorded Future infatti, un indirizzo IP italiano è stato usato per prendere il controllo degli host vaticani nella seconda fase. Il sospetto adesso è che una permanenza così lunga all’interno della Rete del vaticano (si crede terminata lo scorso 21 luglio) abbia portato in dote ai criminal hacker molto di più dei soli documenti relativi all’accordo diplomatico con la Cina.

Tweet