Sospendere il funzionamento dei sistemi informatici del Ministero della Transizione Ecologica: è ciò che ha deciso il ministro Roberto Cingolani, in seguito alla rilevazione di minacce esterne nella giornata di mercoledì 6 aprile. Ed è solo l’ultimo degli attacchi informatici che hanno colpito organizzazioni o enti governativi.
È possibile pensare ad un attacco di hacker russi? “È impossibile rispondere in questo momento, ci sono le strutture preposte che stanno lavorando”, ha risposto Cingolani. Da febbraio ad oggi, i fatti e le conseguenze della guerra che la Russia ha scatenato in Ucraina dal punto di vista geopolitico ed informatico, si sono intrecciati con gli attacchi informatici che hanno raggiunto l’Italia. La rete informatica aziendale di Trenitalia e Ferrovie dello Stato è finita nel mirino degli hacker che, in un primo momento, si è pensato fossero russi. Ma qual è la storia dietro a questo attacco? L’Italia è un bersaglio interessante per la Russia? Cerchiamo di ricostruire gli elementi e i fatti che sono accaduti, mettendoli in fila in una timeline, andando a ricostruire un puzzle dove le tessere si incastrano quasi perfettamente.
HACKTIVISM, LA NUOVA FRONTIERA DEGLI ATTACCHI INFORMATICI
Negli ultimi tempi, è stato coniato il termine hacktivism, attivismo digitale, e consiste nell’hackeraggio di sistemi informatici per scopi geopolitici, ad opera di alcuni cyber criminali. Secondo un report di Check Point Research, la divisione intelligence di Check Point Software Technologies, fornitore di soluzioni per la sicurezza informatica a livello globale, gli attacchi informatici negli ultimi mesi sono triplicati. Nei soli primi tre giorni di guerra, quindi dal 24 al 27 febbraio, gli attacchi verso il governo ed il settore militare ucraino sono aumentati del 196%. Mentre quelli alle organizzazioni russe sono incrementati solo del 4%.
A partire dal 15 febbraio si sono registrati attacchi Ddos (Denial of Service) che inviando enormi quantità di informazioni e traffico ad un sito di informazione, impedisce agli utenti di accedere alla rete o alle risorse. Il server va in sovraccarico e non riesce a rispondere efficacemente alle richieste degli utenti. E si blocca.
LA GUERRA IN UCRAINA E LA PAURA DI CYBER ATTACCHI IN ITALIA
Il 21 febbraio, Putin ha firmato un decreto con cui ha riconosciuto le due Repubbliche secessioniste di lingua russa di Donetsk e Lungansk come Stati indipendenti, e all’alba del 24 febbraio la Russia ha scatenato la guerra in Ucraina, definendola una “operazione militare speciale”. Subito dopo, si sono registrati attacchi missilistici su tutte le località della repubblica socialista sovietica.
Il 6 marzo il Csirt, Computer security incident response team dell’Agenzia nazionale per la sicurezza ha inviato un alert in tutte le regioni d’Italia, in cui metteva in guardia sui possibili prossimi cyber attacchi per gli enti governativi italiani, in particolar modo le aziende sanitarie, “obiettivi molto sensibili, probabilmente in virtù degli aiuti umanitari”. E invitava ad innalzare le misure di tutela e monitorare i sistemi di sicurezza informatica nel paese. Ma non è la prima comunicazione diramata: il 14 febbraio, era stata posta l’attenzione su una raccomandazione ad innalzare i livelli di protezione delle infrastrutture digitali rivolta alle aziende italiane aventi rapporti con operatori ucraini.
Il sottosegretario alla Presidenza del Consiglio con delega alla sicurezza nazionale Franco Gabrielli ha invitato a prendere le distanze “dai sistemi antivirus prodotti dai russi e utilizzati dalle nostre pubbliche amministrazioni. Dobbiamo liberarci da una dipendenza dalla tecnologia russa”. È stata aperta un’istruttoria per verificare i rischi connessi all’utilizzo del software russo Kaspersky: è sicuro usare un antivirus russo in un contesto di tensioni globali? Può il software diffondere silenziosamente un pericolo? Tutti quesiti che si rincorrono nell’Occidente.
Il 19 marzo 2022 il ministro degli esteri russo Serghei Lavrov ha ribadito che la condotta dei paesi occidentali “conferma che essi non sono affidabili come partner economici. Mosca rimane aperta alla cooperazione con l’Occidente, ma non intende intraprendere tali iniziative da sola”.
L’ATTACCO AL PROGRAMMA DI SOSTEGNO AI RIFUGIATI
Una profonda campagna di phishing è stata messa in atto da realtà sostenuta dal Cremlino per indebolire il programma di sostegno ai rifugiati e ottenere informazioni su quali tipologie di aiuti sono messi in campo ed in quali direzioni si stanno muovendo i profughi per uscire dalla città. Lo ha denunciato la società di cybersicurezza Proofpoint: i destinatari di questi attacchi sarebbero funzionari che lavorano nella logistica degli aiuti, tra trasporti, budget e spostamenti. A loro vengono inviate mail con un allegato contenente il malware Sunseed. Secondo gli analisti, chi coordina l’operazione è il gruppo bielorusso TA445 Ghostwriter, già sceso in campo per fare disinformazione contro la Nato.
L’ATTACCO ALLE FERROVIE DELLO STATO
Il 23 marzo le Ferrovie dello Stato hanno comunicato che sulla rete informatica aziendale sono stati rilevati elementi che potrebbero ricondurre a fenomeni legati ad un’infezione da Cryptolocker, un tipo di malware introdotto attraverso uno degli account degli amministratori del sistema. Il malware, o malicious software, è un virus informatico che provoca danni ed infetta il sistema, criptando i dati e rubandoli di nascosto; solitamente per sbloccare e recuperare i dati, è richiesto il pagamento di un riscatto. Si presenta come un allegato di posta elettronica apparentemente inoffensivo. La minaccia da parte di chi porta avanti l’attacco è la pubblicazione delle informazioni ottenute. In molti casi, la richiesta di riscatto è accompagnata da una scadenza: se la vittima non paga in tempo, i dati possono essere cancellati per sempre. Per precauzione, è stata sospesa la vendita di biglietti nelle biglietterie fisiche delle stazioni, ma non la vendita dei biglietti online.
Inizialmente si è sospettato che l’attacco fosse una ritorsione agli aiuti italiani ed europei all’Ucraina, e alle sanzioni stabilite contro la Russia. Open, giornale online di Enrico Mentana, ha ipotizzato che dietro l’attacco a Fs, ci sia la Russia, poiché la tipologia dell’intrusione ed il modus operandi fanno pensare che sia opera di hacker russi. Secondo Open, dietro il colpo, c’è il gruppo Hive di lingua russa, con componenti e affiliati sia russi che bulgari, motivati dal denaro più che da motivi geopolitici. Sembra che il gruppo abbia chiesto 5 milioni di dollari in bitcoin, cifra che è stata aumentata a 10 milioni nei giorni successivi. La cybergang Hive Ransomware in passato aveva preso di mira altre organizzazioni italiane, come Mediaworld e la società toscana Alia spa. Ma la Rete Ferroviaria Italiana ha negato un’eventuale richiesta di denaro. Sono gruppi criminali che non operano per danneggiare paesi ostili o con motivazioni politiche. E proprio per questo è stata scartata l’ipotesi di una mossa ricollegabile al Cremlino: infatti oltre l’80% degli attacchi è motivato da interessi finanziari.
IL CONTROLLO CON I SOCIAL NETWORK
Oltre alla guerra in ambito militare, la Russia ha anche scatenato una cyberwar, oscurando le più grandi piattaforme social in un piano di controllo dell’informazione operato dal Cremlino. È un pretesto per controllare il popolo, limitando l’accesso a Internet da parte di un regime autoritario. La Roskomnadzor, l’autorità governativa che controlla la comunicazione, ha bloccato l’accesso a Facebook, Instagram, Twitter e alle varie testate indipendenti.
L’ambasciatore russo Sergey Razov quando il 25 marzo scorso andò a Roma, improvvisò una conferenza stampa fuori dal tribunale di piazzale Clodio: “abbiamo teso una mano di aiuto agli italiani e se qualcuno vuole mordere questa mano ciò non fa onore. Io come rappresentante della Russia provo vergogna e rammarico per questa caccia alle streghe che vediamo”. Queste le sue parole in riferimento alla missione russa in Italia, quando una delegazione di medici è arrivata nel pieno della pandemia.
