Messaggi diffusi su Telegram dal collettivo filorusso Killnet minacciavano attacchi hacker estremamente distruttivi contro l'Italia nella giornata 30 maggio: e invece niente. Al contrario, arrivano, sempre via Telegram, altri messaggi, con cui il collettivo fa complimenti allo Csirt Italia, il Computer Security Incident Response Team istituito presso l'Agenzia per la cybersicurezza nazionale (Acn).
"Accettate i miei rispetti signori!". Postata anche una gif, sullo sfondo il logo Csirt e un omino impiccato.
"Ho solo elogiato il sito csirt.gov.it e il loro team. Le restanti migliaia di siti italiani che non funzionano, è un peccato - si legge in un altro post - Non pubblicheremo questo elenco perché le persone devono vedere tutto da sole. Spero che il sistema di monitoraggio italiano lo faccia per noi". E infine una raccomandazione: "Ho dimenticato di dirlo ai miei Csirt preferiti, non dimenticare di correggere questo errore. Il tuo database non funziona correttamente".
Con che cosa abbiamo avuto a che fare il 30 maggio? Un gioco, un finto attacco, un tentativo non riuscito di colpire le infrastrutture italiane?
We are killnet/Telegram Dopo le minacce di domenica da parte degli hacker filorussi, che parlavano di un "colpo irreparabile", l'Acn aveva lanciato un alert chiedendo a tutti di “alzare i livelli di guardia”, ovvero fare attenzione a qualsiasi attività al di fuori della norma.
Anche se si sono registrate solo marginali criticità, il rischio resta, come osservava il Sottosegretario con delega alla sicurezza Franco Gabrielli: ''Alcuni di questi attacchi li abbiamo registrati anche nel recente passato, ovviamente oggi assumono un rilievo e un significato maggiore perché sono inquadrati in una vicenda bellica, quella che viene giustamente chiamata una guerra ibrida perché lo scontro non avviene solo sul campo di battaglia ma anche nel dominio cibernetico e quindi ha conseguenze che vanno al di là dei confini della stessa Ucraina'', ha detto Gabrielli, aggiungendo che "non bisogna mai sottovalutare la possibilità che il Paese, soprattutto da quando siamo stati inseriti nella lista dei Paesi ostili, possa essere oggetto di questi attacchi''.
Ansa Si sono registrati alcuni rallentamenti, ma nessun tentativo di bucare la cybersecurity sembra essere andato a segno. Polizia postale e Acn non abbassano però il livello d'attenzione: i danni più gravi, lo sanno bene le strutture del perimetro di difesa cyber, arrivano dagli attacchi non annunciati.
In mattinata era scattato l'allarme, subito rientrato, per un blocco dei servizi informatici agli uffici delle Poste italiane. L'azienda ha però parlato di un "disguido tecnico" dovuto ad un "aggiornamento del sistema". Stessi rallentamenti si sono verificati, per lo stesso motivo, sul sito della Presidenza della Repubblica.
Aggiornamenti per altro affatto casuali, dovuti proprio all'innalzamento delle “barriere di protezione cyber” avviato dai soggetti pubblici e privati che gestiscono dati strategici per lo Stato.
Il team del Csirt aveva inviato un alert che invitava ad implementare le azioni per mitigare le vulnerabilità sfruttate in precedenza da Killnet e altri hacker, ovvero rafforzare i filtri per bloccare molteplici tentativi contemporanei di accesso alle reti.
Sono i cosiddetti attacchi di tipo Ddos (Distributed denial of service), che mandano in tilt il sistema per il sovraccarico di richieste. E' quello che è avvenuto nelle settimane scorse ad esempio per i siti di Senato, Polizia, Csm e ministero della Difesa.
ANSA Le azioni di Killnet, secondo le valutazioni degli esperti in sicurezza, mirano più alla propaganda che alla sostanza ma ciò non significa che non possano fare danni. E ci sono anche altri attori che potrebbero lanciare campagne offensive di livello più elevato, come già accaduto in passato e che ha fatto vittime come ministeri e aziende sanitarie.
L'Acn ha rilevato in questi giorni "segnali e minacce di possibili attacchi imminenti ai danni, in particolare, di soggetti nazionali pubblici, soggetti privati che erogano un servizio di pubblica utilità o soggetti privati la cui immagine si identifica con il Paese Italia". Sul fronte investigativo, c'è da segnalare che la Procura di Roma ha aperto un fascicolo d'indagine sugli attacchi che hanno colpito le istituzioni.
pxfuel Non sono tanto gli attacchi Ddos a preoccupare Polizia postale e Acn, quanto gli hacker che puntano ad esfiltrare dati dal sistema target, come nel caso dei ransomware con la conseguente richiesta del pagamento di un riscatto per riavere i dati - restituzione, per altro, estremamente improbabile anche dopo il pagamento.
Per avere un'idea di quanti e quali sono gli attacchi - al netto delle questioni legate alla guerra - Thales ha presentato il 'Cyberattacker Atlas 2022', che elenca casi e organizzazione dei gruppi di cybercriminali.
Si evidenzia che negli ultimi cinque anni, su più di 20.000 attacchi informatici analizzati in 9 aree geografiche e in 16 settori di attività, i gruppi di aggressori si sono progressivamente organizzati e strutturati sullo stesso modello delle piccole e medie imprese. Le loro nuove organizzazioni prevedono un dipartimento di ricerca e sviluppo, un dipartimento Risorse Umane, che gestisce il reclutamento di nuovi profili o un ufficio legale, che negozia con le vittime le controparti finanziarie del 'post-attacco'.
Secondo l'Atlante, quest'ultimo dipartimento sembra essenziale per rendere l'attività redditizia, come dimostra l'aumento del numero di organizzazioni che accettano di pagare un riscatto per recuperare i propri dati. Nel 2021, il 32% delle organizzazioni attaccate da attacchi informatici ha pagato un riscatto agli aggressori, mentre nel 2020 era il 26%. Uno dei gruppi di attacco ha persino estorto 180 milioni di euro in un solo attacco informatico.
L'Atlante rivela che sui 20.000 attacchi analizzati, il 72% degli hacker ha preso di mira il settore della difesa e del governo e il 62% il settore delle comunicazioni; mentre il 72% di loro ha effettuato i propri attacchi in Nord America e il 66% in Europa.
C'è stato anche un aumento del numero dei cosiddetti attacchi 'dormienti': cyberattacker installano un virus nel sistema informatico di un ente per accedere alle informazioni sulla sua rete senza essere scoperti. Uno spionaggio a lungo termine, che è il più pericoloso.