Cosa sappiamo per ora sull'attacco hacker in Italia (e cosa rischiamo)

"Diverse decine di sistemi nazionali compromessi". Un attacco massiccio è stato scatenato dagli hacker in tutto il mondo, Italia compresa: la portata e, soprattutto, le conseguenze sono ancora tutte da chiarire. 

Oggi il sottosegretario Alfredo Mantovano, autorità delegata per la cybersicurezza, incontrerà a Palazzo Chigi il direttore dell’agenzia Roberto Baldoni assieme alla direttrice dei servizi segreti Elisabetta Belloni "per fare un primo bilancio dei danni provocati dagli attacchi e per confermare la promozione della adeguata strategia di protezione, peraltro da tempo già in atto".

L'attacco hacker e Tim down

Un attacco venuto alla luce nel giorno in cui la rete Tim è andata in down, anche se sia l'azienda sia la polizia postale hanno escluso che il problema fosse dovuto ad un attacco dei pirati informatici. Insomma, si tratta di due problemi diversi.

Sulla rete di Tim era stato rilevato un problema di interconnessione al flusso dati su rete internazionale, che - ha spiegato l'azienda - ha generato un impatto anche in Italia. Il problema è stato risolto nell'arco della stessa giornata, durante la quale si sono susseguite segnalazioni degli utenti che su twitter hanno creato l'hashtag #timdown, diventato trend topic, segnalando i disservizi a internet e telefoni.  A sera, almeno questi problemi erano in corso di risoluzione. Di qui la nota dell’azienda: «Con riferimento al disservizio, Tim comunica che il problema è rientrato e il servizio si è stabilizzato alle ore 16:55. Dalle verifiche effettuate, il problema ha riguardato il flusso dati su rete internazionale che ha generato un impatto anche in Italia. L'azienda si scusa con i propri clienti per il disagio arrecato».

Nelle stesse ore in cui Tim è andata in down è scattato nel nostro Paese l'allarme dell'Agenzia per la cybersicurezza nazionale: il Computer security incident response team Italia - l'organismo cui spetta il monitoraggio degli incidenti e l'intervento in caso di attacchi - ha scoperto che gli hacker sono entrati in azione attraverso un "ransomware già in circolazione" che ha già "compromesso" decine di sistemi. Non solo: gli esperti dell'Agenzia guidata da Roberto Baldoni sono riusciti ad allertare diversi soggetti - istituzioni, aziende pubbliche e private - i cui sistemi risultano esposti e dunque vulnerabili agli attacchi ma "rimangono ancora alcuni sistemi esposti, non compromessi, dei quali non è stato possibile risalire al soggetto proprietario". Significa, in sostanza, che decine di aziende non sanno neanche di essere sotto attacco ma dovrebbero "immediatamente" aggiornare i loro sistemi.

L'attacco ha preso di mira i server 'VMware ESXi'

"L'attacco - ha detto il ministro delle Imprese e del Made in Italy Adolfo Urso - ci rafforza nella convinzione che sulla rete e in generale sulla cyber sia importante garantire il massimo livello di sicurezza". L'attacco ha preso di mira i server 'VMware ESXi': gli autori hanno sfruttato una vulnerabilità che era stata già individuata e risolta nel febbraio 2021 da Vmware, ma - spiegano gli esperti - non tutti hanno applicato la correzione indicata dall'azienda e dunque sono rimasti col 'buco' senza toppa che è stato sfruttato in questa ondata di attacchi per entrare. Ed i server presi di mira, se privi delle correzioni adeguate, "possono aprire le porte agli hacker impegnati a sfruttarla in queste ore dopo la forte crescita di attacchi registrata nel weekend". I primi ad accorgersi dell'attacco sono stati i francesi, probabilmente per via dell'ampio numero di infezioni registrato sui sistemi di alcuni provider in quel Paese.

Poi l'ondata di attacchi si è sposta su altri paesi tra cui l'Italia. Al momento i server compromessi sono qualche migliaio in tutto il mondo, dalla Francia alla Finlandia, dal Canada agli Stati Uniti fino appunto all'Italia dove, stando a quanto accertato finora, decine di realtà hanno hanno già riscontrato l'attività malevola nei loro confronti. E il numero, dicono gli analisti, è destinato ad aumentare. Lo sfruttamento della vulnerabilità, spiega infatti l'Agenzia, "consente in una fase successiva di portare attacchi ransomware che cifrano i sistemi colpiti rendendoli inutilizzabili fino al pagamento di un riscatto per avere la chiave di decifrazione". Il "ransomware" è infatti una forma di software maligno utilizzato da bande criminali, che funziona criptando i dati delle aziende vittime, e offrendo loro una chiave in cambio di un pagamento

Quali saranno gli effetti reali di questo attacco, sarà più chiaro soltanto da oggi, con la ripresa delle attività normali. L'efficienza di centinaia di enti pubblici, da università a ospedali, Regioni, Comuni potrebbe essere messa a rischio. La preoccupazione maggiore riguarderebbe la sanità: il software è utilizzato da tutte le principali aziende sanitarie del nostro paese e, dalle prime informazioni, in pochissime avrebbero eseguito l’aggiornamento necessario per evitare problemi seri.

C'è la Russia dietro l'attacco?

L'attacco hacker avvenuto nella giornata di domenica in tutta Europa "dimostra la necessità di investimenti per l'aumento della sicurezza cibernetica. Plaudiamo alla tempestivitá dell'Agenzia per la Cybersicurezza", dichiara in una nota il presidente della Commissione Cultura, Scienza e Ricerca della Camera, Federico Mollicone (Fdi). "Da sempre - prosegue Mollicone - sosteniamo la necessità di maggiori livelli di sicurezza cibernetica, anche per i servizi essenziali che interessano i cittadini. Vanno migliorate le strategie aziendali delle partecipate pubbliche tramite specifiche figure interne. Viviamo un contesto di grande pericolosità sul web, una guerra cibernetica: dobbiamo dotarci di strumenti e normative adeguate".

Gli addetti ai lavori, secondo quanto riferisce oggi La Stampa, "sanno che quattro giorni fa, da Mosca era stata diramata su noti canali social una lista di potenziali obiettivi, una cosiddetta 'kill list', incitando i pirati informatici che simpatizzano per la Russia a bloccare le infrastrutture degli avversari".  La mano sembra essere quella dei criminali informatici russi che già nei mesi scorsi hanno messo in grande difficoltà alcune infrastrutture strategiche. In rete circola il solito nome del collettivo Killnet, ma in casi del genere è difficilissimo, quasi impossibile, trovare prove. "Storicamente questi gruppi si muovevano a scopo di estorsione ma con l’inizio della guerra in Ucraina sono stati eterodiretti da Mosca come strumento di pressione. E aggressione", scrive Repubblica.