A deux heures du matin, des milliers de messages insultants et d'invitations à démissionner de Sergio Mattarella, le hashtag utilisé "#MattarellaDimettiti ". La peur de l'ingérence russe dans les affaires italiennes était déjà connue lors des élections politiques mais l'action avérée d'attaques simultanées conforte cette thèse / information des services de renseignement italiens. La police postale, dans l'affaire Mattarella, a précisé que derrière cette utilisation massive du réseau social «twitter», il peut y avoir des opérateurs russes expérimentés spécialisés dans les «trolls». L'ingérence russe dans les affaires nationales a déjà été enregistrée lors de la campagne électorale présidentielle aux États-Unis, en France et en Allemagne. Une capacité très avancée et omniprésente dans le cyber-monde. Aux États-Unis, par exemple, on a découvert, avec l'aide des sections d'exploitation de Facebook et Twitter, que certaines agences russes «privées» avaient investi des centaines de milliers de dollars dans des campagnes de parrainage via des dizaines de milliers de comptes «anormaux», ou de faux . On a découvert que tous ces «faux» comptes ont lancé massivement et du jour au lendemain des dizaines de milliers de «posts» à des fins raciales et en tout cas favorables aux politiques lancées en campagne électorale par Donald Trump.
Qu'est-ce qui va arriver à remédier
En Italie après le Copasir et la demande d'éclaircissements que les différents groupes parlementaires vont adresser au gouvernement en place, il appartiendra également aux procureurs de Rome de clarifier les prétendues attaques du web par des trolls russes contre le président de la République, Sergio Mattarella. Dans les premiers jours de la semaine prochaine, un dossier d'enquête sera officiellement lancé qui sera coordonné par le pool de juges chargés de la lutte contre le terrorisme et en particulier des crimes contre des personnalités étatiques. Un premier rapport de la police postale est attendu à la piazzale Clodio. Le profil criminel avec lequel enregistrer le dossier d'enquête sera évalué par les magistrats après l'analyse des informations. En attendant, Copasir traitera également cette affaire, avec l'audition du directeur de Dis, Alessandro Pansa. Le sénateur du Parti démocrate et membre du Copasir, Ernesto Magorno, a déclaré: «C'est évidemment une histoire très inquiétante qui mérite toutes les investigations nécessaires. Cette histoire nous rend encore plus conscients du fait que la cybersécurité est un enjeu majeur sur lequel concentrer efforts et compétences.
L'Italie est-elle donc victime d'une cyberattaque?
Selon les rapports d’AGI, qui ont découvert les chercheurs de Z-Lab, le centre anti-malware de Cse Cybsec, une entreprise italienne de cybersécurité, il semblerait être en mesure de répondre oui. L'Italie ferait l'objet d'une campagne d'espionnage et d'ingérence de la part d'un groupe russe.
Les experts du CSE ont en effet identifié une porte dérobée sur les réseaux italiens, une «porte dérobée», utilisée pour contourner les défenses des systèmes attaqués, identifiée comme une nouvelle variante de la fameuse porte dérobée X-Agent. Utilisée pour cibler les systèmes Windows, la porte dérobée, qui fait partie de l'arsenal d'APT28, un groupe paramilitaire russe, permettrait aux données d'être exfiltrées à partir d'ordinateurs compromis et envoyées vers un centre de commandement et de contrôle situé en Asie.
Les preuves qui conduisent aux hackers russes seraient différentes: la langue dans laquelle le virus qui porte la porte dérobée est écrit, la destination du trafic qu'il génère, le type de menace, X-Agent, depuis longtemps en possession d'APT 28, groupe de hackers lié au renseignement militaire russe.
L'enquête du CSE et de la marine italienne
L'enquête du CSE, initiée par une enquête de routine sur un échantillon de logiciel malveillant envoyé à Virus Total, une plateforme d'analyse de virus et de malwares en ligne, a permis avec l'aide d'un chercheur connu sur Twitter sous le nom de Drunk Binary de comparer avec une série d'échantillons et les rapporter aux autorités pour complément d'enquête, dans une relation accompagnées des soi-disant «règles Yara», qui sont utilisées pour identifier l'action en cours de tout malware. Mais les experts ont également analysé un autre code malveillant, une DLL, une bibliothèque dynamique de logiciels, qui est automatiquement chargée lorsqu'une tâche informatique est effectuée.
Apparemment sans rapport avec les exemples précédents, elle présente de nombreuses similitudes avec d'autres cyberarmes appartenant au groupe russe. Dans ce cas, le malware contacte un serveur de commande et de contrôle qui porte le nom "marina-info.net" qui, dit Pierluigi Paganini, technologue en chef de CSE Cybsec, "Si nous adoptons la logique des attaquants, cela semblerait une référence à la marine italienne et nous invite à tester l'hypothèse que ce code malveillant a été développé dans le cadre d'une série d'attaques ciblées contre la marine ou d'autres entités qui lui sont associées, comme ses fournisseurs. "
Les chercheurs du CSE Cybsec n'ont pas été en mesure de lier directement le fichier DLL malveillant aux échantillons X-Agent, mais pensent qu'ils font tous deux partie d'une attaque chirurgicale bien coordonnée, alimentée par APT28, que Z-Lab a appelé «Operation Vacations». Romane »car cela pourrait affecter les organisations italiennes en été.
En effet, le groupe APT28 est actif depuis 2007 et cible les gouvernements, les forces armées et les organisations de sécurité. Mais, par-dessus tout, APT28 est l'un des groupes de hackers les plus connus au monde pour avoir été impliqué dans le vol des e-mails d'Hillary Clinton qui a conduit le FBI de James Comey à enquêter juste avant l'élection présidentielle américaine, ouvrant la voie au candidat Donald Trump. .
APT28, acronyme qui signifie Advanced Persistent Threath numéro 28, tire son nom de la technique utilisée: une `` Advanced Persistent Threat '' est un type de cyber-menace qui, une fois installée sur les serveurs et les systèmes, y reste pour effectuer sa surveillance et l'exfiltration de données, généralement à des fins d'espionnage.
Le groupe bien organisé et financé - également connu sous le nom de Sofacy, Fancy Bear, Pawn Storm, Sednit et Stronzio - aurait été exploité par les réseaux Palo alto et Kaspersky Lab ces derniers mois en Asie et au Moyen-Orient, donnant l'idée de s’être éloigné des cibles habituelles de l’OTAN et de l’Ukraine. Mais sur la base des preuves trouvées par le Z-Lab, ce n'est peut-être plus le cas.