(di Massimiliano D’Elia) In tutto il mondo si verificano attacchi hacker su larga scala, in alcuni casi, prendono di mira infrastrutture critiche causando problemi seri e difficili da risolvere nell’immediato. Un fenomeno che ha dimostrato, in maniera disarmante, l’estrema vulnerabilità degli Stati di fronte alla minaccia virtuale il cui mandante (spesso di origine statuale) è davvero difficile da individuare e contrastare ad armi pari. Negli Stati Uniti l’attacco contro la più grande rete di distribuzione di carburante del Paese o il sabotaggio nel processo di controllo degli acquedotti di alcuni stati del nord sono solo alcuni dei casi “noti” che hanno rivelato come il nuovo dominio di confronto transnazionale e apparentemente “neutro” è di fatto la nuova sfida che si presenta ai nostri governi.
I gruppi hacker più attivi hanno le loro basi operative in Russia, Iran e Cina. Sensazionale è stato l’ultimo attacco hacker perpretato dal gruppo russo noto come REvil. L’azione è stata di tipo ransomware e ha colpito diverse aziende americane con il bloccaggio dei server, il furto dei dati o peggio con la compromissione delle chiavi di accesso. Il ritorno alla normalità avviene, di solito, solo dopo il pagamento di ingenti somme di denaro in cryptovaluta. Un metodo di pagamento impossibile da tracciare. Il più emblematico, l’attacco a maggio scorso nei confronti del più grande fornitore di carni degli Usa, la JBS, che per riavere le chiavi di accesso aziendali ha dovuto pagare 11 milioni di dollari di “riscatto”.
L’attacco alla Regione Lazio. Durante il fine settimana scorso ad essere stati attaccati sono stati i server della Regione Lazio con il blocco di quasi tutti i file del Ced. A risentire dell’attacco il sistema prenotazioni cup e vaccinali. Le prime indagini parlano di un attacco proveniente dall’estero con richiesta di riscatto. Il governatore Zingaretti parla di terrorismo e di offensiva informatica più grave mai avvenuta nel Paese. Ha anche assicurato che non ci saranno trattative con gli autori del blitz. Certo è che se di terroristi informatici si tratta è davvero difficile non pagare un riscatto per riavere i server di nuovo funzionanti. Nel frattempo a prendere le redini della difficile situazione i nostri servizi di sicurezza. Fa però sorridere la tempistica della vicenda perchè solo di recente in Italia è stata costituita, con notevole difficoltà, l’Agenzia Nazionale per la Cybersecurity, meglio tardi che mai?
L’attacco iraniano. Un gruppo di hacker, che gli analisti sostengono sia guidato dal governo iraniano, ha utilizzato falsi profili Gmail e Facebook per penetrare i server di un appaltatore della difesa degli Stati Uniti. Un rapporto pubblicato ieri dalla società di sicurezza informatica californiana Proofpoint ha identificato il gruppo di hacker responsabile degli attacchi: Threat Actor 456 (TA456).
Conosciuto anche come Imperial Kitten e Tortoiseshell, il TA456 secondo Proofpoint è tra i gruppi “più determinati” contro i nemici dell’Iran prendendo di mira industrie della difesa occidentali che commerciano in Medio Oriente.
L’operazione più recente di TA456 è avvenuta con uno stratagemma semplice ma efficace. Hanno inventato un profilo fittizio sotto il nome di “Marcy Flores“, una donna che viveva nella città britannica di Liverpool. Questa donna, con profilo google e Facebook opportunamente popolato con immagini che riprendevano la vita di una persona normale, ha contattato diversi i dipendenti impiegati nelle industrie della difesa degli Stati Uniti. Uno di questi dipendenti ha “abboccato” iniziando a “flirtare” con Flores su Facebook a partire dal 2019.
Nel giugno 2021, Flores ha mandato al suo “amante virtuale” un video che conteneva un link nascosto, un malware, noto come LEMPO, progettato per fornire agli hacker le copie dei file trovati sui sistemi penetrati. L’azione ha richiesto del tempo ma alla fine ha dato i suoi frutti.
Non a caso Facebook il mese scorso ha dichiarato di aver preso provvedimenti contro un gruppo di hacker in Iran al fine di interrompere la loro capacità di utilizzare la piattaforma social più famosa ed utilizzata al mondo.
Il nuovo dominio di confronto è, come visto, il cyberspazio, un mondo dove è quasi impossibile risalire ai mandanti degli attacchi e i luoghi da dove fanno partire le attività malevole. Maggiore cultura sulla sicurezza informatica e maggiori investimenti in strutture ed infrastrutture dedite alla cybersecurity sono la base essenziale per cercare di contrastare un fenomeno in continua crescita (nel 2020 si è registrato un aumento del 256%) e che non fa sconti a nessuno. In Italia ce ne siamo accorti forse un tantino troppo tardi.