Om twee uur 's nachts duizenden beledigende berichten en uitnodigingen om ontslag te nemen van Sergio Mattarella, de gebruikte hashtag "#MattarellaDimettiti ". De angst voor Russische inmenging in Italiaanse aangelegenheden was al bekend tijdens de politieke verkiezingen, maar de bewezen actie van gelijktijdige aanvallen ondersteunt deze stelling / informatie van de Italiaanse inlichtingendienst. De postpolitie heeft in de Mattarella-affaire gespecificeerd dat er achter dit massale gebruik van de sociale media "twitter" mogelijk ervaren Russische operators zitten die gespecialiseerd zijn in "trollen". Russische inmenging in nationale aangelegenheden is al geconstateerd tijdens de presidentsverkiezingen in de VS, Frankrijk en Duitsland. Een zeer geavanceerde en alomtegenwoordige mogelijkheid in de cyberwereld. In de Verenigde Staten werd bijvoorbeeld met behulp van de operationele secties van Facebook en Twitter ontdekt dat sommige ‘particuliere’ Russische agentschappen honderdduizenden dollars hadden geïnvesteerd in sponsorcampagnes via tienduizenden ‘afwijkende’ accounts of nepaccounts. . Er werd ontdekt dat al deze "nep" -accounts massaal en van de ene op de andere dag tienduizenden "posts" lanceerden met raciale doeleinden en in ieder geval gunstig voor het beleid dat werd gelanceerd tijdens de verkiezingscampagne van Donald Trump.
Wat zal er gebeuren om te verhelpen
In Italië is het, na de Copasir en het verzoek om opheldering dat de verschillende parlementaire fracties zullen doen aan de zittende regering, ook aan de aanklagers van Rome om de vermeende webaanvallen van Russische trollen op de president van de Republiek, Sergio Mattarella, op te helderen. In de eerste dagen van volgende week zal formeel een onderzoeksdossier worden opgestart, dat zal worden gecoördineerd door de pool van rechters die zich bezighouden met terrorismebestrijding en in het bijzonder met misdaden tegen staatspersoonlijkheden. Een eerste aangifte van de postpolitie wordt verwacht op piazzale Clodio. Het crimineel profiel waarmee het opsporingsdossier wordt ingevoerd, wordt na analyse van de informatie door de magistraten beoordeeld. In de tussentijd zal Copasir deze kwestie ook behandelen, met de hoorzitting van de directeur van Dis, Alessandro Pansa. De senator van de Democratische Partij en een lid van Copasir, Ernesto Magorno, zei: “Het is duidelijk een zeer verontrustende aangelegenheid die alle noodzakelijke onderzoeken verdient. Dit verhaal maakt ons nog meer bewust van het feit dat cybersecurity een belangrijk onderwerp is waarop we onze inspanningen en vaardigheden kunnen concentreren.
Staat Italië daarom onder cyberaanvallen?
Volgens rapporten van AGI, gebaseerd op wat onderzoekers van Z-Lab, het anti-malware centrum van Cse Cybsec, een Italiaans cyberbeveiligingsbedrijf, lijkt ja te kunnen antwoorden. Italië zou het onderwerp zijn van een spionage- en inmengingscampagne door een Russische groep.
CSE-experts hebben in feite een achterdeur op Italiaanse netwerken geïdentificeerd, een 'achterdeur', gebruikt om de verdediging van de aangevallen systemen te omzeilen, geïdentificeerd als een nieuwe variant van de beruchte X-Agent-achterdeur. De achterdeur, die deel uitmaakt van het arsenaal van APT28, een Russische paramilitaire groep, wordt gebruikt voor Windows-systemen en maakt het mogelijk dat gegevens van gecompromitteerde computers worden geëxtraheerd en naar een Command and Control Center in Azië worden gestuurd.
Het bewijs dat naar Russische hackers leidt, zou anders zijn: de taal waarin het virus dat de achterdeur draagt, is geschreven, de bestemming van het verkeer dat het genereert, het type bedreiging, X-Agent, dat al lang in het bezit was van APT 28, hackergroep gekoppeld aan Russische militaire inlichtingendienst.
Het onderzoek van CSE en de Italiaanse marine
Het CSE-onderzoek, geïnitieerd door een routineonderzoek naar een steekproef van kwaadaardige software die naar Virus Total, een online virus- en malwareanalyseplatform, werd gestuurd, werd toegestaan met de hulp van een onderzoeker die op Twitter bekend staat als Drunk Binary om vergelijk het met een reeks monsters en rapporteer ze aan de autoriteiten voor verder onderzoek, in een relatie vergezeld van de zogenaamde "Yara-regels", die worden gebruikt om de voortdurende actie van malware te identificeren. Maar de experts analyseerden ook andere kwaadaardige code, een DLL, een dynamische bibliotheek met software, die automatisch wordt geladen wanneer een computertaak wordt uitgevoerd.
Blijkbaar los van de voorgaande voorbeelden, vertoont het veel overeenkomsten met andere cyberwapens in het bezit van de Russische groep. In dit geval neemt de malware contact op met een commando- en controleserver die de naam "marina-info.net" draagt die, zegt Pierluigi Paganini, hoofdtechnoloog van CSE Cybsec, "Als we de logica van de aanvallers overnemen, lijkt het een verwijzing naar de Italiaanse marine en nodigt ons uit om de hypothese te testen dat die kwaadaardige code is ontwikkeld als onderdeel van een reeks gerichte aanvallen op de marine of andere daarmee verbonden entiteiten, zoals haar leveranciers. "
CSE Cybsec-onderzoekers zijn niet in staat geweest om het kwaadaardige DLL-bestand rechtstreeks te koppelen aan de X-Agent-exemplaren, maar geloven dat ze beide onderdelen zijn van een goed gecoördineerde, door APT28 aangedreven chirurgische aanval die Z-Lab "Operation Vacations" heeft genoemd. Romane ”omdat het in de zomer gevolgen zou kunnen hebben voor Italiaanse organisaties.
In feite is de APT28-groep actief sinds 2007 en heeft zij zich gericht op regeringen, strijdkrachten en veiligheidsorganisaties. Maar bovenal is APT28 een van de beroemdste hackergroepen ter wereld omdat het betrokken was bij de diefstal van de e-mails van Hillary Clinton die de FBI van James Comey ertoe brachten het te onderzoeken vlak voor de Amerikaanse presidentsverkiezingen, waardoor de weg werd vrijgemaakt voor kandidaat Donald Trump. .
APT28, een acroniem dat staat voor Advanced Persistent Threath nummer 28, ontleent zijn naam aan de gebruikte techniek: een 'Advanced Persistent Threat' is een soort cyberdreiging die eenmaal geïnstalleerd op servers en systemen daar blijft om de monitoring en gegevensonderschepping, meestal voor spionagedoeleinden.
De goed georganiseerde en gefinancierde groep - ook bekend als Sofacy, Fancy Bear, Pawn Storm, Sednit en Stronzio - werd de afgelopen maanden door Palo Alto Networks en Kaspersky Lab in Azië en het Midden-Oosten geëxploiteerd, wat het idee gaf van afstand hebben genomen van de gebruikelijke doelen van de NAVO en Oekraïne. Maar op basis van het door het Z-Lab gevonden bewijs is dit misschien niet meer het geval.