Alle due del mattino migliaia i messaggi di insulti e agli inviti alle dimissioni di Sergio Mattarella, l’hashtag utilizzato “#MattarellaDimettiti”. Il timore di intromissioni russe sulle vicende italiane era già nota durante le elezioni politiche ma la comprovata azione di attacchi simultanei avvalora questa tesi/informativa dell’intelligence italiana. La polizia postale, nella vicenda Mattarella, ha precisato che dietro questo massivo utilizzo del social media “twitter” ci possano essere esperti operatori russi specializzati in “troll”. Le interferenze russe sulle vicende nazionali sono già state registrate durante la campagna elettorale presidenziale in Usa, Francia e Germania. Una capacità nel cyber world molto evoluta e pervasiva. Negli Stati Uniti ad esempio è stato scoperto, con l’aiuto delle sezioni operative di Facebook e Twitter che alcune agenzie “private” russe avevano investito centinaia di migliaia di dollari in campagne di sponsorizzazione tramite decine di migliaia di account “anomali”, ovvero falsi . E’ stato scoperto che tutti questi “fake” account lanciavano in maniera massiva e durante la notte decine di migliaia di “post” con finalità razziali e comunque favorevoli alle politiche lanciate in campagna elettorale da Donald Trump.
Cosa avverrà per porre rimedio
In Italia dopo il Copasir e la richiesta di chiarimenti che i vari gruppi parlamentari faranno al Governo in carica, tocchera’ anche ai pm della Procura di Roma fare chiarezza sui presunti attacchi web di troll russi al Presidente della Repubblica, Sergio Mattarella. Nei primi giorni della prossima settimana verra’ formalmente avviato un fascicolo di indagine che sara’ coordinato dal pool di magistrati che si occupano dell’antiterrorismo e in particolare dei reati contro personalita’ dello Stato. A piazzale Clodio è attesa una prima informativa della polizia postale. Il profilo penale con cui rubricare il fascicolo di indagine sarà valutato dai magistrati dopo l’analisi dell’informativa. Di questa vicenda, intanto, si occuperà come detto anche il Copasir, con l’audizione del direttore del Dis, Alessandro Pansa. Il senatore del Pd e componente del Copasir, Ernesto Magorno ha detto, “si tratta, evidentemente, di una vicenda assai inquietante e che merita tutti gli approfondimenti del caso. Questa vicenda ci rende ancora piu’ consapevoli del fatto che la cybersecurity sia un grande tema su cui concentrare sforzi e competenze.
L’Italia è quindi sotto attacco cibernetico?
Secondo quanto riportato da AGI, in base a quello che hanno scoperto i ricercatori dello Z-Lab, il centro anti malware di Cse Cybsec, azienda italiana di cybersecurity, sembrerebbe di poter rispondere di sì. L’Italia sarebbe oggetto di una campagna di spionaggio ed interferenza da parte di un gruppo russo.
Gli esperti di Cse hanno infatti individuato sulle reti italiane una backdoor, una ‘porta posteriore’, usata per aggirare le difese dei sistemi sotto attacco, identificata come una nuova variante della famigerata backdoor X-Agent. Usata per colpire i sistemi Windows, la backdoor, parte dell’arsenale di APT28, un gruppo paramilitare russo, consentirebbe di esfiltrare dati dai computer compromessi per mandarli a un centro di Comando e Controllo situato in Asia.
Le prove che portano agli hacker russi sarebbero diverse: il linguaggio in cui è scritto il virus che veicola la backdoor, il luogo di destinazione del traffico che genera, il tipo di minaccia, X-Agent, da tempo in possesso all’APT 28, gruppo di hacker collegato ai servizi segreti militari russi.
L’inchiesta di CSE e la Marina Italiana
L’inchiesta di Cse, avviata da un’indagine di routine su un campione di software malevolo inviato a Virus Total, una piattaforma di analisi online di virus e malware, ha permesso con l’aiuto di un ricercatore noto su Twitter come Drunk Binary di confrontarlo con una serie di campioni e segnalarli alle autorità per ulteriori indagini, in un rapporto accompagnato dalle cosiddette “regole Yara”, che servono a individuare l’azione in corso di eventuali malware. Ma gli esperti hanno anche analizzato altro codice malevolo, una DLL, una libreria dinamica di software, che viene caricata automaticamente durante l’esecuzione di un compito informatico.
Apparentemente non correlata agli esempi precedenti, presenta molte somiglianze con altre cyber-armi in possesso del gruppo russo. In questo caso il malware contatta un server di comando e controllo che porta il nome “marina-info.net” che, dice Pierluigi Paganini, capo tecnologo di CSE Cybsec, “Se adottiamo le logiche degli attaccanti parrebbe un riferimento alla Marina militare italiana e ci invita a verificare l’ipotesi che quel codice malevolo sia stato sviluppato come parte di una serie di attacchi mirati contro la Marina o altre entità ad essa associate, come i suoi fornitori.”
I ricercatori di CSE Cybsec non sono stati in grado di collegare direttamente il file DLL malevolo agli esemplari di X-Agent, ma credono che siano entrambe parti di un attacco chirurgico ben coordinato e alimentato dall’APT28 che Z-Lab ha chiamato “Operazione Vacanze Romane” perché potrebbe colpire organizzazioni italiane nel periodo estivo.
Il gruppo APT28 infatti è attivo dal 2007 e ha preso di mira governi, forze armate e organizzazioni di sicurezza. Ma, soprattutto, APT28 è uno dei gruppi hacker più famosi al mondo per essere stato coinvolto nel furto delle email di Hillary Clinton che portarono l’FBI di James Comey a indagarla poco prima delle elezioni presidenziali Usa spianando di fatto la strada al candidato Donald Trump.
APT28, un acronimo che sta per Advanced Persistent Threath numero 28, prende il nome dalla tecnica utilizzata: una ‘Minaccia persistente avanzata’ è un tipo di minaccia informatica che una volta installata in server e sistemi vi rimane per svolgere il suo compito di monitoraggio ed esfiltrazione dei dati, in genere con finalità di spionaggio.
Il gruppo, ben organizzato e finanziato – noto anche come Sofacy, Fancy Bear, Pawn Storm, Sednit e Stronzio -, era stato segnalato operante da Palo alto networks e Kaspersky Lab in Asia e Medio Oriente proprio negli ultimi mesi, dando l’idea di essersi allontanato dagli usuali bersagli della Nato e dell’Ucraina. Ma in base alle evidenze trovate dallo Z-Lab forse non è più così.