Italia sotto attacco Cyber, “#MattarellaDimettiti”, i russi di APT28 dietro le quinte?

Views

Nel maggio scorso, mentre  il presidente della Repubblica Mattarella dava il suo perentorio “no” alla candidatura di Paolo Savona come ministro dell’Economia, su  twitter in pochi minuti vennero creati più di  400 nuovi account.

Alle due del mattino migliaia i messaggi di insulti e agli inviti alle dimissioni di Sergio Mattarella, l’hashtag utilizzato “#MattarellaDimettiti”. Il timore di intromissioni russe sulle vicende italiane era già nota durante le elezioni politiche ma la comprovata azione di attacchi simultanei avvalora questa tesi/informativa dell’intelligence italiana. La polizia postale, nella vicenda Mattarella, ha precisato che dietro questo massivo utilizzo del social media “twitter” ci possano essere esperti operatori russi specializzati in “troll”. Le interferenze  russe sulle vicende nazionali sono già state registrate durante la campagna elettorale presidenziale in Usa, Francia e Germania. Una capacità nel cyber world molto evoluta e pervasiva. Negli Stati Uniti ad esempio è stato scoperto, con l’aiuto delle sezioni operative di Facebook e Twitter che alcune agenzie “private” russe avevano investito centinaia di migliaia di dollari in campagne di sponsorizzazione tramite decine di migliaia di account “anomali”, ovvero falsi . E’ stato scoperto che tutti questi “fake” account lanciavano in maniera  massiva e durante la notte decine di migliaia di “post” con finalità razziali e comunque favorevoli alle politiche lanciate in campagna elettorale da Donald Trump.

Cosa avverrà per porre rimedio

In Italia dopo il Copasir e la richiesta di chiarimenti che i vari gruppi parlamentari faranno al Governo in carica, tocchera’ anche ai pm della Procura di Roma fare chiarezza sui presunti attacchi web di troll russi al Presidente della Repubblica, Sergio Mattarella. Nei primi giorni della prossima settimana verra’ formalmente avviato un fascicolo di indagine che sara’ coordinato dal pool di magistrati che si occupano dell’antiterrorismo e in particolare dei reati contro personalita’ dello Stato. A piazzale Clodio è attesa una prima informativa della polizia postale. Il profilo penale con cui rubricare il fascicolo di indagine sarà valutato dai magistrati dopo l’analisi dell’informativa. Di questa vicenda, intanto, si occuperà come detto anche il Copasir, con l’audizione del direttore del Dis, Alessandro Pansa. Il senatore del Pd e componente del Copasir, Ernesto Magorno ha detto, “si tratta, evidentemente, di una vicenda assai inquietante e che merita tutti gli approfondimenti del caso.  Questa vicenda ci rende ancora piu’ consapevoli del fatto che la cybersecurity sia un grande tema su cui concentrare sforzi e competenze.

L’Italia è quindi sotto attacco cibernetico? 

Secondo quanto riportato da AGI, in base a quello che hanno scoperto i ricercatori dello Z-Lab, il centro anti malware di Cse Cybsec, azienda italiana di cybersecurity, sembrerebbe di poter rispondere di sì. L’Italia sarebbe oggetto  di una campagna di spionaggio ed interferenza da parte di un gruppo russo.

Gli esperti di Cse hanno infatti individuato sulle reti italiane una backdoor, una ‘porta posteriore’, usata per aggirare le difese dei sistemi sotto attacco, identificata come una nuova variante della famigerata backdoor X-Agent. Usata per colpire i sistemi Windows, la backdoor, parte dell’arsenale di APT28, un gruppo paramilitare russo, consentirebbe di esfiltrare dati dai computer compromessi per mandarli a un centro di Comando e Controllo situato in Asia.

Le prove che portano agli hacker russi sarebbero diverse: il linguaggio in cui è scritto il virus che veicola la backdoor, il luogo di destinazione del traffico che genera, il tipo di minaccia, X-Agent, da tempo in possesso all’APT 28, gruppo di hacker collegato ai servizi segreti militari russi.

L’inchiesta di CSE e la Marina Italiana

L’inchiesta di Cse, avviata da un’indagine di routine su un campione di software malevolo inviato a Virus Total, una piattaforma di analisi online di virus e malware, ha permesso con l’aiuto di un ricercatore noto su Twitter come Drunk Binary di confrontarlo con una serie di campioni e segnalarli alle autorità per ulteriori indagini, in un rapporto accompagnato dalle cosiddette “regole Yara”, che servono a individuare l’azione in corso di eventuali malware. Ma gli esperti hanno anche analizzato altro codice malevolo, una DLL, una libreria dinamica di software, che viene caricata automaticamente durante l’esecuzione di un compito informatico.

Apparentemente non correlata agli esempi precedenti, presenta molte somiglianze con altre cyber-armi in possesso del gruppo russo. In questo caso il malware contatta un server di comando e controllo che porta il nome “marina-info.net” che, dice Pierluigi Paganini, capo tecnologo di CSE Cybsec, “Se adottiamo le logiche degli attaccanti parrebbe un riferimento alla Marina militare italiana e ci invita a verificare l’ipotesi che quel codice malevolo sia stato sviluppato come parte di una serie di attacchi mirati contro la Marina o altre entità ad essa associate, come i suoi fornitori.”

I ricercatori di CSE Cybsec non sono stati in grado di collegare direttamente il file DLL malevolo agli esemplari di X-Agent, ma credono che siano entrambe parti di un attacco chirurgico ben coordinato e alimentato dall’APT28 che Z-Lab ha chiamato “Operazione Vacanze Romane” perché potrebbe colpire organizzazioni italiane nel periodo estivo.

Il gruppo APT28 infatti è attivo dal 2007 e ha preso di mira governi, forze armate e organizzazioni di sicurezza. Ma, soprattutto, APT28 è uno dei gruppi hacker più famosi al mondo per essere stato coinvolto nel furto delle email di Hillary Clinton che portarono l’FBI di James Comey a indagarla poco prima delle elezioni presidenziali Usa spianando di fatto la strada al candidato Donald Trump.

APT28, un acronimo che sta per Advanced Persistent Threath numero 28, prende il nome dalla tecnica utilizzata: una ‘Minaccia persistente avanzata’ è un tipo di minaccia informatica che una volta installata in server e sistemi vi rimane per svolgere il suo compito di monitoraggio ed esfiltrazione dei dati, in genere con finalità di spionaggio.

Il gruppo, ben organizzato e finanziato – noto anche come Sofacy, Fancy Bear, Pawn Storm, Sednit e Stronzio -, era stato segnalato operante da Palo alto networks e Kaspersky Lab in Asia e Medio Oriente proprio negli ultimi mesi, dando l’idea di essersi allontanato dagli usuali bersagli della Nato e dell’Ucraina. Ma in base alle evidenze trovate dallo Z-Lab forse non è più così.

Italia sotto attacco Cyber, “#MattarellaDimettiti”, i russi di APT28 dietro le quinte?

16 commenti

  • minecraft free download 2018

    Excellent post. I was checking continuously this blog and I am impressed!
    Very helpful information particularly the last part :
    ) I care for such info a lot. I was looking for this particular information for a very long time.

    Thank you and best of luck.

  • minecraft free download 2018

    Nice post. I was checking constantly this blog and I am
    impressed! Very useful information specifically the last part 🙂 I
    care for such information much. I was looking
    for this particular info for a long time. Thank you and best of luck.

  • minecraft free download 2018

    Hi there exceptional blog! Does running a blog like this take a
    massive amount work? I’ve absolutely no understanding of programming however I had been hoping to start my own blog in the near future.
    Anyhow, should you have any recommendations or techniques for new blog owners please share.
    I know this is off subject however I just needed to ask.
    Appreciate it!

  • minecraft free download 2018

    My partner and I stumbled over here coming from a different website and thought I
    might as well check things out. I like what I see so i am just
    following you. Look forward to checking out your web
    page yet again.

  • minecraft free download 2018

    You’re so interesting! I do not think I’ve truly read through anything like this before.
    So great to find someone with a few genuine thoughts on this subject
    matter. Seriously.. thanks for starting this up. This web site is something that
    is needed on the web, someone with some originality!

  • minecraft free download 2018

    What i don’t realize is in reality how you are not really
    much more neatly-favored than you might be now. You are very intelligent.
    You understand thus considerably in terms of this subject, produced me in my opinion consider it from a
    lot of varied angles. Its like women and men don’t seem to be
    fascinated until it’s one thing to do with Lady gaga!
    Your personal stuffs outstanding. At all times take care of it up!

  • minecraft free download 2018

    Hello There. I discovered your blog the use of msn. That is an extremely well written article.

    I will be sure to bookmark it and return to read more of your helpful info.
    Thank you for the post. I will certainly comeback.

  • minecraft

    Greetings from Ohio! I’m bored to tears at work so I decided to browse your blog on my iphone during lunch break.
    I really like the knowledge you provide here and can’t wait to take a look
    when I get home. I’m surprised at how fast your blog loaded on my cell phone ..
    I’m not even using WIFI, just 3G .. Anyways, fantastic site!

  • minecraft

    Great weblog right here! Additionally your
    web site a lot up very fast! What web host are
    you using? Can I get your associate hyperlink on your host?
    I wish my web site loaded up as quickly as yours lol

You may use these HTML tags and attributes: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>