La două dimineața, mii de mesaje jignitoare și invitații de a demisiona de la Sergio Mattarella, hashtagul folosit "#MattarellaDimettiti ". Teama de amestecul rus în afacerile italiene era deja cunoscută în timpul alegerilor politice, dar acțiunea dovedită a atacurilor simultane susține această teză / informație a informațiilor italiene. Poliția poștală, în afacerea Mattarella, a specificat că în spatele acestei utilizări masive a „twitter” a rețelelor sociale pot exista operatori ruși cu experiență specializați în „troli”. Interferența rusă în afacerile naționale a fost deja înregistrată în timpul campaniei electorale prezidențiale din SUA, Franța și Germania. O capacitate foarte evoluată și omniprezentă în lumea cibernetică. În Statele Unite, de exemplu, s-a descoperit, cu ajutorul secțiunilor de operare de pe Facebook și Twitter, că unele agenții ruse „private” investiseră sute de mii de dolari în campanii de sponsorizare prin zeci de mii de conturi „anormale” , sau fals. S-a descoperit că toate aceste conturi „false” au fost lansate masiv și peste noapte zeci de mii de „postări” cu scopuri rasiale și în orice caz favorabile politicilor lansate în campania electorală de Donald Trump.
Ce se va întâmpla pentru a remedia
În Italia, după Copasir și cererea de clarificare pe care diferitele grupuri parlamentare o vor face guvernului aflat în funcție, va reveni și procurorilor de la Roma să clarifice presupusele atacuri web ale trolilor ruși împotriva Președintelui Republicii, Sergio Mattarella. Un dosar de investigație va fi lansat oficial în primele zile ale săptămânii viitoare și va fi coordonat de grupul de judecători care se ocupă de combaterea terorismului și în special cu infracțiuni împotriva personalităților statului. Un prim raport al poliției poștale este de așteptat în piazzale Clodio. Profilul penal cu care se intră în dosarul de cercetare va fi evaluat de magistrați după analiza informațiilor. Între timp, Copasir se va ocupa și de această poveste, cu audierea directorului Dis, Alessandro Pansa. Senatorul Partidului Democrat și membru al Copasirului, Ernesto Magorno, a spus: „Este evident o afacere foarte tulburătoare, care merită toate investigațiile necesare. Această poveste ne face și mai conștienți de faptul că securitatea cibernetică este o problemă excelentă pe care să ne concentrăm eforturile și abilitățile.
Prin urmare, Italia este atacată cibernetic?
Conform celor raportate de AGI, pe baza a ceea ce cercetătorii de la Z-Lab, centrul anti-malware al CSE Cybsec, o companie italiană de securitate cibernetică, pare să poată răspunde da. Italia ar face obiectul unei campanii de spionaj și interferență a unui grup rus.
Experții CSE au identificat, de fapt, o ușă din spate pe rețelele italiene, o „ușă din spate”, utilizată pentru a ocoli apărarea sistemelor atacate, identificată ca o nouă variantă a infamei spate X-Agent. Folosit pentru a viza sistemele Windows, ușa din spate, parte a arsenalului APT28, un grup paramilitar rus, ar permite ca datele să fie exfiltrate de pe computerele compromise și trimise la un centru de comandă și control situat în Asia.
Dovezile care duc la hackerii ruși ar fi diferite: limba în care este scris virusul care poartă ușa din spate, destinația traficului pe care îl generează, tipul de amenințare, X-Agent, care deține de mult APT 28, grup de hacker legat de informațiile militare rusești.
Ancheta CSE și marina italiană
Investigația CSE, inițiată de o investigație de rutină asupra unui eșantion de software rău intenționat trimis către Virus Total, o platformă online de analiză a virusului și a malware-ului, a permis cu ajutorul unui cercetător cunoscut pe Twitter ca Drunk Binary să îl compare cu o serie de eșantioane și să le raporteze autorităților pentru investigații suplimentare, într-o relație însoțite de așa-numitele „reguli Yara”, care sunt utilizate pentru a identifica acțiunea în curs a oricărui malware. Dar experții au analizat și alte coduri rău intenționate, o DLL, o bibliotecă dinamică de software, care este încărcată automat atunci când se efectuează o sarcină pe computer.
Aparent fără legătură cu exemplele anterioare, are multe asemănări cu alte arme cibernetice deținute de grupul rus. În acest caz, malware-ul contactează un server de comandă și control care poartă numele „marina-info.net” care, spune Pierluigi Paganini, tehnolog șef al CSE Cybsec, „Dacă adoptăm logica atacatorilor, ar părea o referință la Marina italiană și ne invită să testăm ipoteza că acel cod rău intenționat a fost dezvoltat ca parte a unei serii de atacuri vizate împotriva Marinei sau a altor entități asociate acesteia, cum ar fi furnizorii săi. "
Cercetătorii CSE Cybsec nu au reușit să lege direct fișierul DLL rău intenționat de specimenele X-Agent, dar cred că sunt ambele părți ale unui atac chirurgical bine coordonat, alimentat cu APT28, pe care Z-Lab l-a numit „Operațiunea Vacanțe. Romane” deoarece ar putea afecta organizațiile italiene în timpul verii.
De fapt, grupul APT28 este activ din 2007 și a vizat guverne, forțe armate și organizații de securitate. Dar, mai presus de toate, APT28 este unul dintre cele mai faimoase grupuri de hackeri din lume pentru că a fost implicat în furtul e-mailurilor lui Hillary Clinton care au determinat FBI-ul lui James Comey să o investigheze chiar înainte de alegerile prezidențiale din SUA, deschizând calea candidatului Donald Trump.
APT28, un acronim care înseamnă Advanced Persistent Threath numărul 28, își ia numele din tehnica utilizată: un „Advanced Persistent Threat” este un tip de amenințare cibernetică care, odată instalat pe servere și sisteme, rămâne acolo pentru a-și efectua monitorizarea și exfiltrarea datelor , în general în scopuri de spionaj.
Grupul bine organizat și finanțat - cunoscut și sub numele de Sofacy, Fancy Bear, Pawn Storm, Sednit și Stronzio - a fost raportat că operează de către rețelele Palo alto și Kaspersky Lab din Asia și Orientul Mijlociu în ultimele luni, dând ideea de a fi mutat departe de țintele obișnuite ale NATO și Ucrainei. Dar pe baza dovezilor găsite de Z-Lab, probabil că acesta nu mai este cazul.