Offensiva di cyber gang o attacco cibernetico di natura geopolitica con lo zampino della Russia in sottofondo? L’attacco hacker partito sabato notte dalla Francia e rapidamente allargatosi all’Italia, Finlandia,Turchia, Regno Unito fino agli Stati Uniti è ancora da chiarire. Sarebbero stati colpiti almeno 2.100 server. Se ne occuperà oggi, lunedì 6 febbraio il governo – con un vertice in mattinata a Palazzo Chigi – per chiarirne la portata e soprattutto fare scattare le contromisure difensive. Al momento prevale l’ipotesi di un attacco ransomware in grado di bloccare le reti informatiche in modo tale da renderle inaccessibili per poi chiedere un cospicuo riscatto in Bitcoin. Ma la natura subdola dell’attacco fa pensare a diverse fonti che la mano nascosta ad avere mosso gli attacchi, denunciati con forza dall’Agenzia per la Cybersicurezza Nazionale, nasconda in realtà gang russe, non governative ma tollerate dal Cremilino, che già in tempi recenti si erano segnalate per mettere in difficoltà alcune infrastrutture strategiche: dal blocco dei sistemi di prenotazione per i vaccini Covid della regione Lazio in piena pandemia alle biglietterie di Trenitalia, all’attacco ai server del Gse, la società che gestisce i servizi energetici italiani. Questa volta gli hacker sono entrati nei computer di mezzo mondo, sfruttando la vulnerabilità di un software (Vmware: serve per creare macchine virtuali) assai utilizzato.
Hacker all’attacco: come hanno colpito e dove
L’attacco individuato dall’Agenzia per la Cybersicurezza ha preso di mira i server VMware ESXi: gli autori hanno sfruttato una vulnerabilità che era stata già individuata e risolta nel febbraio 2021 da Vmware, ma – spiegano gli esperti – non tutti hanno applicato la correzione indicata dall’azienda e dunque sono rimasti col buco senza toppa che è stato sfruttato in questa ondata di attacchi per entrare nei sistemi. Ed i server presi di mira, se privi delle correzioni adeguate, “possono aprire le porte agli hacker impegnati a sfruttarla in queste ore dopo la forte crescita di attacchi registrata nel weekend”. I primi ad accorgersi dell’attacco sono stati i francesi, probabilmente per via dell’ampio numero di infezioni registrato sui sistemi di alcuni provider in quel Paese. Successivamente l’ondata di attacchi si è sposta su altri paesi tra cui l’Italia. Al momento i server compromessi sono qualche migliaio in tutto il mondo, dalla Francia alla Finlandia, dal Canada agli Stati Uniti.
Negli Usa la Cisa (Cybersecurity and Infrastrutture Security Agency, l’agenzia federale per la sicurezza digitale) sta lavorando con istituzioni pubbliche e società private per valutare la situazione. L’Agenzia Usa ha chiesto a tutte le organizzazioni che abbiano avuto anomalie o incidenti di segnalarli alla Cisa o al Fbi. La decisione – segnala Reuters – è scattata dopo l’allarme lanciato dall’Agenzia italiana per la Cybersicurezza.
Attacco hacker: vertice a Palazzo Chigi
Chi rischia di più dopo l’ondata di attacchi del weekend? Ministeri, agenzie, aziende di trasporto, banche. Domenica sono stati rallentati bancomat, prenotazioni di trasporti, pagamenti elettronici. La preoccupazione maggiore riguarda però la sanità: il software oggetto dell’attacco è utilizzato da tutte le principali aziende sanitarie del nostro paese e, dalle prime informazioni, in pochissime avrebbero eseguito l’aggiornamento.
Una riunione per valutare la portata dell’attacco informatico è fissata a Palazzo Chigi alle 9 di oggi 6 febbraio per fare un primo bilancio dei danni provocati e mettere in campo le adeguate contromisure. All’incontro parteciperanno il sottosegretario Alfredo Mantovano, il direttore dell’Agenzia per la Cybersicurezza Roberto Baldoni e la direttrice del Dis, il Dipartimento informazioni e sicurezza, Elisabetta Belloni. Già nelle scorse settimane, tra l’altro, la premier Giorgia Meloni aveva fatto in Cdm un’informativa proprio sulla necessità di contrastare la vulnerabilità dei sistemi informatici.
Aggiornamento
“In merito all’attacco hacker verificatosi su scala mondiale, la riunione tenuta stamane a Palazzo Chigi è servita a verificare che, pur nella gravità dell’accaduto, in Italia nessuna Istituzione o azienda primaria che opera in settori critici per la sicurezza nazionale e’ stata colpita”. Questo il comunicato emesso da Palazzo Chigi con il quale si spera che “nel corso delle prime attività ricognitive compiute da Acn-Agenzia per la Cybersicurezza Nazionale, insieme alla Polizia Postale, non sono emerse evidenze che riconducano ad aggressione da parte di un soggetto statale o assimilabile a uno Stato ostile; è invece probabile l’azione di criminali informatici, che richiedono il pagamento di un riscatto”.
