Killnet e Legion hanno attaccato la finale dell’Eurovision, cercando di bloccare il televoto. E l’intervento della nostra Polizia di Stato ha sventato l’attacco, per poi finire con il sito down per un DDOS di ritorsione.
Polizia di Stato, giù il sito: hacker filo-russi all’attacco dell’Italia
Tutto sommato era prevedibile: gli autori di questi attacchi, i filo-russi Killnet, sono abili nei DDOS e allo stesso modo qualche giorno fa avevano bloccato per qualche ora numerosi enti italiani, Senato, Ministero della Difesa, Aci, Iss, Kompass, IMT scuola alti studi di Lucca, un centro di ricerca toscano, la Infomedix Odontoiatria Italia e già dal 12 maggio il sistema di voto dell’Eurovision. Non ci sono stati danni sull’operatività delle istituzioni colpite. Un attacco Ddos come questo è dimostrativo, come il defacement dei siti.
L’attacco all’Italia
La nota della Polizia di Stato indica che gli attivisti hanno provato a infiltrarsi nella serata inaugurale e durante la finale. Era però stata attivata una sala operativa dedicata all’evento di Eurovision dove tecnici e poliziotti specialisti del Cnaipic (Centro nazionale anticrimine informatico per la protezione infrastrutture critiche) della Polizia Postale hanno lavorato 24 ore su 24 neutralizzando una serie di tentativi di attacco informatico del collettivo di Killnet e della sua affiliata Legion.
Il messaggio di Killnet su telegram, rivolto a Italia e Spagna, sostiene che “Legion ha condotto esercitazioni cyber nei vostri Paesi per migliorare le proprie capacità”. Killnet e la sua affiliata Legion sono unità di attivisti cibernetici filorussi schierati contro la Nato e contro i Paesi che hanno preso posizione rispetto all’invasione russa dell’Ucraina, come Polonia, Germania e Romania.
“La nostra Legion sta imparando ad annientare i vostri server. Dovete capire che questa è un’esercitazione”. “Vi do la mia parola d’onore che il nostro esercito cyber concluderà presto l’addestramento sul vostro territorio e passeremo alla fase offensiva. Avverrà all’improvviso e molto velocemente”.
Anche Legion, in un messaggio pubblicato alle 3.42 del 12 maggio, parla di “attacco dimostrativo” del distaccamento Mirai. Il nome Mirai, potrebbe significare che il gruppo adoperi la botnet creata dal malware Mirai ossia una rete di dispositivi zombie che può essere attivata per sferrare attacchi di denial of service su larga scala.
Una propaganda che riporta indietro nel tempo
In ogni caso, questa rivendicazione sembra molto minacciosa e apre un vaso di pandora sulle capacità di queste due organizzazioni attiviste contro realtà italiane ed europee. È una rivendicazione propagandista atta a instillare il dubbio e la paura che ci siano ulteriori attività in preparazione, magari con target più critici e con realizzazioni più significative, profonde e ben congegnate. È propaganda nel classico stile della guerra fredda. Ci riporta indietro nel tempo.
La prima considerazione che emerge, tuttavia, è che questa rivendicazione denuncia sé stessa e la capacità delle organizzazioni attaccanti. Un attacco significativo porta alla ribalta gli attori, soprattutto nelle classifiche di attenzione dell’attivismo che è altamente competitivo.
La propaganda e la disinformazione sono sempre alla base di attività di guerriglia, strutturata e non, e a maggior ragione nella guerriglia ibrida. Sono usate per fare ingerenza e per destabilizzare, come importante tattica strutturata di supporto al conflitto, anche rispetto alle alleanze geopolitiche e alle posizioni assunte da Paesi estranei al conflitto stesso, ma partecipi politicamente.
La risposta dell’Italia
Le svariate attività colpite sembrano quasi scelte in base alla possibilità di perpetrare l’attacco. Sembra un targeting di opportunità “su queste riesco ad agire quindi le colpisco”. Eppure, l’Italia non sottovaluta minimamente la vicenda e dispiega una unità h24 di un centinaio di esperti a supporto di Eurovision dove il televoto contava sulla operatività di un sito che un DDOS avrebbe potuto oscurare. E sventa il secondo attacco.
L’attacco del 12 maggio è stato gestito velocemente e con ottimi risultati. L’attacco di ieri anche!
Sull’attacco, riferisce l’Ansa, indagano i pubblici ministeri dell’Antiterrorismo di Roma, coordinati da Michele Prestipino. La procura sta quindi lavorando ed è aperta una indagine come attacco terroristico, connotazione che determina tutta una serie di provvedimenti che potranno essere assunti.
L’Agenzia cyber ha di nuovo ribadito qualche giorno fa che ci si deve aspettare anche attacchi più sofisticati. Ossia quelli che possono danneggiare davvero il paese, ransomware e wiper contro sanità, aziende, infrastrutture critiche, reti energetiche come tentato in Ucraina.
Minacce cyber all’Italia, allerta del Governo per possibili attacchi sofisticati
Gli scenari legati al conflitto russo-ucraino
Quindi non ci sediamo sugli allori e sappiamo perfettamente che l’attenzione della quale siamo stati fatti oggetto proseguirà. Restiamo pronti. Sempre pronti! Stiamo andando nel verso giusto, continuiamo così.
L’ACN, dal canto suo, ripete in tutti i consessi che lo scenario di cyber warfare che si sta manifestando nel conflitto russo-ucraino sarà più lungo e significativo del conflitto stesso, che aprirà nuove frontiere e ci farà scoprire nuovi metodi di attacco. Man mano che si abbandona lo scenario di guerra lampo e si entra in quella di logoramento, i profili di guerra ibrida acquistano peso e con loro le armi della cyber e della disinformazione.
Nel 2021 si è assistito infatti ad un notevole calo delle attività di matrice “hacktivista” ed a un aumento delle azioni di matrice statuale. Rispetto al 2020 la minaccia si è definitivamente spostata dall’attivismo (sceso dal 71% al 23%) allo spionaggio e alla criminalità (rispettivamente passati dal 5% al 23% e dal 4% al 14%). D’altra parte, nel 2021 eravamo in piena “guerra dei vaccini per il COVID-19” e le azioni di spionaggio industriale e statuale erano parte di questa guerra.
Oggi sono alla ribalta nuovamente gli attivisti, ritornati in auge con il conflitto russo ucraino in modo praticamente immediato. I gruppi attivisti sono non ufficialmente governativi. Possiamo supporre che siano supportati da Governi anche grazie alle loro esposizioni filo politiche. In ogni caso i loro attacchi non configurano conflitti ufficiali.
E torniamo alla storica, intrinseca, ormai, difficoltà di stabilire il confine, il perimetro della cyber warfare. La designazione di ciò che è o non è un attacco di cyber war fare e la reazione che si può attuare e soprattutto giustificare ad attacchi di questo tipo. Si riapre, in altre parole, il tema della postura ufficializzata NATO rispetto ai cyber team offensivi. Vedremo cosa porterà il conflitto Russo Ucraino da questo punto di vista.
Il ruolo dell’Agenzia nazionale per la cybersicurezza
L’ACN, nel frattempo, sta facendo un lavoro mirabile. Ha tante persone quante domani potrebbero essere quelle dell’apice della piramide del suo organico. Ad oggi gioca con ottanta unità quando ne dovrebbe avere dieci volte tanto.
E abbiamo con la ACN due grandi nuovi privilegi, uno legislativo, con la capacità di esprimere indirizzi, norme e linee guida per il nostro Stato in modo tempestivo, completo e tecnicamente ineccepibile anche nella formulazione giuridica, rispetto agli eventi del momento. Una capacità che soprattutto nella tempestività è totalmente nuova e può rivelarsi fondamentale.
E rispetto alla Federazione Russa arriva dall’ACN la circolare che invita gli enti pubblici a differenziare anche le attività in essere con Group Ib e Positive Technologies. Si avvia il processo per migrare verso altri fornitori.
Inoltre, l’ACN sta lanciando progetti anche europei su sistemi di Incident Response e sull’impiego di Intelligenza artificiale per mitigare gli effetti di attacchi. Tali sistemi potrebbero essere utili in situazioni come questa. Basta infatti anche uno scarto minimo previsionale e la rilevazione di attacchi incipienti o appena realizzati sul nostro sistema Paese può rendere immediatamente attivo un network di risposta che sia consolidato, formato, preparato, connesso e “sempre pronto”.
Conclusioni
Essere sempre pronti consente, al dilagare di un attacco, di mitigarne gli effetti. In questo senso, l’ACN ottempera alla mitigazione degli effetti geopolitici di un attacco ed individua anche meccanismi di compensazione e mitigazione su attacchi che colpiscono individui e aziende, andando a detrimento del nostro tessuto industriale e sociale. Infatti, diventerà autorità di cyber security e seguirà a livello europeo la negoziazione dei nuovi schemi proposti dall’UE per la certificazione e la valutazione della cyber security nei prodotti. Lavorerà, detto in altre parole, sulle garanzie che dovremo tutti imparare a chiedere e a controllare sia a livello personale che di azienda in ambito ICT, in modo da strutturare meccanismi certi e comparabili di controllo della sicurezza. La certificazione, infatti, è solo una garanzia di comparabilità, non è e non pretenderebbe mai di essere sicurezza al cento per cento, la quale non esiste, ma è una garanzia in termini di comparabilità.
