Sotto accusa il gruppo Killnet, di dichiarata ispirazione putiniana, che ha fatto sentire la propria attività nelle tante nazioni schieratesi a sostegno dell’Ucraina. Alle aggressioni «impeditive», lanciate con il metodo che satura e di fatto paralizza i server impedendo che continuino a erogare servizi, si sono aggiunte quelle «intrusive», che mirano a rubare dati.
C’è stato un salto di qualità negli attacchi hacker sferrati di recente contro alcuni siti istituzionali italiani. È successo durante le ultime azioni messe in atto nelle scorse settimane: insieme al blocco delle reti internet a cui sono collegati i ministeri della Difesa, degli Esteri, dei Beni culturali e dell’Istruzione, il Consiglio superiore della magistratura e numerose altre strutture comprese alcuni aeroporti, sono scattate un paio di attività che — sospettano gli inquirenti — avevano l’obiettivo di esfiltrare informazioni sensibili.
In particolare il tentativo è stato fatto con i terminali del ministero dell’Interno e della Polizia di Stato; nel secondo caso gli investigatori hanno già accertato e riferito che il sistema ha retto e dunque non c’è stata sottrazione di dati, mentre sul Viminale le verifiche sono ancora in corso, per capire se qualcosa (e che cosa) è stato saccheggiato.
La Procura di Roma ha affidato l’indagine al Dipartimento antiterrorismo, proprio perché si teme che l’attacco potesse avere finalità politiche; soprattutto dopo che la Russia ha dichiarato l’Italia «Paese ostile». Alcuni attacchi sono stati rivendicati dal gruppo Killnet, di dichiarata ispirazione putiniana, che ha distribuito la propria attività in diverse nazioni dell’alleanza schieratasi a sostegno dell’Ucraina, dalla Germania alla Polonia.
Il 29 maggio quella stessa sigla del collettivo pirata è tornata a minacciare l’Italia con un messaggio Telegram che annunciava un «colpo irreparabile» per il «30 maggio – 05:00 il punto d’incontro è l’Italia!». Le ultime aggressioni firmate da Killnet erano di tipo ddos (acronimo distributed denial of service, cioè diniego diffuso di un servizio), un metodo capace di generare un volume di traffico talmente elevato da sovraccaricare e rendere inservibile il sistema preso di mira, ed erano state considerate un avvertimento all’Italia.
Nell’ultima occasione però questo sistema, oltre a bloccare i siti dei ministeri e degli altri apparati presi di mira, sarebbe servito a sviare l’attenzione dagli attacchi di tipo malware (cioè software «malevoli»), in grado di infiltrarsi in una rete di servizi per spiarne il funzionamento o trafugarne i contenuti.
Le caratteristiche degli assalti subiti hanno consentito agli investigatori informatici di individuare le differenze e procedere alle verifiche. In parte rassicuranti, ma non ancora concluse per ciò che riguarda i computer del Viminale. Dall’inizio dell’invasione dell’Ucraina si parla di «guerra ibrida», non più confinata al teatro dei combattimenti ma estesa al cyberspazio, e il protrarsi della crisi porta inevitabilmente al rischio che le ostilità coinvolgano le infrastrutture che vivono ed assicurano servizi attraverso attività digitali.
L’aggressione subita in passato dal sistema delle ferrovie non è stata ancora decifrata in tutti i suoi effetti, e il doppio tipo di attacco degli ultimi giorni — ddos e malware — sarebbe un ulteriore passo nella direzione più temuta. Dove entrano in azione non solo i pirati filorussi ma anche quelli di Anonymous che si contrappongono a Killnet, sfidati dal messaggio di ieri.
«Oggi vanno di moda i russi — ha spiegato la scorsa settimana il sottosegretario con delega alla sicurezza Franco Gabrielli, sempre molto attento alla frontiera della cyber-sicurezza — ma polarizzare la minaccia è sbagliato, il mondo è molto più diversificato e insidioso. La necessità di dotarsi di strutture difensive prescinde dalle minacce contingenti. Il tema non è l’attacco ma le conseguenze dell’attacco, con strutture in grado di reggerlo e altre no. È lì che conta la resilienza, la capacità di gestire le crisi e i loro possibili effetti».
Lorenzo Palma, 1 giugno 2022
