Italia, Europa e Stati Uniti sotto attacco hacker. Dito puntato sui server-proxy russi

Sono quasi le nove di sera quando palazzo Chigi decide che non può più tacere. Sono migliaia i siti e quindi aziende e privati sotto attacco hacker. E’ una situazione destinata a peggiorare perché il malware, il virus, si moltiplica in modo esponenziale e solo stamani, con la riapertura di uffici e aziende, si avrà un’idea dei danni che sono stati fatti. “Il Governo - si legge nel comunicato diffuso alle 21 - segue con attenzione, aggiornato dall'Agenzia per la Cybersicurezza Nazionale, ACN, gli sviluppi dell'attacco culminato oggi tramite un ransomware già in circolazione nei server VMware ESXi”. Stamani il sottosegretario con delega ai Servizi segreti e quindi anche all’Acn Alfredo Mantovani incontrerà Roberto Baldoni (direttore ACN) e Elisabetta Belloni (direttrice del Dis) “per tentare un primo bilancio dei danni provocati dagli attacchi”. Si ricorda come la premier Giorgia Meloni abbia tenuto “nelle settimane passate” un’informativa “per contrastare la vulnerabilità dei sistemi informatici” e per promuovere “uno stretto raccordo tra le strutture istituzionali e ACN”. In poche parole, il rischio di un attacco hacker in larga scala era nell’aria e almeno a livello istituzionale si è cercato di alzare tutte le protezioni possibili. Vedranno, appunto, oggi con quale risultato. Gli indizi non promettono nulla di buono. E già ieri, pur nella consapevolezza che è quasi impossibile risalire agli attentatori quando si tratta di azioni così massicce e su larga scala, gli indizi andavano tutti verso i proxy, i server  di orbita russa.

Un virus già noto

Quando palazzo Chigi decide di parlare, l’Italia e mezza Europa per non dire intera, sono già sotto attacco dalla mattina. Addirittura dal sabato. Il virus corre veloce:  prende di mira i server VMware ESXi grazie ad una vulnerabilità già individuata e risolta nel febbraio 2021 da Vmware. Poiché però - spiegano gli esperti - “non tutti hanno applicato la correzione indicata dall’azienda sottovalutando i rischi,  alla fine sono rimasti con il buco nel sistema e adesso gli hacker hanno avuto gioco facile ad inserirsi lì dentro”. I server presi di mira, se privi delle correzioni adeguate “possono aprire le porte agli hacker impegnati a sfruttarla in queste ore dopo la forte crescita di attacchi registrata nel weekend”.

Il primo paese ad essere colpito è stata la Francia, centinaia i server bloccati. “O forse il primo ad averlo realizzato con certezza visto che sono più attrezzati di noi, culturalmente e tecnicamente rispetto alla minaccia cyber” spiega una fonte tecnica addetta alla sicurezza nazionale. In Italia, a ieri sera, erano già  “diverse decine di sistemi nazionali compromessi”. Sono migliaia i server compromessi in tutto il mondo. E' un attacco massiccio quello scatenato dagli hacker in tutto il mondo, Italia compresa, la cui portata e, soprattutto, le cui conseguenze sono ancora tutte da chiarire.

Allertate decine di aziende

Nella mattinata di domenica la rete Tim è andata in down ma, come vedremo, il crollo della connessione internet non dovrebbe essere collegato all’attacco hacker. Di sicuro ha amplificato ancora di più l’allarme. Che è stato ufficializzato dall’Agenzia nazionale per la cybersicurezza (ACN) ieri pomeriggio intorno alle 17 quando il numero dei sistemi bucati era già altissimo. In Europa, Nord America e Usa. Secondo il Computer security incident response team Italia - l'organismo della Acn cui spetta il monitoraggio degli incidenti e l'intervento in caso di attacchi - ha scoperto che gli hacker sono entrati in azione attraverso un “ransomware già in circolazione” che ha  “compromesso” decine di sistemi. Gli esperti dell'Agenzia guidata da Roberto Baldoni sono riusciti ad allertare diversi soggetti - istituzioni, aziende pubbliche e private - i cui sistemi risultano esposti e dunque vulnerabili agli attacchi ma ieri sera “restavano ancora alcuni sistemi esposti, non compromessi, dei quali non è stato possibile risalire al soggetto proprietario”. Significa, in sostanza, che decine di aziende non sanno di essere sotto attacco ma dovrebbero invece “immediatamente” aggiornare i loro sistemi per alzare le difese e chiudere le porte dei rispettivi sistemi informatici alle incursioni. Difesa che “esistono - ripete la fonte tecnica contattata da Tiscali.it - se solo ci fosse più cultura e sensibilità rispetto alla minaccia. Bisogna spiegare alla gente che da una parte sono fenomeni con cui convivere. Dall’altra che si devono attrezzare le compagnie, lo Stato i singoli. Invece in questo Paese c’è un’ arretratezza sistemica e culturale difficile da colmare”.

I proxy russi

In attesa di capire stamani i confini dell’attacco, ieri sera era già chiaro che si tratta comunque “qualcosa di molto serio e organizzato”. Se è difficile risalire con esattezza ai colpevoli, non c’è dubbio che i primi sospetti vadano sui gruppi russi e più o meno direttamente legati al Cremlino. “Il mondo - spiega la fonte - è popolato da bande di hacker che lucrano miliardi di dollari (ogni server attaccato dal virus risulta bloccato, tutti i dati inutilizzabili e per riavere le chiavi di decifrazione del sistema,  singoli e società pagano i riscatti, ndr)  e in questo filone si inseriscono gli Stati canaglia. Quello che possiamo dire con certezza è che in questo momento russi, cinesi, iraniani e nord coreani ci vanno a nozze”. Anche loro vengono attaccati. La differenza è che non lo fanno mai sapere. In generale si può dire che “il Cremlino pianifica l’azione dei suoi proxy. Poi l’attività di questi si inserisce in contesti diversi. È come i fiumi che vanno al mare, non si può più distinguere poi di che acqua si tratta”.  I proxy sono server che intercettano e gestiscono il traffico tra due dispositivi, reti o protocolli. I proxy sono gateway - porte o uscite -  che operano come intermediario tra il computer e i siti web o i servizi Internet utilizzati dall'utente. Hanno usi e finalità positive, possono essere impiegati come firewall, filtri, cache o per facilitare le connessioni di rete condivise. Essendo così inside nei sistemi, i proxy possono anche diventare i nemici più acerrimi.

La norma su hackback

Ci sono stati attacchi alla nostra rete con proxy russi anche tra settembre e ottobre 2022. Non così massiccio, per fortuna. Con lungimiranza il governo Draghi dette subito attuazione, fin dal suo insediamento, alla definizione e completamento dell’ACN, un’altra eterna incompiuta. Con l’allora sottosegretario alla Presidenza con delega all’intelligence, tutto è stato approvato e regolamentato nei primi mesi del governo Draghi. Che ha continuato a aggiornare l’agenzia, al pari delle sorelle europee, con continui inserimenti. L’ultimo è stato l’articolo 37 del Decreto Aiuti bis che regola l’hackback, cioè il controhackeraggio da parte della nostra intelligente. Uno strumento fondamentale per risalire all’origine dell’attacco ed attaccarlo a sua volta. Mandando in tilt i suoi server.

La strana coincidenza Tim

Diversa sembra esser stata la vicenda Tim. L'azienda e la polizia postale hanno escluso che il problema fosse dovuto ad un attacco dei pirati informatici. Sulla rete di Tim era stato rilevato un problema di interconnessione al flusso dati su rete internazionale, che - ha spiegato l'azienda - ha generato un impatto anche in Italia. Il problema è stato risolto intorno alle 17 di domenica (proprio mentre veniva ufficializzato l’attacco hacker). Questo non ha evitato la furia degli utenti che hanno fatto volare l'hashtag #timdown, diventato trend topic, segnalando i disservizi a internet e telefoni. E’ circolata l'ipotesi che si sia verificato un problema sui router di Sparkle, la società di Tim che gestisce tra l'altro i cavi in fibra ottica, che potrebbe essere collegata all'attacco. Sul punto al momento sarebbero ancora in corso una serie di analisi approfondite. Sembra invece risolto l’attacco hacker subito da Acea, la multiutility energetica della Capitale, il 2 febbraio. Individuato l’hacker, il gruppo Black Basta, resta da capire se è stato pagato il corposo riscatto. Oppure no.