ATTACCO HACKER AL MINISTERO PER LA TRANSIZIONE ECOLOGICA - PER QUESTO DA TRE GIORNI TUTTI I SERVER SONO SPENTI E IL SITO WEB E' INATTIVO - IL MINISTRO CINGOLANI LO AVEVA ANNUNCIATO DURANTE UNA TRASMISSIONE RADIOFONICA: RILEVATE MINACCE AL PERIMETRO ESTERNO DEL MINISTERO - LA SEGNALAZIONE E' ARRIVATA DALLA SQUADRA DI PRONTO INTERVENTO DELLA PUBBLICA AMMINISTRAZIONE, CHE IL 23 MARZO...
Condividi questo articolo
Arturo Corinto per repubblica.it
Alla fine il ministero per la Transizione ecologica (Mite) ha dovuto ammetterlo: è stato un attacco informatico a motivare la scelta di spegnere tutti i server e oscurare il sito web del dicastero, ormai al terzo giorno di inattività.
Il problema era stato annunciato dallo stesso ministro Roberto Cingolani, durante una trasmissione radiofonica in cui aveva detto che erano state rilevate minacce al perimetro esterno del Mite. La formula usata per giustificare l’oscuramento della propria vetrina pubblica e il blocco dei suoi servizi aveva suggerito subito due spiegazioni: la scelta era il risultato di una eccessiva cautela del ministero o la consapevolezza mal dissimulata di avere un malware in pancia.
Quello che sappiamo intanto è che il 23 marzo scorso il Cert-Agid, un tempo la squadra di pronto intervento per tutta l’informatica della Pubblica amministrazione, ha comunicato l’esistenza di una campagna di malspam, cioè email malevole i cui mittenti usano come esca il logo del Mite, e finti indirizzi del suo ufficio relazioni con il pubblico, per prendere all’amo chiunque ci caschi e riversargli nel computer il malware Ursnif.
Siccome quasi tutti gli attacchi informatici iniziano settimane o mesi prima attraverso queste campagne di malspam, c’è stato chi ha ipotizzato che il pericolo rilevato dal Mite potesse essere legato proprio a questo trojan informatico.
Ursnif è un pericoloso malware di tipo as a service, cioè in vendita o affitto a chiunque lo paghi, che infetta velocemente le macchine bersaglio ed è molto gettonato dai cosiddetti Iab, gli Initial access broker, gli intermediari che rivendono le credenziali rubate a chi vuole eseguire un attacco informatico.
Altra ipotesi è che la decisione di spegnere tutto sia derivata dall’intercettazione sul perimetro ministeriale di Cobalt Strike, uno strumento per testare le difese informatiche diventato uno dei tool preferiti dai cyber criminali per sfruttare le vulnerabilità dei sistemi bersaglio con apposite tecniche d’attacco. Rilevare la sua presenza, il suo “agent”, sulla macchina della vittima (si chiama Beacon), significa che l’attaccante è già penetrato nella infrastruttura e che la Cyber Kill Chain, i passaggi necessari a colpire la vittima, è stata già avviata, visto che permette l’esecuzione di comandi, esfiltrazione e upload di file, acquisizione di privilegi amministrativi sui pc.
Costa solo 3.500 dollari ed è alla portata di qualsiasi criminale, ma è stato usato anche dagli hacker russi di Conti Group, schierati col Cremlino. Il Mite ha affermato tuttavia che per ora non ci sono evidenze di un eventuale furto di dati.
Se spegnere i computer è apparsa a molti esperti come una risposta improvvisata, in questo caso potrebbe essere stata la scelta più giusta da fare, consapevoli, come ha dichiarato il direttore dell’Agenzia nazionale per la cybersicurezza, Roberto Baldoni, della necessità di sanare, e presto, le vulnerabilità dei sistemi digitali della nostra pubblica amministrazione.
Condividi questo articolo
