E’ direttamente il Computer Securty Incident Response Team (CSIRT) italiano – sotto Agenzia per la cybersicurezza nazionale (ACN) del Governo – a diramare un nuovo bollettino di allerta in risposta proprio ai recenti attacchi che hanno preso di mira le infrastrutture tecnologiche di istituzioni italiane.
Attacco cyber dalla Russia all’Italia: down siti Senato, Difesa, perché è evento grave
L’allarme è guidata proprio dalla minaccia recente diramata in questi due giorni precedenti dai gruppi di attivismo filo-russi, che hanno spostato il loro target, per la prima volta, verso l’Italia diffondendo attacchi DDoS contro istituzioni italiane quali Ministero della Difesa, Istituto Superiore di Sanità, Senato e ACI. Parliamo del gruppo Legion, nuovo sottogruppo (costola alla quale si garantisce pieno supporto) del più noto KILLNET, in campo a difesa della Russia o meglio contro quei paesi che hanno scelto di sostenere l’Ucraina nell’attuale guerra geopolitica in corso.
Indice degli argomenti
La preoccupazione è che gli attacchi possano evolvere
Dopo gli inviti all’attacco diramati dal gruppo Legion poi rilanciati da KILLNET; dopo le assunzioni di responsabilità (sempre stando a quanto affermato dai gruppi stessi) per gli obiettivi italiani colpiti che, lo ricordiamo hanno subito per diverse ore un’ondata di attacchi DDoS, capaci di rendere il sito web preso di mira indisponibile; dopo le minacce pubbliche che il nostro paese ha ricevuto da questi gruppi pro Russia, il CSIRT Italia ha emanato una nuova analisi atto a mitigare futuri attacchi, presumibilmente più sofisticati.
Il documento espone in dettaglio 71 vulnerabilità note che “dovrebbero essere risolte con urgenza e in via prioritaria all’interno di un processo di gestione del rischio da parte degli operatori più esposti“. La paura è proprio per le infrastrutture critiche del paese che, qualora esposte da vulnerabilità presenti in questo elenco, possono essere considerate maggiormente a rischio nei confronti di attacchi cyber che, hanno dimostrato gli studi condotti, siano le più utilizzate dai gruppi malevoli riconducibili alla Federazione Russa.
Le vulnerabilità da risolvere con urgenza
Il CSIRT Italia raggruppa le vulnerabilità in cinque differenti tattiche maggiormente utilizzate, possiamo dunque identificare l’attacco alle credenziali di accesso, quello dell’esecuzione di codice dannoso, l’attacco per la compromissione iniziale di un’infrastruttura, la conquista non autorizzata dei privilegi (privilege excalation) e il movimento laterale (all’interno della rete una volta conquistato il primo accesso).
La gravità di queste 71 vulnerabilità è identificata in un range che varia da media a critica, il che ne amplifica sicuramente il segnale per la corsa ai ripari. Infatti con 18 riferimenti tutti i problemi di sicurezza evidenziati da queste vulnerabilità hanno la propria azione di mitigazione che, come spesso accade, non è ancora stata applicata. In uno scenario di allerta come quello attuale però, la gestione del rischio assume un ruolo primario e le buone pratiche di mitigazione (quando necessarie) diventano urgenti.
Oltre la correzione delle vulnerabilità prese in esame, che coinvolgono una ampia gamma di prodotti tra librerie software e applicativi stessi, Windows, FortiOS, iOS, Windows Server, Exchange Server, Log4j solo per citarne alcuni, l’analisi consiglia anche l’applicazione delle seguenti azioni di mitigazione:
- Scansione e monitoraggio delle vulnerabilità
- Programmare attività di Threat Intelligence
- Gestione degli account con alti privilegi
- Segmentazione della rete
- Autenticazione multi-fattore
- Corrette limitazioni nell’accesso alle risorse di rete
- Prevenzione delle esecuzioni non autorizzate
- Gestione della disattivazione o rimozione di programmi o funzionalità
- Corretto isolamento delle applicazioni e Sandboxing
- Protezione dagli Exploit
- Gestione degli aggiornamenti software
Gli attacchi di Legion e KILLNET
Come abbiamo visto dagli attacchi alle istituzioni italiane, i gruppi criminali ad estrazione filo russa, in uno scenario come quello attuale, risultano essere una vera e propria minaccia. Va comunque sottolineato che, fin dalla loro costituzione, i gruppi Legion e KILLNET si sono sempre dichiarati “specializzati in attacchi DDoS”.
Tra le loro rivendicazioni, precedenti a quelle rivolte all’Italia, possiamo evidenziare Lockheed Martin, azienda statunitense specializzate in settore difesa ed aerospazio, tra le più importanti del mondo.
E’ sempre parte delle operazioni del gruppo Legion, l’attacco alla struttura dietro all’Eurovision Song Contest che quest’anno si sta tenendo a Torino. Tra la notte del 10 e l’11 maggio infatti si lancia l’annuncio per l’invito all’attacco rivolto al collettivo, su diversi obiettivi dell’infrastruttura dell’evento.
