ATAC, l’Azienda Tramvie e Autobus del Comune di Roma, ha comunicato di aver subito un attacco informatico che, dalle prime ore di questa mattina, ha messo fuori uso il sito Web e la biglietteria nelle sedi Atac. Nessun disservizio, invece, per le biglietterie self che hanno continuato a funzionare regolarmente.
L’azione è stata rivendicata dal gruppo di hacktivisti filorussi NoName057(16) con un messaggio pubblicato sui suoi gruppi social e sul canale Telegram.
E si può dire che, di tutta la schiera di attacchi condotti da NoName057(16) negli ultimi mesi, questo ad ATAC (qualora fosse confermata la veridicità della rivendicazione) è stato il primo a provocare reali disservizi ai cittadini italiani.
Lo stesso gruppo ha pubblicato anche un altro messaggio: “Il portale del Ministero delle Infrastrutture e dei Trasporti è già andato giù dopo il nostro attacco”, aggiungendo anche una sorta di minaccia e preavviso per il Direttore dell’Agenzia per la Cybersicurezza Nazionale (ACN): “Frattasi stiamo arrivando”, quasi ad anticipare altre attività di hacktivismo.
Fallisce il nuovo attacco dei filo-russi all’Italia: le difese respingono Noname
Indice degli argomenti
ATAC colpita da attacco informatico
La situazione emergenziale nell’azienda trasporti della Capitale si è protratta dalle prime ore di questa mattina ed è ora in via di risoluzione, con il sito Web che è tornato operativo.
“Sito internet e biglietterie off line per attacco cyber. Servizio di trasporto regolare Off line anche i servizi di biglietteria nelle sedi Atac. Attive invece le macchine emettitrici biglietti (MEB) nelle stazioni. Tecnici al lavoro per ripristinare i servizi”, si è potuto leggere nel comunicato dell’azienda, che ha confermato a Cybersecurity360.it che i disservizi stavano rientrando già nel pomeriggio di oggi 22 marzo.
È stato un attacco DDoS?
Dalle comunicazioni ufficialmente rilasciate dalla società non c’è evidenza della tipologia/natura di attacco che ha messo in ginocchio il sito Web e le biglietterie di ATAC per metà giornata di oggi. Inoltre già dalle prime ore di questa mattina (ore 9.02), il gruppo di attivisti NoName057(16), che sta acquisendo popolarità per le sue campagne cyber guidate dall’ideologia pro Russia, aveva rivendicato unicamente la concentrazione delle proprie risorse contro il Ministero per le Infrastrutture e i Trasporti (MIT).
Bersaglio, quest’ultimo, che invece non ha prodotto risultati di irraggiungibilità come prospettato dal gruppo NoName057(16).
Il comunicato stampa di ATAC tuttavia, a partire dalle ore 9.00 circa, è stato correttamente recepito da tutta la stampa nazionale e solo intorno alle ore 11.00 il gruppo di attivisti ha esposto la propria responsabilità su tale attacco, con apposita rivendicazione.
Ricordiamo che NoName057(16) è un gruppo di cyber-attivisti, quindi mosso da intenti di sommossa e manifestazione, non è dunque da escludere che, in questo caso, abbia colto la palla al balzo per attribuirsi una responsabilità a lui non imputabile. In questo caso, solo l’azienda, al termine delle indagini investigative, potrà chiarire con certezza cosa è successo ai propri sistemi informatici tanto da paralizzare sito Web e biglietterie fisiche.
Dal punto di vista tecnico, un attacco DDoS, come quelli erogati da questo gruppo criminale, può di fatto bloccare l’operatività di un sito Web per un intervallo di tempo limitato. E’ tuttavia più difficile e complicato che possa arrivare a bloccare l’applicativo interno all’azienda utilizzato per l’emissione dei biglietti nei propri uffici.
Gli attacchi DDoS sono ancora oggi una piaga?
La mattinata odierna è stata animata anche da ulteriori rivendicazioni che si sono rivelate decisamente infruttuose (per i criminali), contro l’Autorità Trasporti (MIT, Ministero delle infrastrutture e dei trasporti) e Aeroporto di Bologna. Tuttavia, se ciò che ha paralizzato ATAC è stato un attacco di tipo DDoS, ci sarebbe da chiedersi appunto quanto pericolosi possano essere ancora oggi questo genere di attacchi.
Dal punto di vista tecnico, si tratta di meccanismi ben noti e consolidati da oltre trent’anni. Inoltre, i gruppi come NoName057 (ricordiamo, per esempio, anche Killnet), sono attivi in maniera organizzata nelle loro campagne da oltre un’anno, in concomitanza con l’inizio dell’invasione russa dell’Ucraina.
Si parla, dunque, di intervalli temporali abbastanza ampi, nei quali il tempo per un’organizzazione difensiva delle infrastrutture pubblicamente accessibili non può considerarsi ristretto. Ricordiamo, inoltre, che attacchi di tipo DDoS della portata di quelli condotti da NoName057 sono mitigabili con l’installazione di una buona CDN (Content Delivery Network).
