Il cyberspazio può dischiudere straordinarie possibilità di progresso oppure esporre a pericoli anche potenzialmente rovinosi per la tenuta del Sistema Paese: per questo, vista l’indubbia centralità dell’innovazione tecnologica e della transizione digitale, la minaccia cyber è ormai un peculiare paradigma contemporaneo.
È quanto emerge dalla Relazione sulla politica dell’informazione per la sicurezza presentata come ogni anno al Parlamento dalla nostra Intelligence, secondo cui la messa in sicurezza del Paese non può “prescindere né dalla necessaria visione d’insieme delle complesse implicazioni della trasformazione digitale, né da una correlata, chiara distinzione di ruoli e competenze”.
Anche per questo, l’Intelligence ha ritenuto nodale la radicale riorganizzazione dell’architettura nazionale cyber culminata con l’istituzione dell’Agenzia per la Cybersicurezza Nazionale (ACN).
La Relazione, infatti, sottolinea che la missione istituzionale dell’ACN è esattamente quella di potenziare la resilienza cibernetica del Paese, da un lato riducendone il grado di vulnerabilità, dall’altro incrementandone l’autonomia e l’indipendenza tecnologica, con la finalità di assicurare una maggiore competitività nello scenario internazionale. Al contempo, viene ribadito che le operazioni di cyber-intelligence, finalizzate alla tempestiva rilevazione e alla sistematica azione di monitoraggio, prevenzione e contrasto delle minacce cibernetiche, rimangono di esclusiva e peculiare competenza del Comparto informativo.
Indice degli argomenti
Minaccia cyber: il Ransomware as a Service
La Relazione sottolinea, quindi, come anche nel 2021 le attività dell’Intelligence si sono concentrate in maniera considerevole nel dominio cyber al fine di garantire la tutela delle infrastrutture nazionali più coinvolte nel contesto della pandemia.
In particolare, è stata rilevata una sensibile crescita di azioni cyber di matrice criminale basate sul modello di attacco di tipo Ransomware as a Service (RaaS) caratterizzato dall’interazione tra gli sviluppatori dell’arma digitale e parti terze che, dopo aver condotto attacchi nei confronti dei target di interesse, cedono ai primi una parte degli introiti illeciti eventualmente ottenuti.
In merito a questi attacchi, l’Intelligence ha confermato il ricorso sempre più frequente alla tecnica della doppia estorsione: se in precedenza l’attacco ransomware era unicamente riconducibile alla crittografia dei dati e dunque alla conseguente indisponibilità degli stessi a tempo indeterminato, nel corso dell’ultimo anno è emersa la dinamica concernente la divulgazione dei dati stessi anche nel Dark Web.
Questa doppia minaccia, identificata anche come “E+E technique – Exfiltration & Encryption”, consente ai criminal hacker di massimizzare la possibilità di ottenere il riscatto facendo leva anche sul danno derivante dalla possibile divulgazione di dati e informazioni riservate. “In tal modo, gli attaccanti massimizzano le possibilità di ottenere il pagamento del riscatto facendo leva sul danno di immagine derivante dalla pubblicazione delle informazioni rinvenute nei sistemi informatici della vittima”, dice a Cybersecurity360.it l’avvocato Lucrezia Falciai, membro del Comitato Atlantico Italiano.
I principali obiettivi della minaccia cyber
Più in generale, dall’analisi dei risultati riportati dall’Intelligence nella Relazione annuale al Parlamento si evince che, anche nel corso del 2021, il 69% degli attacchi cyber (in diminuzione di 14 punti percentuali rispetto al 2020) hanno continuato a interessare prevalentemente le infrastrutture informatiche della Pubblica Amministrazione
In particolare, le attività criminali hanno riguardato prevalentemente le Amministrazioni Centrali dello Stato (56%, valore in aumento di oltre 18 punti percentuali rispetto al 2020) e infrastrutture IT riferibili a enti locali e strutture sanitarie (per un complessivo 30% sul totale).
Per quanto riguarda, invece, gli attacchi nei confronti dei soggetti privati, è stato rilevato un interesse prevalentemente per i settori energetico (24%, in sensibile incremento rispetto allo scorso anno), dei trasporti (18%, in aumento di 16 punti percentuali) e delle telecomunicazioni (12%, in crescita di 10 punti percentuali rispetto al 2020).
La classificazione degli attacchi
Passando alla classificazione degli attacchi per tipologie di attori ostili, la Relazione dell’Intelligence ha attestato un sensibile calo delle attività di matrice hacktivista rispetto al 2020 (23% del totale) a cui, invece, ha fatto da contraltare una sensibile crescita (+18%) delle azioni di matrice statuale che si sono attestate al 23% del totale.
In particolare, continua l’avvocato Falciai, “la Relazione pone in evidenza la crescita degli attacchi riconducibili ad attori statuali, che sfruttano i ransomware per lo più per occultare le tracce di spionaggio e per bloccare le attività produttive. Proprio quest’ultima fattispecie deve destare le maggiori preoccupazioni, soprattutto quando l’obiettivo sono infrastrutture critiche nazionali. In queste ipotesi, gli attacchi informatici possono avere rilevanti ripercussioni anche sulla sicurezza nazionale, in quanto potrebbero minare la continuità servizi essenziali come, ad esempio, l’erogazione dell’energia elettrica o i servizi bancari”.
Ciò che colpisce particolarmente nelle attività degli attori delle minacce è la tendenza ormai consolidata a sfruttare le vulnerabilità presenti nei principali sistemi di connessione remota ampiamente utilizzati nel corso dell’emergenza sanitaria per finalità di telelavoro, con l’obiettivo di accedere alle risorse informatiche di aziende e organizzazioni.
Da segnalare anche il costante aumento (40%) delle azioni di matrice non identificabili ascrivibili al ricorso a strumenti offensivi liberamente reperibili o distribuiti sul Dark Web o su altri mercati digitali paralleli.
“Oltre a quanto sopra” sottolinea ancora l’avvocato Lucrezia Falciai, “un esempio della rilevanza degli attacchi informatici emerge guardando alla situazione contingente del conflitto tra Russia e Ucraina. Nello specifico, sono stati utilizzati come strumento a supporto delle operazioni cinetiche tradizionali, fungendo, inter alia, da strumento di pressione psicologica sulla popolazione attraverso la creazione di disservizi sui settori considerati più critici, come, ad esempio, quello bancario”.
Ma soprattutto, è questa l’importante lezione indicata dall’avvocato Falciai, “la Relazione evidenzia come non basti guardare solo alla propria sicurezza informatica: è altrettanto importante analizzare anche quella dei propri fornitori, che spesso rappresentano l’anello debole della catena. Infatti, è stato rilevato un incremento delle azioni dirette ai fornitori di servizi ICT, volte a consentire l’accesso alle risorse delle aziende clienti, grazie al rapporto di fiducia tra le parti”.
Massima attenzione agli attacchi di typosquatting
Interessante, poi, il sempre maggiore interesse (37%, in aumento di oltre 35 punti percentuali rispetto al 2020) dimostrato dagli attori delle minacce verso la registrazione di domini simili (e quindi facilmente confondibili) con quelli di siti istituzionali o governativi. In questo caso, l’obiettivo malevolo è stato quello di dirottare gli ignari utenti, attraverso la tecnica del typosquatting, su siti clone di quelli ufficiali contenenti strumenti malevoli di ogni genere.
Infine, da segnalare il ricorso ad attività di ricerca delle vulnerabilità tecniche esposte dai target selezionati (cd. Bug Hunting, al 20%), propedeutica a tentativi di violazione delle loro reti informatiche, sovente attraverso attacchi di tipo SQL Injection (23%).
