Alla long story dell’interferenza della Russia nei processi elettorali occidentali, si potrebbe aggiungere un altro tassello. Questa volta la vittima sarebbe l’Italia.
Ricercatori di un’azienda di cybersecurity italiana (CSE Cybersec) hanno scoperto che sulle reti italiane è circolato un malware in tutto simile a quello usato dai russi di Apt28 (aka Fancy Bear, o Pawn Storm), un gruppo paramilitare di hacker ritenuti collegati al GRU, il servizio segreto militare russo. Apt28 è stato a lungo ritenuto l’autore di tante operazioni molto importanti di hacking, tra le quali spicca l’hackeraggkio della primavera del 2016 ai danni delle mail del Comitato nazionale dei democratici, nella corsa verso le elezioni presidenziali americane – prima che il nuovo indictment del Procuratore speciale Robert Mueller accusasse direttamente dodici ufficiali del GRU di aver eseguito, gestito e diretto l’operazione.
L’operazione di spionaggio – che i ricercatori chiamano “Operation Roman Holiday” – dura da alcune settimane, e non è certo chi sia la vittima dell’hackeraggio, ma potrebbe trattarsi della Marina italiana. Lo spiega Pierluigi Paganini, capo tecnologo di CSE Cybsec, che tra l’altro è direttore del Master in cybersecurity alla ormai famosa Link Campus University, intervistato da Agi: «Se adottiamo le logiche degli attaccanti parrebbe un riferimento alla Marina militare italiana e ci invita a verificare l’ipotesi che quel codice malevolo sia stato sviluppato come parte di una serie di attacchi mirati contro la Marina o altre entità ad essa associate, come i suoi fornitori».
Scoperta la “backdoor”, la porta posteriore nelle reti, una serie di esempi del malware sono stati inviati da Cybersec a una piattaforma di cybersecurity aperta, Virus Total, attraverso un analista conosciuto online con il nome @drunkbinary. E da questo incrocio di verifiche è risultato confermato, spiegano i ricercatori, che esiste un pezzo di malware (il software maligno che di solito si impianta in un computer nemico, inducendolo a cliccare un link malevolo inviato alla vittima) in tutto analogo a quelli usati dagli hacker di Apt28.
Le somiglianze sono, dal punto d vista dell’evidenza informatica, molto rilevanti: il linguaggio in cui è scritto il codice del malware è uguale a quello di un malware usato dai russi (linguaggio Daphni). I luoghi remoti di command and control verso i quali vengono indirizzati i dati; anche alcune «librerie dinamiche” che il malware spinge surrettiziamente i computer attaccati a caricare. Non sarebbe il primo attacco russo contro l’infrastruttura italiana: di almeno un’altra circostanza è stato scritto già un anno e mezzo fa dal Guardian, che citò fonti governative, mai smentito da nessuno.