Su Telegram nelle ultime ore il gruppo di hacker filorussi Killnet concentra la sua attenzione su Csirt Italia, il team di risposta dell’Agenzia per la cybersicurezza nazionale, facendogli i complimenti: “Al momento, vediamo che sono dei bravi professionisti”
Dopo le minacce, gli elogi. In una serie di messaggi postati sulle chat di Telegram nelle ultime ore, il gruppo di hacker filorussi Killnet concentra la sua attenzione su Csirt Italia, il team di risposta dell’Agenzia per la cybersicurezza nazionale, che domenica scorsa aveva diramato un alert rivolto ad amministrazioni pubbliche ed aziende invitando ad alzare i livelli di protezione informatica in seguito alla minaccia di un “colpo irreparabile” all’Italia rivolta ieri dal collettivo filorusso.
Il primo messaggio è una ‘gif’ che rappresenta un omino impiccato con sullo sfondo il logo del Csirt Italia. Ne sono seguiti altri, col solito tono ironico: “CSIRT Italiano, sono eccellenti gli specialisti che lavorano in questa organizzazione. Ho effettuato migliaia di attacchi a tali organizzazioni, anche cyberpol non dispone di un tale sistema per filtrare milioni di richieste. Al momento vedo che questi ragazzi sono dei bravi professionisti! Falso governo italiano, ti consiglio di aumentare lo stipendio di diverse migliaia di dollari a questa squadra. CSIRT Accettate i miei rispetti, signori!”. Ed ancora: “Ho solo elogiato il sito csirt.gov.it e il loro team. Le restanti migliaia di siti italiani che non funzionano, è un peccato. Non pubblicheremo questo elenco perché le persone devono vedere tutto da sole. Spero che il sistema di monitoraggio italiano lo faccia per noi”.
Nessun “un colpo irreparabile all’Italia”
Nella giornata di ieri, poi non si sono registrati blocchi di siti come era avvenuto nelle settimane precedenti e come annunciato da Killnet.
Falsi allarmi, rallentamenti, ma nessuna segnalazione di attacchi cibernetici seri dopo l’annuncio del collettivo filorusso Killnet che aveva minacciato per oggi “un colpo irreparabile” all’Italia. Alla Polizia postale ed all’Agenzia per la cybersicurezza nazionale non tirano però sospiri di sollievo: l’attenzione continua ad essere al massimo livello, nella consapevolezza che i danni più gravi li fanno gli attacchi non annunciati. E la guerra in Ucraina, con il conseguente attivismo ‘ibrido’ di Mosca, impone di non abbassare la guardia
In mattinata era scattato l’allarme per un blocco dei servizi informatici agli uffici postali. L’azienda ha però parlato di un “disguido tecnico” dovuto ad un “aggiornamento del sistema” e non ad un attacco informatico. I problemi si sono poi risolti intorno alle 12.30. L’aggiornamento dei sistemi di Poste e di altre amministrazioni ed aziende non è casuale, ma è un effetto dell’innalzamento dei meccanismi di protezione avviato dai soggetti pubblici e privati che gestiscono dati strategici per lo Stato.
Gli alert del Csirt Italia
L’Agenzia cyber – attraverso il Csirt Italia, il Team di risposta in caso di incidente – aveva inviato un nuovo alert che invitava ad implementare le azioni per mitigare le vulnerabilità sfruttate in precedenza da Killnet ed altri hacker simili. In pratica sono stati rafforzati i filtri per evitare che i molteplici tentativi accessi indesiderati alle reti utilizzati negli attacchi di tipo Ddos (Distributed denial of service) mandino in tilt i sistemi, come è avvenuto nelle settimane scorse per i siti di Senato, Polizia, Csm e ministero della Difesa, tra gli altri. Ciò può comportare, appunto, dei rallentamenti. Anche il sito del Quirinale è andato in down per alcuni minuti nel pomeriggio per un problema tecnico.
Non preoccupano i Ddos, ma i ransomware
Non sono tanto i Ddos a preoccupare però Polizia postale ed Agenzia, quanto gli attacchi che puntano ad esfiltrare dati dal sistema target. È il caso dei ransomware con la conseguente richiesta di riscatto. Le azioni di Killnet, secondo le valutazioni degli apparati di sicurezza, mirano più al risultato dimostrativo, propagandistico. Sui suoi canali Telegram il collettivo oggi si è limitato a rilanciare il tweet di un account italiano probabilmente fasullo che invita Killnet a “scoprire cosa si nasconde dietro ai ‘segreti militari’ relativi ai vaccini e che vengono nascosti per ‘tutelare l’ordine pubblico’”. Ci sono però altri attori che potrebbero lanciare campagne offensive di livello più elevato. E’ già accaduto in passato che siano stati colpiti ministeri ed aziende sanitarie. E l’Agenzia ha rilevato in questi giorni “segnali e minacce di possibili attacchi imminenti ai danni, in particolare, di soggetti nazionali pubblici, soggetti privati che erogano un servizio di pubblica utilità o soggetti privati la cui immagine si identifica con il paese Italia”.
Sul fronte investigativo la procura di Roma ha aperto un fascicolo d’indagine sugli attacchi che hanno colpito le istituzioni: in alcuni casi è ancora da decifrare compiutamente se ci siano state esfiltrazioni.
Lo Csirt Italia ha respinto lungo attacco hacker
Nelle scorse ore un lungo attacco informatico di oltre 10 ore ha interessato il portale istituzionale dello Csirt Italia, il team di risposta dell’Agenzia per la cybersicurezza nazionale. L’azione, annunciata ed in seguito rivendicata dal collettivo filorusso Killnet, è stata respinta, secondo quanto fa sapere lo stesso Csirt.
Come quelli precedenti che hanno colpito nelle settimane scorse siti istituzionale, l’attacco del 30 maggio è stato di tipo Ddos (Distributed denial of service): in pratica si invia un’enorme quantità di richieste al sito web bersaglio, che non è in grado di gestirle e quindi di funzionare correttamente.
L’offensiva, svoltasi in tre ondate, è stata mitigata “dai sistemi Anti-DDoS a protezione del portale, senza intaccare la disponibilità del sito web per gli utenti leciti”, informa lo stesso Team, che raccomanda l’adozione delle misure di protezione indicate nei precedenti alert.