07
Apr
Al pari di quanto avvenuto in altri ambiti all’attenzione dell’Intelligence, anche il dominio cibernetico è stato significativamente condizionato dalla congiuntu- ra pandemica, chiamando il Comparto ad orientare una parte rilevante degli sforzi verso il contenimento di progettualità che hanno tentato di sfruttare l’emergenza epidemiologica per condurre azioni ostili in danno di varie tipologie di target, a partire da quelli del settore sanitario.
La pandemia è stata un evento determinante anche in termini di impatto sulla società, sulle tecnologie in uso alla popolazione, sulla digitalizzazione di attività e servizi nonché sul conseguente ampliarsi della superficie di rischio cibernetico per l’individuo e per l’intero Sistema Paese. Hanno quindi acquisito maggiore attualità e concretezza le minacce alla sicurezza e al funzionamento delle reti e degli im- pianti, nonché alla continuità degli approvvigionamenti.
Nel complesso si è evidenziato come gli attori ostili abbiano sfruttato, nel pe- riodo pandemico, il massiccio ricorso al lavoro agile e la conseguente accessibilità da internet, tramite collegamenti VPN (Virtual Private Network), di risorse digitali di Ministeri, aziende di profilo strategico e infrastrutture critiche, divenuti ancor più bersaglio di campagne ostili di matrice statuale, criminale o hacktivista.
Il Comparto, al fine di prevenire, mitigare e contrastare le diverse espressio- ni della minaccia cibernetica, ha garantito un’assidua produzione informativa su attori (statuali, strutturati, non statuali ma con sponsorizzazione statuale, crimina- li), vettori tecnologici, Indicatori di Compromissione (IoC), Tattiche, Tecniche e Procedure (TTP), target (istituzionali, infrastrutturali, critici e strategici), finalità (pianificate o in itinere) e azioni digitali offensive.
Il settore sanitario
L’impegno informativo ha mirato in via prioritaria a tutelare strutture ospe- daliere e centri di ricerca nazionali, nonché le principali realtà attive nello svilup- po e nella sperimentazione di vaccini e terapie contro il Covid-19.
In questo contesto, è emerso come attori statuali abbiano tentato di sfruttare le debolezze connesse all’ondata pandemica per porre in atto attacchi sofisticati miranti ad esfiltrare informazioni sensibili su terapie e stato della ricerca.
L’azione intelligence ha consentito inoltre di rilevare, sul fronte hacktivista, la ricerca di vulnerabilità e tentativi di violazione di portali web e, sul versante del cybercrime, lo sfruttamento di vulnerabilità note, attività di phishing, nonché la registrazione di domini malevoli allo scopo di ingannare gli utenti – anche attra- verso la creazione di portali fittizi – nel contesto delle procedure di erogazione dei contributi economici previsti dai provvedimenti introdotti con la crisi pandemica.
Le intrusioni hanno riguardato in particolare:
• enti/operatori afferenti al settore della sanità e della ricerca, in direzione dei quali sono state effettuate compromissioni informatiche attraverso l’acquisizione di credenziali amministrative ovvero l’inoculazione di malware;
• Dicasteri ed altre Amministrazioni dello Stato, nei cui confronti si è registrata una intensa campagna di diffusione di malware.
A rafforzamento del dispositivo di protezione, il Comparto ha posto in esse- re iniziative di monitoraggio preventivo a tutela di infrastrutture critiche e assetti strategici, al fine di individuare vulnerabilità informatiche riferibili a risorse web in uso a primarie realtà operanti nel settore e ad apparati diagnostici esposti in rete, instaurando all’occorrenza relazioni dirette con i potenziali target in un’ottica di mitigazione del rischio.
Trend generale della minaccia
Per quel che attiene, più in generale, alle attività ostili perpetrate, attraverso il dominio cibernetico, in danno degli assetti informatici rilevanti per la sicurezza nazionale, il complesso dei dati raccolti dall’Intelligence – di cui si riportano di seguito le più significative elaborazioni statistiche – ha fatto emergere un generale incremento delle aggressioni (+20%), che, quanto alla tipologia di target (vds. ta- vola n. 19), hanno riguardato per lo più, a conferma di una tendenza già rilevata negli ultimi anni, sistemi IT di soggetti pubblici (83%, in aumento di 10 punti per- centuali rispetto al 2019). Tra questi ultimi, quelli maggiormente interessati dagli eventi risultano le Amministrazioni locali (48%, valore in aumento di oltre 30 punti percentuali rispetto all’anno precedente), unitamente ai Ministeri titolari di funzioni critiche (+ 2% nel confronto anno su anno).
Le azioni digitali ostili perpetrate nei confronti dei soggetti privati hanno interessato prevalentemente il settore bancario (11%, in aumento di 4 punti per- centuali rispetto al 2019), quello farmaceutico/sanitario.
Attacchi per tipologia di target
Quanto alla tipologia di attori ostili (vds. tavola n. 20), occorre richiamare la complessità del processo di attribuzione delle loro azioni offensive, che spesso non risulta praticabile in virtù delle caratteristiche stesse del dominio cibernetico, nonché del sofisticato livello tecnologico raggiunto da alcune campagne ciberneti- che, specialmente di matrice statuale. Di contro, si rileva come attacchi di stampo hacktivista abbiano una attribuzione ben specifica collegata alla rivendicazione e alla “pubblicità” posta in essere dagli attaccanti stessi, interessati ad ottenere risalto mediatico. Il complesso degli attacchi cibernetici rilevati nel 2020 ha confermato, in linea con quanto emerso nell’ultimo biennio, l’hacktivismo come matrice più ricorrente (71%), sebbene non si siano registrati, rispetto al 2019, significativi sco- stamenti nel numero di azioni condotte dal collettivo Anonymous Italia, sotto la cui egida operano, con sempre crescente autonomia, singole crew (AnonPlus ITA, AntiSec ITA e Lulzsec ITA).
Tale autonomia operativa ha trovato significativi riflessi anche nelle rivendicazioni degli attacchi, effettuate principalmente su blog e profili Twitter riconducibili alle singole cellule, rilanciate successivamente attraverso i canali digitali “ufficiali” di Anonymous Italia.
Attacchi per tipologia di attori
All’hacktivismo sono state ascritte anche le incursioni digitali nei confronti di operatori privati impegnati, a vario ti- tolo, nel processo di estrazione e raffina- zione degli idrocarburi, poste in essere nell’ambito della mobilitazione “OpLuca- nia”, nonché quelle in danno di numerose concerie campane, prese di mira nel con- testo dell’iniziativa “OpSarno”, in quanto ritenute responsabili dell’inquinamento dell’omonimo fiume.
È stata registrata una significativa con- trazione (-7%) nel numero delle proiezioni digitali di matrice statuale, a fronte, peral- tro, di un nuovo, consistente incremento di episodi dalla matrice non identificabile (+ 6% rispetto al 2019), verosimilmente in ragione dell’accuratezza dimostrata, in più occasioni, dagli attori dotati di maggiori ca- pacità, nella rimozione delle tracce digitali al fine di occultare il proprio operato.
I dati sulle tipologie di attacco rile- vate nel corso del 2020 (vds. tavola n. 21) hanno confermato il preponderante ri- corso a tecniche di SQL Injection per vio- lare le infrastrutture informatiche delle vittime (60% del totale), dopo una prima fase di osservazione delle vulnerabilità
tecniche del target grazie ad attività di scansione di reti e sistemi (cd. Bug Hun- ting, 25%). Si è fatto ricorso anche a campagne di spear-phishing (0,3%), quale utile strumento per veicolare impianti malevoli, tra cui web-shell e Remote Access Trojan-RAT, impiegati per acquisire il controllo remoto delle risorse compromes- se. Inoltre, attacchi Ransomware hanno coinvolto soggetti di rilievo nazionale, sia del settore sanitario che dell’industria del Made in Italy, sfruttando per l’infezione nuove modalità di collegamento attivate per lo smartworking.
In termini di esiti, il 2020, in linea di continuità con l’anno precedente, ha fatto registrare la preminenza di azioni prodromiche a potenziali attacchi (circa il 53% del totale, stabile rispetto al 2019), seguite da quelle tese alla sottrazione di informazioni da assetti effettivamente compromessi (38%, in crescita di 4 punti percentuali).
Parte #3 della Relazione annuale sulla politica dell’informazione per la sicurezza
Trackbacks and pingbacks
No trackback or pingback available for this article.
Per qualsiasi domanda, compila il form
[contact_form name="contact-form"]
Leave a reply