Diminuiscono le attività ostili condotte da gruppi hacktivisti, ma aumenta l’incisività delle azioni di matrice spionistica condotte da gruppi statuali o sponsorizzati da Stati (state-sponsored): è la fotografia scattata dall’intelligence nel dominio cibernetico italiano.

Nella relazione annuale al Parlamento del Sistema di Informazione per la Sicurezza della Repubblica, pubblicata ieri, vengono illustrate le principali attività dei servizi di intelligence italiani per la tutela della sicurezza nazionale, identificando quelle che sono le principali minacce per lo Stato.

“La relazione dell’intelligence italiana evidenzia la criticità delle minacce cyber e ibride all’interno di complesso quadro politico internazionale”, è il commento di Pierluigi Paganini, analista di cyber security e CEO Cybhorus. “L’elevata penetrazione tecnologica nella nostra società, ed il rapido sviluppo di tecnologie come l’intelligenza artificiale, ampliano la nostra superficie di attacco offrendo nuove opportunità a attori e minacce sempre più sofisticate”.

Ucraina e Striscia di Gaza: i riflessi sulla minaccia cibernetica

Il rapporto 2023 dei nostri Servizi presenta un focus sui temi più caldi che stanno impattando la stabilità nazionale e internazionale.

In questo senso, tra gli eventi più rilevanti in ambito internazionale è inclusa la recente crisi tra Israele e Gaza, che ha riportato al centro dell’attenzione mondiale la questione israelo-palestinese, segnando una rottura nelle dinamiche regionali del Medio Oriente.

Prima degli eventi del 7 ottobre 2023, la regione stava vivendo importanti processi di riallineamento, con significativi passi avanti nei processi di normalizzazione tra Israele e alcuni Paesi arabi. Tuttavia, lo scoppio della crisi a Gaza ha interrotto questi processi di distensione, riconsegnando al Medio Oriente una centralità nelle dinamiche caratterizzate da polarizzazione e conflittualità.

Tale situazione rischia di compromettere ulteriormente la stabilità della regione, dati i recenti sviluppi in Yemen e Libano, ovvero con un concreto rischio di allargamento del conflitto nell’intera area.

Secondo l’analisi dei nostri servizi di intelligence, questa grave instabilità geopolitica unita al perdurante conflitto russo-ucraino hanno prodotto riflessi rilevanti sulle caratteristiche e sugli obiettivi della minaccia cibernetica.

Nel cyber spazio, che rimane lo strumento preferenziale a cui fanno ricorso i cyber criminali per il raggiungimento dei loro obiettivi strategici, si è dunque assistito a un complessivo aumento delle offensive digitali ai danni delle infrastrutture digitali e dei servizi IT, del settore dell’energia e di quello dei trasporti.

Ma le azioni ostili non hanno risparmiato il settore pubblico e quello istituzionale.

Aumentano gli attacchi spyware e state-sponsored

Il rapporto dell’intelligence conferma, inoltre, che sempre più spesso le azioni ostili contro il nostro Paese vengono condotte da gruppi criminali altamente specializzati (i cosiddetti gruppi APT, Advanced Persistent threat) in stretto rapporto con apparati governativi dai quali ricevono linee strategiche e supporto finanziario.

Proprio per questo motivo, rappresentano una minaccia particolarmente insidiosa in quanto mira in particolare all’esfiltrazione di dati e informazioni riservate, ma anche al blocco dell’operatività aziendale con conseguente danno economico e reputazionale.

Senza dimenticare il notevole dispendio di risorse economiche necessarie per mitigare una minaccia così ben strutturata.

Questa classificazione degli attacchi, inoltre, fa emergere una maggiore incisività delle attività spionistiche ai danni sia di soggetti pubblici sia di soggetti privati.

In particolare, l’intelligence ha osservato come la tendenza tra gli attori delle minacce sia quella di sfruttare vulnerabilità zero-day, quindi non precedentemente note, presenti soprattutto nelle piattaforme di collaborazione e connessione remota, particolarmente usate in questo periodo di massiccio ricorso allo smart working.

Ma ad essere prese di mira sono anche le piattaforme di virtualizzazione vengono sempre più prese di mira: questo perché una loro compromissione consente ai criminali informatici di acquisire l’accesso alle risorse informatiche dei loro target per poi eseguire movimenti laterali all’interno delle infrastrutture compromesse finalizzati al furto di dati o al danneggiamento dei sistemi.

Le nuove tecniche, tattiche e procedure dei criminal hacker

Dalla lettura della relazione annuale dei servizi segreti si evince, inoltre, una nuova tendenza tra i gruppi criminali che consiste nel fare ricorso a tutte quelle “armi digitali” facilmente reperibili sul dark web, come ransomware e infostealer.

Il sospetto è che, soprattutto nel caso di attori statutali o sponsorizzati da Stati, questo particolare modo di muoversi tra le maglie della rete serva a conferire alle loro attività offensive una parvenza di attività criminali comuni, così da farle passare più sottotraccia salvo poi farle detonare pesantemente una volta superate le linee difensive.

Inoltre, c’è la conferma di un rinnovato interesse dei criminal hacker verso tradizionali tecniche di attacco phishing e spear phishing tipicamente usate per veicolare strumenti malevoli all’interno dei sistemi target superando i controlli di sicurezza, ma anche per condurre attività finalizzate al furto di identità e di credenziali di accesso ai sistemi.

La minaccia ibrida della Russia

Una parte interessante della relazione annuale dell’intelligence è poi riservata alla minaccia ibrida rappresentata dalla Russia e dalla Cina, che nel 2023 ha causato danni contingenti alle infrastrutture critiche in Italia.

Così come sottolineano i nostri Servizi, russi e cinesi sono “in grado di condurre campagne in danno dei Paesi occidentali sfruttando alcune delle caratteristiche sistemiche che connotano le nostre società, quali l’apertura dei mercati e le garanzie di libertà e di indipendenza dei media”.

Tutti e due gli attori impiegano i principali vettori della minaccia ibrida (cosiddetti DIMEFIL, ossia Diplomatico, Intelligence, Militare, Economico-Finanziario, Informativo e Legale), ma va da sé che, in questo periodo storico, la minaccia più consistente è rappresentata dalla Russia che usa le attività ostili nel tentativo di coordinare maggiormente le offensive cyber con quelle sul campo di battaglia ucraino.

Tra l’altro, i Servizi segreti confermano che la Russia sta sfruttando anche il conflitto israelo-palestinese per condurre massicce attività di disinformazione.

Da segnalare, poi, che con le sue attività ibride la Russia ha cercato di ostacolare le iniziative italiane ed europee di diversificazione energetica cercando di ostacolare l’introduzione del price cap sul gas russo. Anche in questo caso, ciò è avvenuto ricorrendo a campagne propagandistiche basate soprattutto sulla disinformazione mirata al grande pubblico in merito all’andamento dei prezzi dell’energia, all’inflazione e al costo delle materie prime.

Il ruolo della Cina nel dominio cibernetico

Dal canto suo, anche la Cina ha giocato un ruolo di primo piano sul versante cyber.

In particolare, grazie anche a un ventaglio di leggi nazionali che lo permettono (come, ad esempio, la recente legge sul controspionaggio), i principali vettori della minaccia ibrida vengono utilizzati per:

• raccogliere informazioni di pregio;
• mettere in atto azioni di pressione economica;
• penetrare e interferire all’interno del mondo accademico e della ricerca;
• condurre operazioni cibernetiche ostili con maggiore efficacia;
• manipolare l’informazione per finalità di propaganda;
• orientare, in modo favorevole alla Cina, l’opinione pubblica europea.

Anche per questo, nel corso del 2023 la Cina si è confermata come uno degli attori principali della minaccia, caratterizzato da elevata sofisticazione e da un alto livello di maturità operativa.

Si conferma, dunque la notevole potenza cinese sul dominio dell’informazione: Pechino è in grado, infatti, di condurre operazioni informative tese a influenzare la percezione dell’opinione pubblica all’estero in modo favorevole agli interessi della Repubblica Popolare Cinese, accreditandosi come partner affidabile e di rilievo e ricorrendo anche a noti influencer per promuovere un’immagine positiva del Paese.

Ad esempio, sul conflitto russo-ucraino Pechino si è attestata su un appoggio tiepido e moderato a Mosca, diffondendo sui social network notizie relative a una possibile responsabilità americana sulla lunga durata del conflitto e alla presenza di laboratori biologici sperimentali statunitensi in Ucraina.

In merito al conflitto tra Israele e Hamas, invece, la disinformazione cinese ha diffuso tra l’opinione pubblica un approccio “pacifico” contrapposto a quello “militare” degli Stati Uniti e i canali social diplomatici ufficiali cinesi si sono attivati per promuovere Pechino come un possibile mediatore tra le parti.

Per fortuna, secondo il rapporto dell’intelligence, sia l’Italia sia i Paesi occidentali hanno dimostrato una buona resilienza.

L’allarme, però, è sulle tornate elettorali che caratterizzeranno tutto il 2024 e durante le quali metà della popolazione mondiale sarà chiamata al voto: un evento che potrebbe innalzare di molto il livello di rischio per azioni di pressione dei meccanismi elettorali.

I nuovi scenari cyber

La relazione annuale dei nostri servizi di intelligence si conferma essere un documento fondamentale per comprendere la dinamica delle principali minacce alla sicurezza nazionale e internazionale.

“La sicurezza nazionale, oggi più che mai, riconosce nella sicurezza digitale un elemento imprescindibile ed allo scopo mette in guardia da minacce cyber ed ibride”, sottolinea Pierluigi Paganini, ricordando che “gli attacchi informatici possono minare la stabilità economica di un’impresa così come di un intero settore, minacce ibride come le campagne di disinformazioni possono destabilizzare il contesto politico di stati e mutare i delicati equilibri politici all’interno di alleanze ed organizzazioni transazionali”.

“Tale aspetto”, continua l’analista, “è particolarmente critico se consideriamo che ben 76 Paesi del mondo andranno al voto e per questo motivo sono esposti al rischio concreto di interferenze e condizionamenti nelle operazioni di voto”.

Secondo Claudio Telmon, Senior Partner, Information & Cyber Security & di P4I e membro del comitato direttivo di Clusit, “quanto riportato nella Relazione annuale in merito alla sicurezza cibernetica e alla minaccia ibrida conferma sostanzialmente quanto rilevato anche in altre analisi, ad esempio in relazione all’aumento degli attacchi di Denial of Service (DoS) o alla riduzione della rilevanza dell’hacktivism”.

Ci sono alcuni passaggi della relazione, inoltre, che secondo l’analista di P4I vale la pena di sottolineare, perché di valore soprattutto in conseguenza della fonte dalla quale ci arrivano: “Il primo è la conferma della contiguità di molti dei gruppi più pericolosi ad apparati governativi di diversi paesi, che forniscono supporto ma anche linee di indirizzo strategico. Questa disponibilità di supporto rende tali gruppi ancora più pericolosi di quanto già non siano. Il secondo sono gli obiettivi. È certamente rilevante che vi sia un interesse crescente verso le amministrazioni centrali dello Stato, ma forse è ancora più interessante, perché meno intuibile, l’interesse verso settori come i trasporti e l’industria meccanica e manifatturiera”.

Proteggere i dati economico-industriali: giusta la strada intrapresa dalla NIS 2

“Questo”, sottolinea ancora Telmon, “unito alla nota che evidenzia l’esfiltrazione anche di informazioni di natura economico-industriale, mette in evidenza come sia centrata la scelta fatta con la Direttiva NIS2 di comprendere questi settori fra quelli in perimetro”.

“Siamo infatti forse troppo focalizzati sull’esfiltrazione di dati personali negli attacchi”, è il commento finale di Telmon, “non perché non rappresentino un valore da proteggere, ma perché rappresentano solo l’aspetto più visibile degli attacchi. Gli stessi canali utilizzati per accedere ai dati personali possono essere utilizzati anche per accedere a dati aziendali il cui utilizzo è forse meno appariscente ma non meno dannoso”.

@RIPRODUZIONE RISERVATA