Presadiretta: la guerra informatica

Come gli attacchi informatici compiuti dagli hacker russi contro l'Ucraina, ben prima del 24 febbraio: “preparatevi al peggio” diceva il messaggio apparso sui pc infetti.

Gli attacchi informatici sono veri e propri attacchi di guerra: si preparano per anni e attaccano le grandi aziende pubbliche e private.

A Campodarsego, in provincia di Padova, al quartiere generale della Carraro un’azienda italiana leader nella progettazione delle macchine agricole, un gruppo sano con 90 anni di storia alle spalle. Ma che ha rischiato di veder interrompere la sua produzione nel giro di una notte, quando tutte le stampanti, nella sede e in tutte le filiali hanno stampato a ripetizione il messaggio con la richiesta del riscatto, per consentire all’azienda di tornare in possesso dei propri dati.

Nel messaggio stampato era scritto “il vostro network è stato attaccato, i vostri dati criptati.” Non solo i computer non potevano lavorare più, anche le linee di produzione erano bloccate: ordini, magazzino, linee di produzione, tutto fermo, l’universo Carraro, il suo fatturato, i suoi 3500 dipendenti erano rimasti vittima di un Ransomware.
Per liberarli la banda di criminali ha chiesto un riscatto: l'azienda aveva pensato addirittura di chiudere, ma alla fine l'azienda ha recuperato i dati da un server esterno.

Altri attacchi hanno colpito Erg, Siae, .. nessuno ammette di aver pagato il riscatto, ma il 70% dei casi portano ad una negoziazione, ci sono esperti che fanno questo lavoro tra le aziende e i cybercriminali.
Per questi criminali si tratta di affari: Stefano Lamonato esporto di criminalità web stima in 20 miliardi all'anno l'economia del ransomware ogni anno.
Presadiretta ha raccontato dell'attacco alla Colonial Pipeline in America, che ha bloccato le pompe: gli attacchi ransomware sono entrati così nell'agenda della nazione più forte al mondo.

Il presidente della Colonial Pipeline ha pagato un riscatto da 4,4 ml di dollari in bitcoin: l'America essendo sede delle aziende più ricche al mondo sono predilette dagli attaccanti. Attacchi che invece risparmiano le aziende russofone.

Nell'ultimo incontro con Putin, Biden aveva chiesto al presidente russo di fermare gli attacchi che rischiavano di mettere in crisi l'economia, ma l'accordo non ha avuto successo.
In Ucraina la polizia informatica è riuscita ad arrestare degli hacker, che lavoravano in un quartiere di russo protetto da una polizia privata, in residenze di lusso.

Sono hacker che provengono da famiglie povere, la loro vita è dedicata ai ransomware, passano notte a controllare il loro sw.
Nonostante la protezione, nel 2021 la polizia informatica ucraina ha arrestato membri di una gang che aveva preso riscatti per milioni di dollari. Ma dove finiscono i soldi, in criptovalute?
 

Bisognerebbe interrompere la catena che consente ai criminali incassare soldi in criptovalute: come la Suex, una società che incassava proventi da attacchi ransomware e con sede a Mosca, nel quartiere degli affari.

Secondo il giornalista Freelance Mehotra la Russia accoglie i criminali dal mondo, consente la conversione delle criptovalute in denaro, senza farsi troppi problemi sulle generalità.
Come mai la Russia non si muove per arrestare i banditi digitali?

A gennaio mentre centomila soldati russi si ammassavano al confine ucraino e il mondo intero tratteneva il respiro in attesa di un attacco da terra, un’altra missione stava preparando il terreno per le truppe. Sugli schermi dei computer in Ucraina all’improvviso era comparsa la scritta minacciosa: “cittadini ucraini i vostri dati sono pubblici ora, abbiate paura e preparatevi al peggio, per il vostro passato, il vostro presente e il vostro futuro.” Il messaggio compariva su alcuni siti governativi tra cui il ministero degli Esteri, dell’Istruzione, dell’Agricoltura e il Consiglio di Sicurezza e Difesa.

In tutto 70 siti sono finiti offline per alcuni giorni. I giornalisti di Presadiretta sono andati a Kiev al palazzo dove risiede il Cert la principale struttura di difesa ucraina dagli attacchi informatici. In questi uffici si registrano tutti gli attacchi informatici, vengono analizzati e si studiano le tattiche di difesa. Nell’ultimo periodo – racconta un funzionario – abbiamo avuto 550 attacchi gravi, fino al 14 gennaio, apice degli attacchi “uno dei più grandi attacchi informatici degli ultimi anni, ha compromesso molti siti, ha cancellato diversi sistemi e attaccato postazioni governative. Sappiamo che l’attacco viene dalla Russia e dai suoi alleati.”

Dal Cert aggiungono anche che “quello che è successo il 14 gennaio scorso è solo la parte visibile dell’attacco che è iniziato molto prima e la distruzione è parte di una strategia più ampia. Tutte le tattiche usate qui sono state usate anche negli Stati Uniti e anche in Europa. Tutto quello che succede qui oggi, presto potrebbe succedere altrove. L’obiettivo della Russia è destabilizzare la democrazia, la guerra informatica non si fermerà in Ucraina.”

Il 24 febbraio, un’ora prima dell’inizio di questa guerra, un attacco informatico ha messo fuori uso l’azienda Viasat, il fornitore di servizi internet dell’esercito ucraino, di quello americano e di molte aziende europee. È stato l’attacco più potente scattato in questa guerra ed è arrivato a colpite migliaia di apparati (modem, router) in tutta Europa. In Germania 6000 pale eoliche sono state disconnesse dalla rete; in Italia decine di clienti del marchio Big Blue sono rimasti senza internet, ed era solo l’inizio. Da febbraio centinaia di attacchi informatici hanno colpito l’Ucraina e tutta l’Europa: la guerra digitale è già qui.

Ci sono attacchi militari nascosti dietro attacchi di cybercriminali: l'unico modo per proteggersi è tenere aggiornati i nostri sistemi informatici, ogni giorno.
Perché il rischio è che gli hacker possano spegnere tutto il sistema informatico del sistema sanitario, come successo in Irlanda.

Il 13 maggio 2021 era festa in Irlanda, perché il paese stava per mettersi alle spalle la pandemia: ma dopo mezzanotte l'80% dei computer del sistema sanitario si paralizza. Tutti i documenti informatici dei pazienti era sparito, i medici non avevano più i fascicoli sanitari, dovevano decidere quali farmaci somministrare al momento.
Molti pazienti hanno avuto i loro trattamenti sospesi, anche malati di cancro, anche bambini che aspettavano il turno per una loro operazione.

L'attacco è stato fatto dal gruppo di Conti che aveva chiesto 20ml di dollari di riscatto, un reato disgustoso: lo capisce ascoltando la storia di Rose una bambina irlandese nascita con la diagnosi di spina bifida e idrocefalo: ha sempre bisogno di una sedia a rotelle e in posizione eretta perché è a rischio scoliosi. Dopo mesi di attesa Rose avrebbe dovuto subire un intervento delicato nei giorni dell’attacco informatico ma il suo appuntamento è stato cancellato con una mail dove si scriveva “l’attacco ransomware ha avuto un impatto sui servizi e ha aumentato i ritardi nell’erogazione dei trattamenti”.

Oggi, racconta la madre, non abbiamo ancora una data per l’intervento, che è uno di quelli molto invasivi, dovranno rimuovere l’osso da entrambi i femori, rivestire i tendini dei fianchi, delle ginocchia e delle caviglie, dovranno inserire delle placche.

Lo stato di salute di Rose è peggiorato dopo la mancata operazione e dunque ora avrà bisogno di un intervento molto più grande di quello che era previsto all’inizio – racconta la madre che, aggiunge “ora Rose è di nuovo in lista d’attesa e non possiamo fare altro che vederla peggiorare di giorno in giorno e nessuno potrà riparare il danno che le è stato fatto.”

Il presidente dell’associazione dei pazienti irlandesi racconta a Presadiretta che sono stati tanti i casi di operazioni saltate all’ultimo minuto, pazienti con il cancro, problemi cardiaci, bambini che avevano bisogno di una operazione o anche appuntamenti per capire se ci fossero bisogno di ulteriori cure: “un irlandese su tre è in lista di attesa, c’è un aspetto umano in tutta questa vicenda. L’attacco informatico è arrivato e noi non eravamo pronti, ma l’impatto sui pazienti e sulle loro vite è stato enorme.”

Il ministero della salute irlandese ha scoperto che i cybercriminali erano entrati nei sistemi mesi prima. Mesi prima un attacco ransomware aveva attaccato il sistema informatico nella sanità inglese, stesso attacco era avvenuto nella sanità americana: in totale si stima in duemila le morti per effetto di questi attacchi.

In Italia sono stati attaccati i sistemi in diverse ASL: l'80% delle strutture informatiche sono a rischio di un attacco ransomware, e questo rappresenta una opportunità per gli attaccanti.

Nel Lazio il sistema sanitario ha subito un attacco l'agosto del 2021: era stato richiesto un riscatto di 5 ml di euro, per sbloccare i sistemi necessari per la vaccinazione sanitaria.
L'attacco ha rallentato la vaccinazione e bloccato degli esami: dopo un anno le tre indagini non hanno ancora portato ai responsabili, si presuppone che ci sia stato un furto di identità ai danni di un impiegato.
Si sarebbe usato un sistema di phising, dove nella mail erano presenti nomi di colleghi della vittima: un attacco targettizzato, perché i criminali avevano preso di mira l'ASL del Lazio.

L'Agid aveva emanato una direttiva sulla sicurezza, che la regione Lazio non aveva rispettato del tutto. Non era stato fatto un backup offline, un backup scollegato dalla rete e dunque lontano dagli attaccanti. Queste norme erano obbligatorie, ma non erano previste sanzioni.

LazioCrea, la società informatica della regione gestisce i dati della regione: i criminali hanno attaccato i backup, hanno bloccato i sistemi di accesso ai dati, ma non hanno toccato i dati – racconta il direttore della struttura.

Mancava il sistema di autorizzazione a doppio livello, per gli utenti amministrativi, ammette il responsabile, che parla di un costo di 2 ml per il ripristino dei sistemi.

A Brescia, il 31 marzo 2021, i pc del comune si sono bloccati: sono tornati alla carta per poter lavorare, con un rallentamento dei lavori.

Gli attaccanti hanno chiesto 32ml di euro di riscatto, ma alla fine i tecnici hanno ripristinato i dati usando delle cassette di backup in cassaforte. Ma il comune è rimasto fermo per una settimana: alla fine il comune ha speso 1 ml di euro per mettere tutto a nuovo, a livello di postazioni.

Si tratta di una pandemia informatica – raccontano al comune di Brescia – e anche a questa non siamo pronti.

AGID ha analizzato lo stato di salute delle società pubbliche: ci sono amministrazioni che hanno vulnerabilità del 1999, sono venti anni che non aggiornano i sistemi, dunque.
Ma come fanno i comuni piccoli? Al comune di Gonzaga ad esempio devono prendere soldi dai fondi per i servizi sociali per proteggersi dagli attacchi hacker.
Anche a Gonzaga si sono trovati sotto ricatto e gli hacker hanno reso pubblici i loro dati.

L'attacco alla Siae ha reso pubblici i dati di diversi artisti: dati personali e carte di credito.

Dario Baldoni è il presidente dell'agenzia per la sicurezza informatica: dopo l'attacco alla Russia gli attacchi sono aumentati, dobbiamo imparare a difenderci.

La guerra informatica è in corso: l'Albania ha rotto i rapporti con l'Iran accusandolo di aver condotto un attacco informatico.
L'Iran è un paese in rivolta dal 16 settembre, dopo l'uccisione della donna che non aveva indossato il velo in modo corretto, l'Iran che uccide i manifestanti in strada.
L'Iran è una potenza cybernetica mondiale, che usa queste armi informatiche contro i nemici esterni e contro anche gli oppositori interni.

Il 7 settembre 2022 il premier Edi Rama in televisione racconta di un attacco informatico creato dall'Iran, chiedendo l'allontanamento dei diplomatici iraniani.

Il 15 luglio un attacco cybernetico aveva messo fuori uso la maggior parte dei servizi informatici del paese per 4 giorni: gli attaccanti non sono riusciti a distruggere i database, perché i backup erano stati fatti bene.

L'attacco proveniva dall'Iran, racconta il responsabile dell'intelligence di Mandiam: un attacco che parte direttamente dall'intelligence del paese, per tramite di aziende private che fanno il lavoro sporco per i servizi iraniani.

Come mai questo attacco?

L'Iran aveva messo nel suo mirino un gruppo di opposizione che aveva la sua sede vicino Tirana: dopo questo attacco i dati di cittadini albanese sono stati resi pubblici, compresi i dati di poliziotti.
Questa guerra informatica serve alla Russia e all'Iran per destabilizzare paesi europei, in modo che poi siano costretti a fare accordi favorevoli a loro.

L'Albania è un paese Nato: significa che l'Iran è riuscita a mettere in piedi un attacco contro un paese Nato, un avvertimento ad altri paesi dell'alleanza.

L'Iran ha investito sulla guerra informatica perché dopo l'embargo hanno dovuto abbandonare le forme tradizionali di guerra: hanno sviluppato un know how tale da competere con altri paesi europei o occidentali.
L'Iran nel 2009 era stato vittima di un attacco dagli Stati Uniti in cui si distrussero le strutture in cui questo paese arricchiva l'uranio per costruire una bomba.

Le centrifughe furono mandate al massimo della velocità, fino a distruggerle: con un virus si distrussero delle strutture, come un vero e proprio attacco militare.
L'Iran decise di rispondere a questo attacco, andando ad investire denaro e manodopera nelle infrastrutture informatiche, sono stati creati dei gruppi di hacker, che attaccano chiunque critichi la politica del governo.

L'Iran controlla i dati mobili della popolazione, in modo che le persone non possano mobilitarsi e comunicare, sono stati bloccati anche le chat nei videogiochi.

Comunicare dall'estero verso l'Iran è difficile, col blocco di internet: le persone che protestano o che vivono nelle zone di protesta sono tracciate, controllate, minacciate.

Le guerre informatiche sono state prese in seria considerazione dalla Nato: sono state inserite nell'articolo 5 dell'accordo tra i paesi membri, tra le clausole che fanno scattare una risposta dalla Nato.

Presadiretta ha raccontato quello che è successo in Germania, con la spy story che ha coinvolto il capo dell’Agenzia federale tedesca per la sicurezza informatica accusato di aver avuto contatti con i servizi segreti russi.

Un conduttore satirico il 7 ottobre aveva accusato il presidente dell'agenzia federale sulla sicurezza informatica di avere rapporti opachi con i servizi russi: dopo questo servizio il suo incarico gli è stato revocato.
Nel 2012 aveva fondato una associazione chiamata “consiglio di sicurezza dell'informatica della Germania”, con sede a Berlino: era una associazione privata che consigliava alle aziende le strategie di sicurezza. Ma, come hanno scoperto i giornalisti di ARD, dentro questa associazione c'erano società e persone collegate ai servizi russi.
Si parla della Protelion, società fondata da un ex membro del KGB.

Negli ultimi anni la Germania ha subito diversi attacchi, culminati all'attacco nel 2022 che ha bloccato le turbine delle pale eoliche e con l'attacco ai sistemi della rete ferroviaria.
La Russia è interessata a capire qual è la posizione della Germania, sono in grado di bloccare i servizi informatici del paese, perché ci sono troppe reti da gestire.

La guerra della disinformazione

C'è poi la guerra della disinformazione: quello che sta succedendo in Ucraina è coperto da ua fitta nebbia, chiamata disinformazione, che non fa comprendere cosa stia veramente succedendo sul campo.

A Bucha la televisione russa ha messo in dubbio il massacro di civili ad opera dei soldati russi: era solo una montatura dei media occidentali. Attraverso i canali telegram la televisione russa parla di morti spostati, di finti morti: era infowar, una parte della guerra ibrida portata avanti dai russi e portata avanti dalla propaganda russa per impedire che all'Ucraina arrivino fondi di auto.

C'è Russia Today, Sputnik, che da marzo 2022 sono bloccati in Europa. E poi c'è Telegramm oggi in Russia principale voce della propaganda del Cremlino.
In Russia la libertà di stampa non esiste, basta vedere i risultati delle ricerche fatte su Yandex, il motore di ricerca russo.
C'è poi l'esercito dei troll, finti account pagati per inondare la rete di notizie false: Presadiretta ha raccolto la testimonianza di Eva Savchiuk, che aveva lavorato a San Pietroburgo in una azienda moscovita di notizie false che aveva contribuito a far eleggere Trump.

Una delle notizie false fatte circolare era quella dei laboratori americani sotto l'acciaieria Azovstal: erano biolaboratori inventati dalla propaganda russa.

C'è poi la propaganda ucraina che si appoggia alla retorica dell'eroismo dell'esercito.

Newsguard certifica le notizie che circolano in rete, sfatando notizie false come quella del jet ucraino che avrebbe abbattuto caccia russi nel primo giorno di guerra.
Molta disinformazione viaggia anche sui social, racconta la giornalista Giulia Pozzi: la disinformazione è un business, perché attira persone che poi rimangono collegati ai social, come Tik Tok.

Come si muove la disinformazione? Sui social cerchiamo le informazioni che più ci piacciono, dunque rimaniamo chiusi in una bolla, ci si polarizza e si rafforzano le informazioni che già avevamo. È lo stesso processo visto con la pandemia e con i vaccini.

Il professor Van Der Linden ha raccontato di come funziona la disinformazione: serve avere una mente aperta, non bisogna fermarsi al proprio punto di vista, esercitare un pensiero critico, non rimanere chiusi nella propria tribù.

Smontare le bufale a posteriori non serve, perché oramai ha trovato spazio nel nostro cervello.

La nuova frontiera della propaganda sono però i Deep Fake, i video sintetici falsi, come quello di Zelensky: per riconoscere questi video si usano gli strumenti dell'intelligenza artificiale, per comprendere se un video è manipolato o meno, usando i dati biometrici.

Al progetto sta lavorando l'agenzia del Pentagono Darpa ma anche la nostra università Federico II: ogni svolta che si sviluppa un detector, la tecnologia potrebbe evolvere e costringerci a rincorrere ancora una volta chi ha creato questi deep fake.

Per questo è importante conoscere le fonti delle nostre informazioni, quello che ha fatto Julian Assange che con Wikileaks ha pubblicato documenti classificati, usati poi da giornali nel mondo per raccontare la guerra sporca in Iraq e Afghanistan.

Oppure sui rapporti tra Silvio Berlusconi e Putin: Hillary Clinton chiedeva di indagare su questi rapporti opachi, ben prima della lettera dolce e dello scambio di bottiglie di Lambrusco col presidente russo.

La vicinanza tra Berlusconi e Putin è di vecchia data ed è legata al traffico del gas russo: a Sochi sul mar Nero Putin e Berlusconi pianificano l'ampliamento del gasdotto che tagliava fuori l'Ucraina, il south stream. Berlusconi lodava il progetto e Putin: questo aveva preoccupato i diplomatici americani, come riportano i cablo poi rivelati da Assange.
Gli ambasciatori condividono le loro preoccupazioni con Washington: nel 2010 il segretario di Stato Clinton chiede ai suoi diplomatici di indagare sugli affari di Berlusconi, per capire le sue posizioni e quelle di Eni, le politiche energetiche italiane per capire fossero influenzate dalla Russia. Si temeva che la Russia volesse stringere in una morsa l'Europa col suo gas, come ce ne siamo accorti troppo tardi con la guerra in Ucraina.

I cavalli di Troia di questa dipendenza in Europa sono stati Italia a Germania: con troppo ritardo abbiamo compreso che dovevamo uscire dalla dipendenza di gas e carbone (e petrolio), per passare alle energie rinnovabili.

Anche perché abbiamo degli obblighi, con l'Europa, sulla diminuzione delle emissioni.

Tutti argomenti, compresa la guerra in Ucraina, che Presadiretta continuerà a monitorare. Perché l'anomalia in questo momento è la guerra, non la pace.

Questo articolo è stato pubblicato qui