“Il caso di cyberspionaggio svelato dalla Polizia Postale dimostra, se ce ne fosse ancora bisogno, che la prevenzione perfetta non esiste. Per mettere sotto attacco istituzioni, politici e aziende è bastata una combinazione sapiente di tecnologie banali, alla portata di tutti, con un fattore umano che ha individuato obiettivi precisi per il proprio intento criminale. Una vera e propria operazione di intelligence nel collegare e analizzare le informazioni via via raccolte. E’ lo stessa ricetta che deve essere utilizzata per contrastare questi attacchi, in cui serve ed è fondamentale la collaborazione pubblico privato e l’innalzamento del livello delle tecnologie, che devono essere in grado di arrivare dove l’occhio umano non arriva”. Così Andrea Rigoni, esperto di cybersecurity e partner di Intellium-Deloitte, analizza il caso di cyberspionaggio emerso ieri che ha portato a Roma all’arresto di due persone e ha scoperchiato un circuito esteso di intercettazioni informatiche.
.
Rigoni, come è stato sferrato l’attacco?
Si tratta di un codice malevolo sviluppato ad hoc in Italia, opera di ingegneria criminale italiana. Gli autori potrebbero essere partiti riutilizzando qualche componente già esistente e modificandola profondamente fino ad adattarla alle proprie esigenze. Il codice arriva al destinatario via mail, come allegato a un testo confezionato ad hoc per il destinatario, da un mittente conosciuto, in un messaggio molto accurato nello stile e nel confezionamento. Anche il nome dell’allegato risulta modificato per non destare sospetti. L’allegato contiene uno script che, una volta aperto il messaggio, scatena un meccanismo che però affligge esclusivamente Pc Windows: l’eseguibile una volta scaricato prepara il terreno, indebolendo le difese, cambiando configurazioni e scaricando due ulteriori componenti: una che fa incetta di informazioni e un’altra che le trasporta su server esterni.
Di che genere di operazione si è trattato?
L’unico aspetto che mi era sembrato strano era, come pareva in un primo momento, che i server prescelti fossero su territorio statunitense. Ora sappiamo che non è così, e d’altra parte allocare i dati negli Usa sarebbe stata una grande ingenuità, dal momento che si tratta di un Paese con cui l’Italia ha ottimi rapporti di collaborazione, già consolidati nel tempo. A parte questo, gli autori dell’attacco hanno dimostrato che, pur non essendo “super hacker”, sono stati abili programmatori e astutissimi criminali. Pur non essendo un codice complesso in termini di scrittura, i meccanismi per aggirare gli antivirus e l’utente sono stati senza dubbio realizzati in maniera abile.
In cosa differisce questo attacco da quelli a cui siamo abituati?
Quello a cui siamo abituati sono minacce che colpiscono tutti, che lanciano un amo verso una platea vasta, nella consapevolezza che qualcuno abboccherà. L’esempio sono le frodi che prendono di mira l’home banking. In questo caso invece quella stessa tecnica è stata utilizzata su target abilmente e accuratamente selezionati, in una sorta di evoluzione degli advanced persistent threat utilizzati per lo spionaggio industriale. Le finalità di questa attività le chiarirà adesso la magistratura, ma di certo venivano raccolti dati legati a personalità e aziende di primo piano per il Paese.
Quali sono ora le azioni principali per prevenire attacchi simili e correre ai ripari per il futuro?
Questa tecnica poteva trarre in inganno anche occhi esperti e antivirus. La prevenzione dovrà contare per il futuro su due aspetti: la tecnologia, un campo in cui non possiamo mai accontentarci, e in cui è sempre necessario progredire per arrivare dove l’occhio umano non riesce ad arrivare, e il piano comportamentale, il fatto cioè di adottare tutti i comportamenti che ci consentiranno di non cadere nelle trappole più prevedibili.
C’è una “morale” che si può trarre da questo caso di cyberspionaggio?
Questo caso è la dimostrazione che la cooperazione tra pubblico e privato e lo scambio di informazioni funzionano. Considerato che facciamo pochissima attività in questo campo, è un’indicazione importante. La segnalazione alla Polizia postale che ha consentito di smantellare la centrale di cyberspionaggio è arrivata da un’infrastruttura critica, Enav. Una volta attivata la Polizia Postale, attivando anche collaborazioni internazionali, è risalita ai responsabili. Ma è importante dire che, se è vero che questa minaccia era attiva dal 2008, di sicuro ci sono stati altri casi in passato che non sono stati segnalati, e che avrebbero consentito di arrivare prima a questi stessi risultati. Forse non c’erano ancora i canali si comunicazione corretti o la giusta consapevolezza da parte delle aziende. Ma ora è evidente che in caso di attacchi la collaborazione pubblico privato, tra aziende colpite e forze dell’ordine, porta ai risultati migliori.