Advertisement skip to Main Content

Che cosa dicono Acn ed esperti sull’attacco hacker

L'Agenzia per la cybersicurezza nazionale ha rilevato un "massiccio attacco", basato sull'utilizzo di ransomware già esistenti, contro "diverse decine di sistemi" in tutta Italia. Le responsabilità delle aziende, il parere degli esperti e la nota di Palazzo Chigi

 

Attacco hacker ha preso di mira migliaia di server di computer dai paesi europei come Francia Finlandia e Italia, fino al Nord America, in Canada e negli Stati Uniti.

L’allarme è arrivato nel pomeriggio di ieri dall’Agenzia per la cybersicurezza nazionale (Acn): il Computer security incident response team (Csirt) Italia – l’organismo cui spetta il monitoraggio degli incidenti e l’intervento in caso di attacchi – ha scoperto che gli hacker sono entrati in azione attraverso un “ransomware già in circolazione” che prende di mira i server VMware ESXi.  Quest’ultimo ha già “compromesso” decine di sistemi nazionali.

Come spiegato dal Csirt, il produttore aveva già individuato e sanato la vulnerabilità nel febbraio 2021. Tuttavia, non tutti coloro che usano i sistemi attualmente interessati l’hanno risolta. I server presi di mira, se privi delle patch, cioè delle “correzioni” adeguate, possono aprire le porte agli hacker impegnati a sfruttarla.

Ma perché se la vulnerabilità sui server era nota e risolta già nel febbraio 2021 si è lasciata comunque scoperta?

“Sono 2 anni che lasciamo le porte aperte tutte le sere, solo che questo weekend qualcuno se ne accorto e l’ha detto in giro” ha commentato su Twitter Matteo Flora, imprenditore digitale ed esperto di reputazione online. “Parlando in termini informatici è un’era geologica”, rimarca Gerardo Costabile, ad di DeepCyber (Gruppo Maggioli) e presidente di Associazione Italiana Digital Forensics (Iisfa).

“E tre giorni fa il Cert francese (il Centro di risposta agli allarmi cyber, ndr) aveva lanciato l’allerta: è stata più o meno ignorata e questo fatto è di una gravità sconcertante”, sottolinea al Corriere della Sera Corrado Giustozzi, divulgatore ed esperto di cybersicurezza, partner di Rexilience.

Nel frattempo, dopo la riunione tenuta stamane dal sottosegretario con la delega alla Cybersecurity Alfredo Mantovano, con il diretto dell’Acn Roberto Baldoni e la direttrice del Dis Elisabetta Belloni, Palazzo Chigi fa sapere che “in Italia nessuna Istituzione o azienda primaria che opera in settori critici per la sicurezza nazionale è stata colpita” aggiungendo che non ci sono “evidenze che riconducano aggressione a soggetto statale o Stato ostile”.

Tutti i dettagli.

L’ATTACCO HACKER AI SERVER VMWARE ESXI

Nella serata del 4 febbraio il Csirt ha rilevato lo sfruttamento vulnerabilità “CVE-2021–21974” nei ‘VMware ESXi.

In particolare, questa vulnerabilità (già sanata dal vendor nel febbraio 2021), riguarda i sistemi esposti su internet che offrono servizi di virtualizzazione basati sul prodotto VMWare ESXi, e ha un impatto elevato, stimato dalla comunità tecnica come “rischio alto/arancione” (70,25/100). Tuttavia, non si esclude che anche altre vulnerabilità possono essere sfruttate da attori malevoli. Ed i server presi di mira, se privi delle correzioni adeguate, “possono aprire le porte agli hacker impegnati a sfruttarla in queste ore dopo la forte crescita di attacchi registrata nel weekend”.

Lo sfruttamento della vulnerabilità, spiega infatti l’Agenzia, “consente in una fase successiva di portare attacchi ransomware che cifrano i sistemi colpiti rendendoli inutilizzabili fino al pagamento di un riscatto per avere la chiave di decifrazione”.

I FRANCESI I PRIMA AD ACCORGERSI DELL’ATTACCO HACKER

I primi ad accorgersi dell’attacco sono stati i francesi, probabilmente per via dell’ampio numero di infezioni registrato sui sistemi di alcuni provider in quel Paese.

“Sulla relativa campagna il Computer Emergency Response Team Francese (Cert-Fr) ha pubblicato un security advisory, disponibile nella sezione riferimenti, in cui si evidenziano i relativi dettagli. Dalle analisi effettuate la campagna risulta indirizzata anche verso soggetti nazionali” spiega l’Agenzia per la cybersicurezza nazionale.

Successivamente l’ondata di attacchi si è spostata su altri paesi tra cui l’Italia. Al momento i server compromessi sono qualche migliaio in tutto il mondo, dalla Francia alla Finlandia, dal Canada agli Stati Uniti fino appunto al nostro paese dove, stando a quanto accertato finora, decine di realtà hanno hanno già riscontrato l’attività malevola nei loro confronti.

LA SINTESI DI PIERGUIDO IEZZI

Si tratta di “una campagna mirata ai server VMware ESXi esposti su Internet e vulnerabili alla CVE-2021-21974. Le due condizioni (specifico sistema non aggiornato ed esposto su internet) sono state l’opportunità per i criminali informatici per tentare e avere accesso ai sistemi. Come spesso avviene c’è stata una scansione di massa alla ricerca di questi oggetti esposti su internet” ha spiegato a Rai News 24 Pierguido Iezzi, ceo di Swascan.

LA DICHIARAZIONE DEL DIRETTORE DELLA POLIZIA POSTALE

Innanzitutto “c’era l’evidenza di una falla e sarebbe stato necessario ripararla subito”, ha evidenziato il direttore della polizia postale, Ivano Gabrielli a La Stampa.

“Comunque ora si stanno avvertendo i singoli responsabili informatici. L’attacco, come segnalato dalla Francia, sfrutta quella vulnerabilità di cui dicevo. Nei prossimi giorni andremo a verificare quello che è successo anche da noi”, ha aggiunto Gabrielli.

IL COMMENTO DI MATTEO FLORA

Difatti la comunità di esperti cyber ridimensiona la portata dell’attacco di fronte ai toni sensazionalistici della stampa italiana rispetto a una minaccia già nota sullo scenario internazionale. E tira in ballo la responsabilità delle aziende i cui server sono rimasti vulnerabili per due anni nonostante la correzione fosse disponibile.

“Vero c’è una nuova ondata di attacchi ransomware che usa una vulnerabilità in quel software, ma stiamo parlando non di qualcosa di sconosciuto e imprevisto, ma di criminali che usano una falla TROVATA E RISOLTA A FINE FEBBRAIO 2021 (CVE-2021-21974)” sottolinea Matteo Flora, imprenditore digitale ed esperto di reputazione online.

“Quindi praticamente DUE ANNI FA, solo pare nessuno si fosse preso la briga di applicare patch. Qui più che avvisare di una minaccia è la cronaca di una morte annunciata. E se ti hanno bucato TE LO MERITI. E devi morire male” ha commentato Flora.

E QUELLO DI ANDREA CHITTARO

Per Andrea Chittaro, Senior Vice President Global Security & Cyber Defence di Snam, “tutto appare nel solco di una dialettica non emergenziale”

“Una semplice attività di VA e patching ha probabilmente risolto all’origine il problema. Nel pomeriggio di domenica alcune agenzie di stampa rilanciano con una certa enfasi la notizia. Da subito diversi esperti tra i quali Matteo Flora cercano di inquadrare il problema nella sua giusta portata”, ha commentato Chittaro su Linkedin.

“Al momento, per quanto se ne sa, risultano compromessi qualche decina di server in Italia. Quello che di positivo si può leggere in tutto ciò è che una community di professionisti della security aziendale si è attivata immediatamente, mettendo a fattor comune conoscenze e competenze. E io credo che questo sia l’unico dato davvero confortante” ha concluso il manager di Snam.

L’ANALISI DI STEFANO ZANERO SULL’ATTACCO HACKER

Quindi riguardo la falla nella piattaforma di Vmware — utilizzata dai sistemisti anche per gestire servizi internet — la responsabilità ricade sulle aziende.

“Le aziende interessate, qualche migliaio al mondo, usavano sistemi non aggiornati ed esposti, ossia vulnerabili a problematiche note da un paio di anni”, ha precisato l’esperto di cybersicurezza e professore associato di computer security al Politecnico di MilanoStefano Zanero, intervento questa mattina alla rassegna stampa #Edicolaperta, tenuta da giornalisti del settore IT, Marco Lorusso e Nicoletta Boldrini, ripresa dall’Ansa.

Inoltre “Si tratta di uno scenario ricorrente. Nel 2022, nei soli Stati Uniti, sono stati denunciati 3.500 ransomware, circa dieci al giorno. Quello che risalta all’occhio delle analisi è che, nel weekend, sono avvenuti almeno 2.000 attacchi, collegati al ransomware lanciato da un gruppo di criminali informatici che potrebbe aver escogitato un nuovo metodo per eludere le difese delle vittime prese di mira”.

IL COMMENTO DI STEFANO FRATEPIETRO

“Parliamo della CVE-2021-21974, con patch disponibile dal 23 febbraio 2021! DUE ANNI FA! La vera news è che esistono ancora aziende che pubblicano direttamente su Internet un ESXi server. Quelle si che meriterebbero un documentario per comprendere i motivi di questa scelta così masochista” ha commentato sul suo profilo Linkedin Stefano Fratepietro, ceo di Tesla Consulting  e Chief Information Security Officer – Be Shaping the Future.

LE AZIENDE COINVOLTE

Secondo Zanero, in Italia è possibile stimare dalle venti alle trenta aziende teoricamente implicate, di cui ancora cinque nelle ultime ore, con il virus che, se insediato, blocca i sistemi e chiede un riscatto per tornarne in possesso: “In percentuale è qualcosa di veramente contenuto rispetto al monte delle imprese attive. Sfruttiamo questi momenti per accelerare la cultura della sicurezza informatica, senza eccessivi allarmismi”.

IL COMMENTO DELL’ESPERTO GIUSTOZZI SULL’ATTACCO HACKER

Dunque “C’è di mezzo una catena infinita di sciatteria e disinteresse per non aver fatto gli aggiornamenti dovuti… E per di più il software in questione può essere attaccato solo se esposto su Internet, cosa che andrebbe evitata. Chi è nei guai non dico che se li è andati a cercare ma di certo non si è mosso in tempo con le contromisure” dice con amarezza Corrado Giustozzi, divulgatore ed esperto di cyber-sicurezza, al Corriere della Sera.

LA NOTA DI PALAZZO CHIGI DOPO IL VERTICE DULL’ATTACCO HACKER

Intanto, Palazzo Chigi comunica al termine del vertice di questa mattina che “nel corso delle prime attività ricognitive compiute da Acn, unitamente alla Polizia Postale, non sono emerse evidenze che riconducano ad aggressione da parte di un soggetto statale o assimilabile a uno Stato ostile; è invece probabile l’azione di criminali informatici, che richiedono il pagamento di un ‘riscatto’”.

La nota aggiunge che “Il lavoro che ACN e Polizia postale stanno svolgendo in queste ore è anche quello di identificare tutti i soggetti potenzialmente vulnerabili, in modo da circoscrivere gli effetti negativi che potrebbero derivare non solo per i loro sistemi informatici, ma pure per la popolazione (si pensi alle ricadute relative al blocco del sistema di una ASL)”.

IN ARRIVO UN DPCM PER RACCORDO REGIONI-ACN

Inoltre, “Il Governo, dando seguito a quanto previsto dal DL n. 82/2021, adotterà tempestivamente un DPCM per raccordare il fondamentale lavoro di prevenzione delle Regioni con ACN”.

APERTURA TAVOLO ISTITUZIONALE

Nel contempo “la stessa Agenzia istituzionalizzerà un tavolo di interlocuzione periodica con tutte le strutture pubbliche e private che erogano servizi critici per la Nazione, a cominciare dai Ministeri e dagli istituti di credito e assicurativi” ha terminato Palazzo Chigi.

GIUSTOZZI: “NECESSARIA UNA NORMATIVA COME QUELLE PER I SEQUESTRI DI PERSONA NEGLI ANNI 70”

Ma queste misure potrebbero non bastare.

“Predicare belle cose non serve, perché non si fanno. C’è ancora una ignoranza clamorosa nelle aziende e nella Pubblica amministrazione sulla sicurezza informatica, che da troppi viene vista non come una componete strategica per la sopravvivenza stessa di queste realtà, ma come un qualcosa simile alle lampadine da sostituire o agli ascensori da aggiustare” ha aggiunto al Corriere Corrado Giustozzi.

Pertanto “serve una normativa che non si può ignorare, come è stato fatto per le norme antisismiche, quelle antincendio o di sanità pubbliche. E occorrerebbero norme come quelle per i sequestri di persona negli anni 70, che vietino o rendano difficile ai soggetti colpiti di pagare i riscatti, per non alimentare il circolo vizioso” ha concluso Giustozzi.

Back To Top