AGGIORNAMENTO: In merito alla notizia dell’attacco hacker, Netsons srl precisa che detti attacchi non hanno interessato i propri servizi, in particolare quelli gestiti ed erogati in modo diretto (servizi managed). Gli Ip specificati nell’elenco riguardano server gestiti autonomamente da clienti (servizi unmanaged) i quali, dunque, hanno la responsabilità della gestione della sicurezza informatica.
L’attacco hacker che ha colpito il mondo, e anche l’Italia, probabilmente non è opera della Russia o di qualche altro Paese nemico, bensì di un gruppo di criminali informatici che è riuscito a mettere sottosopra alcuni dei più protetti e inviolabili servizi web nazionali e internazionali.
La vicenda è in corso da giorni, ma è esplosa mediaticamente in Italia solo nella tarda serata del 5 febbraio. A oggi sappiamo che, dei 1.682 server infiltrati, quasi la metà, pari a 528, erano localizzati in Francia, l’altra metà tra Germania (273) e Stati Uniti (235). Per quanto riguarda noi, l’Italia ha subito attacchi soltanto a 19 server ed è, fortunatamente, tra i Paesi meno colpiti.
Cosa sappiamo del cyberattacco
L’aggressione informatica, emersa già dalla serata del 3 febbraio 2023, era stata individuata dall’Acn, l’Agenzia per la Cybersicurezza Nazionale, come risalente addirittura a febbraio 2021, tanto che allora la stessa Agenzia aveva allertato tutti i soggetti sensibili perché adottassero le necessarie misure di protezione. Sulla vicenda è intervenuto direttamente il Governo, che in una nota ufficiale ha rassicurato che l’attacco hacker non ha causato danni alle infrastrutture informatiche della Penisola.
“La riunione tenuta stamane a Palazzo Chigi, coordinata dal sottosegretario con la delega alla Cybersecurity Alfredo Mantovano, ha consentito di capire che quanto accaduto, pur gravissimo, non ha causato danni all’Italia: nel nostro Paese nessuna istituzione dello Stato né alcuna azienda che opera in settori critici per la sicurezza nazionale è stata colpita”, si legge nel comunicato.
Scrive il Governo che quello che è successo è “come se a febbraio 2021 un virus particolarmente aggressivo avesse iniziato a circolare, le autorità sanitarie avessero sollecitato le persone fragili a una opportuna prevenzione, e a distanza di tempo fossero emersi i danni alla salute per chi a quella prevenzione non avesse ottemperato”.
Rispetto ai livelli di protezione suggeriti già due anni fa, “taluni dei destinatari dell’avviso hanno tenuto in debita considerazione l’avvertimento, altri no e purtroppo oggi ne pagano le conseguenze”, dichiara Palazzo Chigi, che raccomanda a tutte le realtà coinvolte di intensificare le misure di prevenzione possibili, mettendosi subito in contatto con l’Acn.
Acn e Polizia Postale stanno indagando su quanto accaduto: dalla prime ricostruzioni non sono state trovate prove che riconducano a un’aggressione da parte di un Paese ostile come la Russia di Vladimir Putin. L’opzione più probabile è invece l’azione di criminali informatici, che chiedono il pagamento di un riscatto.
Gli esperti informatici stanno anche cercando di identificare tutti i soggetti potenzialmente vulnerabili, in modo da circoscrivere gli effetti negativi che potrebbero derivare non solo per i loro sistemi informatici, ma anche per noi cittadini. In Francia e Germania, ad esempio, sono stati colpiti massicciamente i server di ospedali e ambulatori, con evidenti ripercussioni sui servizi alle persone.
L’elenco dei server italiani colpiti
Ad essere colpiti sono stati server che non avevano eseguito aggiornamenti dal 23 febbraio 2021, data in cui il software VMware Esxi era diventato vulnerabile.
Ma quali sono i 19 server italiani presi di mira? Secondo quanto ricostruito da Repubblica “sulla base di informazioni ritenute attendibili”, scrive il giornale, si tratterebbe di server sparsi su e giù per l’Italia. Ecco l’elenco, con città, regione, server e titolare (dove non indicato il titolare è perché risulta sconosciuto):
- Basiano – Lombardia – Irideos Spa – KPNQwest Italia S.p.a.
- Pescara – Abruzzo – Netsons s.r.l. – Netsons s.r.l. (*vedi aggiornamento in testa all’articolo)
- Pozzuoli – Campania – Vodafone
- Rende – Calabria – INTERBUSINESS
- Lagonegro – Basilicata – Fastweb Networks
- Milano – Lombardi – Seflow S.N.C. Di Marco Bramé &C. – Seflow
- Mazara del Vallo – Sicilia – Speed-net S.R.L – Speednetsrl
- Milano – Lombardia – SoftLayer – SoftLayer Technologies, Inc
- Pescara – Abruzzo – Netsons s.r.l – Netsons s.r.l. (*vedi aggiornamento in testa all’articolo)
- Arezzo – Toscana – Aruba S.p.A. Network – Aruba S.p.A.
- Roma – Lazio – INTERBUSINESS – Sistemi Avanzati srl
- Arezzo – Toscana – Aruba S.p.A. – Aruba S.p.A.
- Pomigliano d’Arco – Campania – THREEMINDS
- Daverio – Lombardia – 11-xDSL-CUST STATIC Aruba S.p.A. Network – InternetONE SRL
- Arezzo – Toscana – Aruba S.p.A. Network – Aruba S.p.A.
- Pescara – Abruzzo – Netsons s.r.l – Netsons s.r.l. (*vedi aggiornamento in testa all’articolo)
- Pescara – Abruzzo – Netsons s.r.l – Netsons s.r.l. (*vedi aggiornamento in testa all’articolo)
- Selci – Lazio – StiAdsl srl – StiAdsl
- Verona – Veneto – DIGISAT Main.
“A parte il caso dei tre server di Aruba, nessuno di questi nomi, a prima vista, sembra collegabile a gestori di massicce quantità di dati in Italia, né di dati di interesse strategico o particolarmente sensibile” fa sapere Repubblica. Aruba ha comunque dichiarato che i suoi tre server infiltrati sono “gestiti in totale autonomia da clienti”.
A questi server i criminali informatici hanno chiesto il pagamento di un riscatto pari a 2 bitcoin – pari a circa 39.370 euro – per avere la chiave di decrittazione che dovrebbe consentire ai titolari dei dati esfiltrati di tornare a utilizzarli.
Oltre a questi, anche l’Università Federico II di Napoli ha fatto sapere di essere stata colpita dall’attacco hacker, ma dalle verifiche effettuate già da sabato, in seguito alla segnalazione, “non abbiamo evidenza di compromissioni dei siti istituzionali”, come spiega l’ateneo in una nota ufficiale. “Si è comunque provveduto alla verifica dell’installazione della patch, per aumentare la sicurezza, su tutti i sistemi gestiti dal Csi, il Centro di Ateneo per i Servizi Informativi, che sono peraltro protetti da firewall, dispositivo per connessioni in sicurezza, e su classi di indirizzo non raggiungibili dall’esterno”.
Il governo Meloni contro gli hacker
A fronte del cyberattacco, il Governo ha annunciato ora che adotterà immediatamente un Dpcm per favorire il raccordo di lavoro di prevenzione delle Regioni con Acn.
Sarà anche istituzionalizzato un tavolo di Acn con un confronto periodico con tutte le strutture pubbliche e private che erogano servizi critici per il nostro Paese, a cominciare dai ministeri, dalle banche e dalle assicurazioni. L’obiettivo è rafforzare i sistemi, anche in vista dell’ultima ondata di attacchi hacker russi che hanno colpito l’Italia.
