Per tre anni, dal 2013 al 2016, la rappresentanza italiana a Bruxelles è stata vittima di un furto continuo di dati sensibili per mano di gruppi di hacker russi e cinesi. È quanto riporta Repubblica oggi, che in un pezzo di Floriana Bulfon ricostruisce il bottino depredato all’intelligence italiana: dai dossier sugli interessi italiani in Tripolitania ai negoziati per il raddoppio del gasdotto Nord Stream, passando per i dettagli dell’incontro fra l’allora premier Matteo Renzi e il presidente iraniano Hassan Rouhani e la scoperta targata Eni di un enorme giacimento di gas nel Mediterraneo. 1760 messaggi rubati alla rappresentanza guidata oggi dall’ambasciatore Maurizio Massari.
Sembrerebbe la conferma di una falla del sistema di cybersecurity delle autorità italiane che Repubblica aveva denunciato ieri. In particolare gli autori del pezzo, Fabio Tonacci e Marco Mensurati, hanno rivelato la debolezza della difesa dell’esercito italiano, che dal 2004 si è munito del programma Akab, un sistema che non è più aggiornato da due anni perché l’azienda italiana che lo ha brevettato, la Araknos Srl, è fallita nel 2015. Accuse che ieri lo Stato Maggiore della Difesa aveva respinto con un comunicato. “Non esiste alcun rischio di compromissione di dati e informazioni di natura riservata” si legge sul sito online. L’obsolescenza del software non sarebbe un problema siccome “si sta già provvedendo alla sua sostituzione nel pieno rispetto dei tempi tecnico amministrativi necessari”.
Ma chi sono i responsabili dell’attacco hacker alla diplomazia italiana? Secondo gli analisti consultati da Repubblica, si tratterebbe di due gruppi: i russi dell’Apt28, che avrebbero iniettato il virus “Uroburos”, ma anche i gruppi cinesi K3Chang e Zegost. Quanto ai russi, non si tratta di un nome nuovo all’intelligence internazionale che combatte il cybercrimine. Fu lo stesso collettivo a mettere sotto scacco il sistema informatico della Casa Bianca nell’ottobre del 2014. E a rubare dati ai ministeri italiani degli Esteri e della Difesa dall’ottobre 2014 al maggio del 2015, quando furono sottratte informazioni classificate sugli F35 o sulla base NATO di Souda Bay a Creta, come riportò Emanuele Rossi in un approfondimento per Formiche.net.
Conosciuti in altri Paesi sotto i nomi di Pawn Storm, Sofacy, Fancy Bear e Sednit, gli hacker russi sono considerati vicinissimi alle autorità di intelligence del Cremlino (GRU). Un rapporto del 2014 della società FireEye confermava questi dubbi, dal momento che dal 2007, anno in cui il collettivo ha iniziato a operare, i malaware sono stati quasi sempre scritti in russo e compilati nella zona UTC +4, fascia oraria che include città come Mosca e San Pietroburgo. Tra i colpi più rilevanti assestati recentemente, riporta Forbes, l’attacco a un giornalista critico del Cremlino, David Satter. Il 7 ottobre del 2016, gli hacker entrarono nella sua mail e modificarono un rapporto che aveva inviato al Fondo Nazionale per la Democrazia, un’ong statunitense che monitora la democrazia all’estero. Il rapporto fu alterato con informazioni false in modo da far sembrare Satter un sabotatore del Cremlino.
L’Apt28 è inoltre ritenuto responsabile dell’intromissione nelle mail di John Podesta, capo della campagna presidenziale di Hillary Clinton. Il modus operandi è quasi sempre lo stesso. Si tratta del phishing: emails inviate per cambiare una password, che una volta aperte consegnano l’account del malcapitato nelle mani degli hackers.
Per quanto riguarda il gruppo di hacker cinesi conosciuto come Ke3Chang, è di nuovo un rapporto della FireEye a svelarne i retroscena. Attivi almeno dal 2010, gli hacker hanno una vera preferenza per i ministeri degli Esteri. Fu il caso di un attacco a cinque ministeri europei alla vigilia del G20 di San Pietroburgo del 5-6 settembre 2013. La tattica adoperata fu anche in questo caso quella del phishing, utilizzando tre tipi diversi di malaware: “Bs2005”, “BMW”, e “MyWeb”. Attraggono le vittime con delle “esche” inviate per email: nel 2011 la loro campagna di attacchi “snake” fece uso di foto di Carla Bruni nuda, nel 2012 la campagna “dream/dolphin” fece vittime diffondendo link con false informazioni sui giochi olimpici.
Più difficile trovare informazioni sul web sul collettivo cinese Zegost. Secondo la Zscaler, società statunitense di cybersecurity che opera su scala globale, più che di un gruppo, si tratterebbe di un malaware, il Zegost Backdoor Trojan, iniettato da hacker cinesi. Fu quanto accadde nel luglio del 2015, quando alla società italiana Hacking Team con base a Milano che vende ai governi servizi di sorveglianza, fu sottratto un software e più di 400 giga di dati. La notizia fece scalpore perché gli hackers erano entrati nel sistema tramite Adobe Flash: Facebook chiese alla Adobe di disatttivare il programma, mentre Mozilla decise di disattivare Adobe Flash per navigare online su Firefox.
La Farnesina ha pubblicato una nota per chiarire gli avvenimenti riportati da Repubblica, definendoli “eventi passati e ben noti”. “Nessun segreto, dunque, è stato sottratto alla Farnesina”, dal momento che, garantiscono dal ministero degli Esteri, le informazioni segrete della diplomazia italiana, missione diplomatica a Bruxelles inclusa, viaggiano “su sistemi di comunicazione altamente protetti e sottoposti a codici crittografici di accesso, che risultano pienamente integri e inviolati”.
Dal ministero non sminuiscono però la gravità della violazione degli hacker effettivamente avvenuta: la sicurezza cybernetica “costituisce uno degli impegni prioritari del Governo” e da alcuni mesi è in corso “un’indagine della magistratura, competente ad accertare i profili di responsabilità penale, cui i tecnici della Farnesina stanno prestando ogni possibile assistenza”.
