Un assalto cibernetico in piena regola, mirato ad appropriarsi dei più riservati piani militari dell’Alleanza Atlantica. È questa la ricostruzione di un attacco subìto nel tempo dal ministero della Difesa italiano, al centro di una vasta offensiva informatica che avrebbe colpito anche altri Paesi e che – secondo le rivelazioni di oggi di Repubblica – sarebbe stata condotta dall’Apt28, un noto gruppo di hacker russi legati ai vertici di Mosca. Una nota diffusa nel pomeriggio dallo Stato maggiore della Difesa minimizza, precisando che “nessun dato sensibile è stato compromesso”. Ma la notizia accende ancora di più i riflettori sull’aggressività russa su Internet, denunciata in questi giorni dal numero uno della National intelligence americana James Clapper.
I DETTAGLI DELL’ATTACCO
“Dall’ottobre del 2014 al maggio del 2015”, scrivono oggi Marco Mensurati e Fabio Tonacci, “un flusso continuo di notizie riservate è stato dirottato sui server dei pirati dietro i quali, secondo attendibili ricostruzioni di intelligence, ci sarebbe direttamente il Cremlino”. La chiave per entrare nella Difesa sarebbe stato “il furto informatico delle credenziali di un funzionario di una base militare, preso di mira appositamente con tecniche di phishing e utilizzando malware di ultima generazione”. Semplice ipotizzare che si tratti dello stesso caso, allora ancora poco dettagliato, raccontato dal Giornale a maggio dell’anno scorso e ricostruito allora da Formiche.net.
L’attacco sarebbe stato scoperto solo “una sera di maggio di un anno fa, quando si diffonde la notizia che il ministero della Difesa e un altro importante dicastero (gli Esteri) sono stati oggetto di un assalto cibernetico. La gravità dell’attacco è subito chiara. Tanto che la prima reazione di via Venti Settembre è quella di spegnere l’intera rete informatica… Dichiarato lo stato di crisi, negli uffici dello Stato maggiore si susseguono riunioni ai massimi livelli, alle quali viene convocato anche il generale Carlo Magrassi, allora consigliere per la sicurezza di Palazzo Chigi. E vengono chieste spiegazioni a Selex, la società di Finmeccanica responsabile della integrità dei server”.
Oggi stesso, nel primo pomeriggio, un comunicato dello Stato maggiore della Difesa guidato dal generale Claudio Graziano prova, come da prassi, a tranquillizzare sugli esiti degli attacchi: “In riferimento alle notizie di stampa riportate in data odierna circa l’attacco subito dai server del Ministero della Difesa, lo scorso anno, da parte di presunti hacker” – spiega la nota – si precisa che nessun dato sensibile è stato compromesso. Nella circostanza la Difesa ha prontamente rilevato la minaccia e ha attuato con successo le attività di contrasto all’azione ostile. L’attacco ha interessato solo alcuni sistemi non classificati, aperti ad internet, su cui non vengono gestite informazioni sensibili. I sistemi protetti, contenenti informazioni riservate, non sono stati coinvolti dalla minaccia”.
L’Italia, aggiungono Mensurati e Tonacci, non sarebbe però l’unico Paese interessato da queste intrusioni, che avevano invece mire molto più alte. “Secondo quanto è stato possibile ricostruire fino ad oggi”, rivela il quotidiano diretto da Mario Calabresi, “l’aggressione digitale” è infatti “solo una parte di un piano molto più esteso che coinvolge Francia, Belgio, Lussemburgo e altri paesi occidentali, e ha come obbiettivo ultimo la Nato” (avvalorato dal fatto che “alcuni computer della Difesa sono connessi con quelli della Nato, e gli hacker avrebbero potuto usare l’Italia come porta d’accesso ai segreti militari e strategici del Patto Atlantico”).
GLI OBIETTIVI
Difficile non pensare – sottolineano i due giornalisti di Repubblica citando due report di riferimento di altrettanti colossi della cyber security, Fire Eye e Bitfinder -, che un simile attacco non sia collegato alle tensioni ucraine dopo l’annessione russa della Crimea e i disordini nell’Est, all’allargamento dell’Alleanza Atlantica (definita da Mosca nemico numero uno nella dottrina militare russa del 2014) e persino con quanto accade in Siria. Senza trascurare la possibilità che il Cremlino volesse anche appropriarsi del più avanzato know how tecnologico.
IL COLLEGAMENTO CON MOSCA
La “prova regina del collegamento con il Cremlino”, rimarcano ancora Mensurati e Tonacci, “è la scelta degli obbiettivi e le informazioni esfiltrate”. Dal 2007 ad oggi “sono stati attaccati da Apt 28 i ministeri della Difesa e degli Esteri della Georgia, un giornalista che stava scrivendo della questione del Caucaso, ed esponenti politici di primo piano di praticamente tutti i Paesi dell’Est Europa”.
Stando al contenuto di uno dei report citati, “tra il 10 febbraio e il 14 febbraio dello scorso anno, proprio mentre era in corso l’attacco all’Italia e alla Nato, gli hacker di Apt 28 hanno scansionato otto milioni e mezzo di ip per cercare possibili vulnerabilità. In quei giorni – osservano gli analisti – a Minsk, i leader di Bielorussia, Russia, Germania, Francia e Ucraina, stavano partecipando a un summit per discutere il cessate il fuoco nella regione nell’est dell’Ucraina Donbass”. Mentre in Belgio, secondo due fonti sentite dal giornale romano, “gli hacker hanno fatto i danni veri. In particolare, viene intercettato il cablo con cui il Pentagono chiedeva agli alleati copertura strategica per la base di Souda Bay, a Creta”. Non una base qualsiasi, ma “il punto di riferimento statunitense per il Medio Oriente, l’occhio che monitora la situazione della Siria e dell’Iraq, nonché i movimenti della base russa a Tartus, in Siria”.
Per entrambi i documenti, sia quello di Fire Eye sia quello di Bitfinder, “il vero sogno” per Apt28, sin dal 2007, sarebbe stato “bucare il perimetro” dell’Alleanza Atlantica. A testimoniarlo ci sarebbe il fatto che “nel web esistono numerosi domini registrati dalla crew che imitano o copiano i nomi e le sigle delle varie istituzioni riconducibili alla Nato. Da quei domini sono partiti molti attacchi nel tempo, alcuni dei quali volti a esplorare le nuove tecnologie che gli americani avevano montato sui caccia F-35 per integrare le dotazioni dei T-50 russi”.
I PRECEDENTI
Non è la prima volta che i piani di pirati informatici di Mosca ai danni della Nato trovano spazio sulla stampa. Ad ottobre del 2014, raccontò Formiche.net, fu la società di cyber intelligence iSight Partners a scoprire che un gruppo di hacker russi aveva sfruttato una vulnerabilità nel sistema operativo di Microsoft, Windows, per prelevare dati dai computer della Nato, dell’Ue, dell’Ucraina e di aziende del settore energia e Tlc. La società specializzata in sicurezza informatica accertò allora incursioni nei sistemi di una telco francese, di una utility polacca e di un think tank americano, ma la lista sarebbe stata, in realtà, molto più lunga.
(foto: Ministero della Difesa)
