Gli attacchi alle infrastrutture critiche informatizzate del Paese rilevati dal Servizio Polizia postale e delle comunicazioni, guidato da Ivano Gabrielli, sono aumentati del 138% nel corso del 2022 rispetto all’anno precedente. È quanto emerge dal Resoconto attività 2022 della Polizia postale e delle comunicazioni e dei Centri operativi sicurezza cibernetica.

La ragione? Le tensioni geopolitiche legate all’invasione russa dell’Ucraina, un elemento centrale nel panorama cyber come ha spiegato nei giorni scorsi Pierluigi Paganini, amministratore delegato di Cybhorus, a Formiche.net.

Gli attacchi alle infrastrutture critiche nel 2021 erano stati 5.434; nel 2022, invece, 12.947 (dati rilevati il 27 dicembre scorso). In aumento del 78% anche le persone indagate (da 187 a 332); del 2% gli alert diramati (110.524 contro 113.226); del 28% le richieste di cooperazione gestite dall’ufficio del punto di contatto Htc, la “rete” per le emergenze cibernetiche istituita dalla convenzione di Budapest (la più importante struttura di cooperazione internazionale e per il contrasto alle attività criminali).

“Nell’attuale e particolare contesto internazionale, l’escalation delle tensioni geopolitiche connesse al conflitto in Ucraina continua ad avere significativi riverberi anche in materia di sicurezza cibernetica”, si legge nel rapporto. “Risultano, infatti, in corso campagne massive a livello internazionale dirette verso infrastrutture critiche, sistemi finanziari e aziende operanti in settori strategici quali comunicazione e difesa, tra le quali figurano campagne di phishing, diffusione di malware distruttivi (specialmente ransomware), attacchi Ddos, campagne di disinformazione e leak di database. Inoltre, alcuni tra i più pericolosi gruppi di hacker criminali hanno deciso di schierarsi a favore della Russia, altri con l’Ucraina, prendendo di fatto parte al conflitto nel cosiddetto dominio cibernetico”, continua.

La guerra in Ucraina ha comportato “una recrudescenza nell’attività di attori ostili”: attacchi ransomware, per paralizzare servizi e sistemi critici mediante la cifratura dei dati contenuti); campagne DDoS, per sabotare la funzionalità di risorse online; attacchi di tipo Atp (Advanced persistent threat), condotti da attori ostili di elevato expertise tecnico, in grado di penetrare i sistemi più strategici mediante tecniche di social engineering o sfruttamento di vulnerabilità, al fine di garantirsi una persistenza silente all’interno dei sistemi a scopo di spionaggio o successivo danneggiamento).

La proliferazione di gruppi ostili, si legge ancora, si è attuata poi mediante il ricorso a crew hacker di crime as a service, ordinariamente attive nel fornire supporto tecnologico ad attori criminali ed oggi sempre più contigue a gruppi di ascendenza statuale. Il Servizio polizia postale ha implementato l’attività informativa e di monitoraggio ad ampio spettro, esteso anche al dark web, attivando canali di diretta interlocuzione dedicati allo scenario in atto con Europol, oltre che con Interpol ed Fbi, con l’obiettivo di elevare il livello di attenzione con particolare riguardo al settore economico/finanziario, tradizionalmente oggetto di interesse da parte di compagini criminali con connotazione state sponsored.

Il Centro nazionale anticrimine informatico per la protezione delle infrastrutture critiche (Cnaipic), attraverso dedicati alert ha diffuso indicatori di compromissione e avvisi di informazione di sicurezza alle infrastrutture informatiche dicasteriali, alle infrastrutture critiche nazionali e ai potenziali target di azioni ostili, individuati attraverso la permanente attività informativa assicurata dal Centro, spiega il rapporto. I Centri operativi per la sicurezza cibernetica della Polizia postale hanno svolto adeguati servizi di monitoraggio e analisi, condividendo ogni evidenza utile in relazione al quadro internazionale in parola. L’attività del Cnaipic del Servizio Polizia Postale e delle Comunicazioni, oltre agli approfondimenti investigativi, si è tradotta nell’analisi tecnica della minaccia, volta all’elaborazione di informazioni di sicurezza preventiva, nonché nel supporto operativo alle infrastrutture attaccate, che hanno contribuito al ritorno alla piena operatività dei sistemi informatici colpiti, conclude il documento.