Una mappa per fermare gli hacker russi. L’Agenzia per la cybersicurezza nazionale (Acn) esce allo scoperto e lancia l’alert. L’attacco cyber sferrato da attori russi che mercoledì ha colpito i siti di importanti istituzioni italiane è solo la punta dell’iceberg.

L’iceberg ha fondamenta profonde ed è ben visibile in un documento pubblicato questo venerdì dallo Csirt (Computer security incident response team), il centro di monitoraggio degli incidenti cibernetici dell’Agenzia guidata dal direttore Roberto Baldoni e dalla vicedirettrice Nunzia Ciardi. È una lista di 71 vulnerabilità, individuate tra un totale di oltre 170mila Cve (Common vulnerabilities exposures) note a partire dal 1999, che devono essere patchate (cioè “aggiustate”) immediatamente.

L’urgenza è assoluta: si tratta infatti di porte di accesso che potrebbero facilitare nell’immediato il lavoro ad hacker riconducibili alla Federazione russa. “Considerando anche la recrudescenza delle campagne di attacco degli ultimi giorni sui siti nazionali rivendicati da attori di matrice russa e il possibile passaggio a campagne di attacchi più complesse ­– è l’incipit del documento – le vulnerabilità elencate nella lista “dovrebbero essere risolte con urgenza e in via prioritaria all’interno di un processo di gestione del rischio da parte degli operatori più esposti, inclusi i gestori di infrastrutture critiche”. La maggior parte delle Cve elencate, prosegue, “sono sfruttate dagli attori malevoli per ottenere l’accesso iniziale ai sistemi target e sono relative prevalentemente a servizi infrastrutturali, di accesso remoto o di networking”.

Nulla a che vedere con l’attacco che ha colpito i siti delle istituzioni italiane mercoledì. La mappa dell’Acn elenca infatti vulnerabilità quasi tutte critiche, che permettono agli hacker di penetrare nei sistemi operativi della vittima e “muoversi lateralmente all’interno dell’infrastruttura”. Un pericolo ben più grave.

Sono 17 le aziende i cui prodotti vengono elencati nella lista, la maggior parte americane. In cima c’è Microsoft, con ben 40 prodotti che presentano vulnerabilità: soprattutto Windows, ma anche Office ed Exchange Server. Segue sul podio VMware, l’azienda provider di servizi multi-cloud con sede a Palo Alto. E poi ancora Cisco, Oracle, SonicWall. Tra le vulnerabilità segnate come “critiche” alcune colpiscono sistemi noti, come Log4J, la libreria Java di Apache su cui l’Acn ha lanciato un allarme questo autunno.

La mappatura dell’agenzia non ha precedenti in Italia e ne ha pochi all’estero. Nasce dall’analisi di 18 campagne di attribuzione che hanno portato all’individuazione di “attori malevoli legati alla Federazione russa”. Dietro la caccia ai responsabili, spiegano addetti ai lavori a Formiche.net, c’è soprattutto la mano del governo americano e inglese oltre che il contributo di alcuni vendor occidentali. La lista è stata inviata giovedì ai soggetti che rientrano nel “Perimetro cyber”, l’elenco di attori pubblici e privati che svolgono servizi essenziali per lo Stato e sono sottoposti a una rete di controlli di sicurezza coordinata dall’agenzia.

È stata poi resa pubblica, per necessità. La vera tempesta deve ancora arrivare e l’attacco di mercoledì potrebbe essere solo un assaggio. Un timore ben presente ai vertici dell’Acn e non solo per i messaggi Telegram con cui gli hacker che hanno rivendicato l’incursione di due giorni fa, parte del collettivo Killnet, stanno minacciando l’Italia.

Ad attacchi Ddos potrebbero infatti far seguito campagne di malware ben più pericolose, con il ragionevole sospetto che ci sia una regia coordinata dietro l’aggressione alle infrastrutture italiane e non, come sembrano voler indicare gli hacker russi, un gruppo di giovani alle prime armi. Di qui la necessità di aumentare la resilienza complessiva del sistema “tappando” le falle prima che sia tardi. E l’indicazione nel documento di una serie di misure di mitigazione da adottare “in via prioritaria” per intervenire.

Il documento dell’Agenzia segna un precedente notevole. Chi conosce il mondo della cybersecurity sa infatti che l’attribuzione è la parte più complessa nella risposta agli attacchi. Individuare con certezza il soggetto privato o lo Stato responsabile di una campagna è un’impresa, e questo fa del dominio cibernetico un pericoloso, anonimo campo di battaglia.

Ma la guerra russa in Ucraina ha cambiato le regole del gioco anche qui. Accompagnata da un’altra guerra, silenziosa ma non meno insidiosa, che ha messo in allerta le infrastrutture di sicurezza italiane ben prima dell’invasione. Già dal 14 gennaio infatti l’Agenzia ha notato un picco di attività ostile in parte riconducibile ad attori russi. È una curva destinata a impennarsi e la mappatura pubblicata può dare una mano decisiva per fermarla in tempo.