Anche nel 2017 sono stati i gruppi hacktivisti, con il 50% degli attacchi, la minaccia informatica più rilevante per quello che riguarda la Cyber Security in Italia, molto superiori al cyber spionaggio, che ha inciso per il 14%, ma anche a tutte quelle entità di difficile classificazione che hanno, comunque, effettuato intrusioni nei sistemi informatici. Azioni che vedono tra gli obiettivi sia soggetti pubblici che privati e che sono portati avanti, principalmente, con la diffusione di malware, ma anche attraverso SQL injection mentre crescono anche le attività prodromiche degli attacchi. Sono alcuni dei dati contenuti nell’allegato dedicato alla Cytber Security contenuto nel “documento per la sicurezza nazionale” redatto, come ogni anno, dal SISR, il sistema di informazione per la sicurezza della Repubblica.
Indice degli argomenti
Ecco i principali filoni della minaccia cyber
Il documento messo a punto dai servizi di sicurezza ha identificato due filoni principali per definire la minaccia Cyber nel 2017:
- il primo è riconducibile al ransomware che, utilizzando WannaCry, ha interessato, nel mese di maggio, centinaia di migliaia di computer a livello globale, bloccando l’operatività di ospedali, banche e aziende;
- il secondo va ascritto alle campagne di influenza che, prendendo avvio con la diffusione online di informazioni trafugate mediante attacchi cyber, hanno mirato a condizionare l’orientamento ed il sentiment delle opinioni pubbliche, specie nel momento della chiamata queste alle urne.
Cyber Security: ambiti e attori della minaccia informatica
Secondo l’analisi sarebbe stata anche la sempre maggiore diffusione degli strumenti di comunicazione elettronica e la digitalizzazione delle informazioni e dei processi a esporre maggiormente i target, tanto pubblici che privati, a partire dal singolo individuo fino ad arrivare alla più complessa organizzazione istituzionale o aziendale, alla minaccia informatica.
Tattiche, tecniche e procedure si sono caratterizzate per diversi livelli di capacità offensiva: dalla negazione di servizio alla violazione di sistemi ICT, attraverso operazioni, spesso silenti, finalizzate a compromettere risorse di cui assumere il controllo, così da acquisire i dati in esse contenute.
“A fronte di ciò – spiega il documento – il Comparto ha continuato ad assicurare, mediante dedicate manovre informative, la tutela delle infrastrutture critiche e degli asset strategici, specie in occasione di eventi di rilevanza internazionale, come il G7, tenutisi in territorio nazionale rispetto ai quali l’attività intelligence ha permesso di prevenire azioni ostili di matrice sia statuale che hacktivista”.
Tra le azioni anche quelle per la tutela del know how tecnologico del sistema Paese, che ha consentito di rilevare la presenza di vulnerabilità nei sistemi informativi di rilevanti imprese italiane, suscettibili di esporle ad azioni sia di spionaggio digitale, sia miranti a bloccarne i sistemi e, di conseguenza, l’attività.
Cyber terrorismo, la web strategy di Daesh
Per quanto riguarda il cyber terrorismo, spiega il documento, le sconfitte territoriali progressivamente subite dal Califfato hanno costretto Daesh ad implementare una web-strategy per mantenere una certa visibilità, funzionale a proseguire, almeno sul piano virtuale, l’opera di proselitismo, radicalizzazione e reclutamento di nuove leve.
In quest’ottica, è continuata la diffusione di materiale informativo-propagandistico attraverso bot, strumenti automatizzati che hanno consentito sia di accelerare e amplificare la disseminazione di notizie rilasciate dai tradizionali media center jihadisti, sia di distribuire massivamente link che hanno reindirizzato la navigazione verso piattaforme per lo storage temporaneo di contenuti elaborati da Daesh o dai suoi simpatizzanti.
Sanità, ambiente, banche e lavoro nel mirino degli hacktivisti
Il documento elaborato punta poi l’attenzione sulle attività dell’hacktivism che sono state prevalentemente orientate alle istanze di contestazione politica e sociale (sanità pubblica, tutela ambientale, occupazione e crisi del settore creditizio) “assonanti con quelle dell’antagonismo reale, quale forma di sostegno alle manifestazioni di piazza”.
“Il modus operandi adottato ha previsto, innanzitutto, attività preliminari di scansione di vulnerabilità per successivi accessi abusivi in modalità SQL Injection finalizzati all’esfiltrazione di dati da piattaforme web, resi, poi, di pubblico dominio, o offensive di negazione del servizio”.
Tutti i numeri della cyber minaccia
Prosegue, anche nel 2017 il trend che vede nei gruppi hacktivisti la minaccia più rilevante in termini percentuali, con il 50% degli attacchi a fronte del 14% riferibili a gruppi di cyber-espionage. Entrambe le categorie hanno fatto registrare una flessione (rispettivamente, pari al -2% ed al -5%), a fronte di un aumento degli “attori non meglio identificati”, che si sono attestati al 36% delle incursioni cyber. In merito, poi, ai gruppi islamisti, il 2017, a differenza degli anni precedenti, non ha fatto registrate in direzione di target italiani azioni così significative da essere prese in considerazione in questa analisi.
Quanto ai dati in base ai target è diminuito, in maniera rilevante, il divario tra le azioni perpetrate nei confronti di soggetti pubblici, che hanno continuato a costituire la maggioranza con il 56%, e quelle in direzione di soggetti privati, che hanno raggiunto il 44%, registrando un aumento di 17 punti percentuali. Sintomo, questo, di una sempre maggiore consapevolezza dei rischi cyber e del conseguente aumento delle capacità di rilevazione e di un maggiore information-sharing.
Per i privati i dati segnalano un chiaro incremento degli incidenti registrati da quasi tutti i principali settori, ad eccezione di quello bancario (-11%). È stato rilevato un notevole incremento di eventi che hanno interessato l’industria farmaceutica (+10% rispetto al 2016), obiettivo della campagna “OpSafePharma”, di matrice hacktivista. Seguono gli operatori energetici (+4%) e della difesa (+1%). Da evidenziare anche il ritorno di attacchi contro i settori delle telecomunicazioni (20%) e dei trasporti (6%) e quelli contro una “new entry”, rappresentata dalla grande distribuzione organizzata (3%).
Per quanto riguarda le tipologie di attacco, rispetto al 2016 la diffusione di software malevolo ha conosciuto un incremento di 19 punti percentuali, attestandosi al 30% degli eventi registrati, benché vi sia stato un sostanziale allineamento con l’SQL Injection (28% del totale; stabile rispetto all’anno precedente). In aumento sono risultate anche le attività prodromiche ad un attacco mentre sono in diminuzione i Web-defacement (-8%) ed i Distributed Denial of Service (-9%).
