skip to Main Content

Le ultime cyber minacce alla Pubblica Amministrazione in Italia

Gli esperti di cybersecurity del Cert-AgID illustrano il panorama delle minacce cibernetiche all’Italia e in particolare alla Pubblica Amministrazione. Allo stesso tempo, però, ribadiscono che la cooperazione e la consapevolezza sono le armi di difesa migliori

Gli esperti di cybersecurity del Cert-AgID hanno illustrato a Difesa e Sicurezza l’attuale panorama di cyber minacce per l’Italia e in particolare per la Pubblica Amministrazione (PA). Non c’è solo il cybercrime, ma anche attori mossi da motivazioni politiche, spie e sabotatori. La situazione, peraltro, è peggiorata con l’arrivo del Covid-19. Combatterli, però, si può. Sia aumentando la consapevolezza delle minacce dei pericoli sul territorio nazionale sia diffondendo gli IoC, che permettono di migliorare le protezioni. In questo contesto, la collaborazione tra attori, anche del settore privato e della community Infosec, si sta dimostrando strategica. Ecco cosa ci hanno raccontato:

Gli aggressori che prendono di mira l’Italia sono mossi da scopi differenti: dal cybercrime al cyber espionage, ai sabotatori. Il Covid-19 ha poi visto l’intensificarsi di attacchi mirati contro strutture pubbliche o società private a esse collegate

“La cybersecurity, soprattutto legata alla Pubblica Amministrazione, è diventata un tema centrale oggi in Italia. Come si sta evolvendo il panorama di minacce nel nostro paese? “Un po’ come accade in molti altri Paesi del mondo, anche il nostro è costantemente sotto minaccia e la Pubblica Amministrazione è ancora oggi tra i target preferiti dagli aggressori. Questi sono mossi da scopi differenti che vanno dalle motivazioni politiche a quelle di bieco guadagno economico, fino al sabotaggio ed il furto di dati sensibili e proprietà intellettuali. Gli attacchi mirati verso strutture pubbliche specifiche, o società private ad esse collegate, si sono particolarmente intensificati in questa delicata fase delicata di pandemia, che ha condizionato le nostre abitudini e le modalità lavorative”.

Anche le tecniche di social engineering si sono affinate

“Le tecniche di social engineering si sono affinate notevolmente e per un occhio non allenato diventa complicato distinguere una comunicazione reale vera da una falsa; soprattutto se il messaggio arriva da un indirizzo email reale (a maggior ragione una PEC) afferente a una PA, una un’azienda o una persona alla quale sono state sottratte le credenziali di accesso in un precedente attacco”.

A peggiorare lo scenario, contribuisce la compravendita delle informazioni nel fiorente mercato nero, provenienti soprattutto dai data leak

“A peggiorare lo scenario contribuisce la compravendita delle informazioni nel fiorente mercato nero che per gran parte comprende credenziali di accesso provenienti da recenti data leak oppure di informazioni esfiltrate sfruttando malware di tipo infostealer (software malevolo che cerca di rubare le informazioni). Se a questo si aggiunge che tale mercato ha trovato terreno fertile nel (non troppo) profondo web e che di recente si è palesato in specifici gruppi e canali Telegram, se ne profila un quadro per nulla confortante”.

C’è, infine, una forte crescita del Malware as a Service (MaaS)

“Inoltre, il frequente uso di Malware as a Service (MaaS) – osservato anche in recenti eventi che hanno coinvolto la PA – mette in luce un ulteriore mercato in forte crescita che delinea l’inizio di un fenomeno inquietante sul panorama delle campagne malware, dove criminali sempre meno capaci hanno la possibilità di condurre campagne malevole fruttuose grazie alla disponibilità di strumenti pronti e facili da usare”.

Il Cert-AgID va a caccia dei malware che puntano all’Italia, ma non è solo. Coopera anche con la comunità di ricercatori, con la società civile e con le amministrazioni

Uno dei pericoli più concreti per tutti è rappresentato dai malware. Come si scovano? “Una delle attenzioni su cui il Cert-AgID è focalizzato riguarda proprio lo studio e la diffusione di informazioni utili a contrastare i malware che interessano l’Italia. Riuscire a scovarli tutti operando autonomamente è impresa praticamente impossibile ma con l’aiuto fattivo della comunità italiana di ricercatori malware, con il contributo dato dalle segnalazioni provenienti da società private e le notifiche spontanee di qualche pubblica amministrazione, il tutto unito all’utilizzo di piattaforme e sistemi di rilevamento progettati e realizzati internamente, si riesce a censire la maggior parte delle famiglie di malware che circola nel nostro Paese”.

Combattere efficacemente questa minaccia è possibile con la cooperazione e la consapevolezza

“Il fine ultimo è quello di aumentare la consapevolezza delle minacce in circolazione nel nostro panorama nazionale e di diffondere opportunamente gli indicatori di compromissione (IoC) relativi, studiarne il loro comportamento e le evoluzioni e di tenerne traccia. A tal proposito il Cert-AgID, per chi volesse contribuire a questo progetto, mette a disposizione una casella di posta elettronica dedicata alla sottomissione dei sample ed informazioni sui malware da parte di terzi: [email protected]. Ribadiamo però, che è una casella dedicata allo studio dei malware e non alla loro segnalazione formale.

Le ultime tecniche adottate dal cybercrime

Quali sono gli ultimi “trucchi” adottati dal cybercrime per cercare di nasconderli? ”Gli aggressori hanno affinato le loro tecniche, in particolare di social engineering, non solo per veicolare il malware sotto forma di comunicati o di avvisi copiati da quelli originali utilizzati dalla PA, ma anche per rendere più credibili le email stesse sfruttando eventuali comunicazioni intercorse catturate nel corso di attacchi precedenti. È sempre più frequente l’uso di allegati che richiedono l’immissione di una password per accedere al contenuto, dove la password è solitamente riportata in chiaro nel corpo stesso del messaggio. Questa tecnica garantisce agli attaccanti di eludere molti sistemi di protezione poiché impedisce agli antivirus la possibilità di ispezionare facilmente il contenuto dell’allegato”.

Diventano sempre più diffuse le tecniche di offuscamento del codice malevolo tramite l’inclusione di porzioni di codice inutile all’interno di quello che verrà realmente eseguito

“Inoltre, sta diventando sempre più diffuso l’uso di tecniche di offuscamento del codice maligno tramite l’inclusione di porzioni di codice inutile all’interno di quello che verrà realmente eseguito. I criminali sono ovviamente sempre alla ricerca di tecniche o metodologie non supportate dagli strumenti di analisi attualmente più in uso nei CERT. Tra questi, paradossalmente, troviamo anche vecchi formati file come le macro di Excel 4.0”.

La missione del Cert-AgID: perseguire l’innalzamento del livello di consapevolezza dei rischi cibernetici, la loro conoscenza, il contrasto e la prevenzione, principalmente nel panorama della PA nazionale e degli attori/infrastrutture vigilate da AgID

Il Cert-AgID, però, non va solo a caccia di minacce. Quali sono i suoi altri compiti? “Il Cert-AgID è una struttura dell’Agenzia per l’Italia Digitale (AgID) che opera sia su temi specifici di sicurezza cibernetica sia trasversalmente a supporto delle funzioni istituzionali dell’Agenzia, e che ha ereditato la pregressa esperienza maturata dal Cert-PA. Il suo scopo principale è quello di perseguire l’innalzamento del livello di consapevolezza dei rischi cibernetici, la loro conoscenza, il contrasto e la prevenzione, principalmente nel panorama della PA nazionale e degli attori/infrastrutture vigilate da AgID, senza comunque trascurare lo scenario nazionale, nel quale collabora fattivamente con i principali attori in campo. Inoltre, partecipa attivamente alla stesura delle Linee Guida sulla sicurezza e alle Misure Minime, svolge attività di supporto tecnico per la Vigilanza Ispettiva nei confronti dei soggetti accreditati (Gestori PEC, SPID, QTSP e Conservatori), intraprende le azioni di accompagnamento alla sicurezza della PA tramite il tool di Risk Assessment e contribuisce, per la parte relativa alla sicurezza, ai corsi di formazione rivolti ai Responsabili della Trasformazione Digitale che ai Dirigenti funzionari e tecnici delle PA come previsto dal piano triennale”.

Back To Top