Massima l’allerta anche in Italia per possibili attacchi hacker dalla Russia. La guerra che sta interessando in queste ore l’Ucraina si combatte anche online. L’Agenzia per la Cybersicurezza Nazionale ha infatti diramato in queste ore un’allerta per alzare il livello di guardia su obiettivi sensibili come ospedali o infrastrutture pubbliche. Ma, concretamente, quali rischi corre l’Italia? In cosa consiste questa guerra digitale di cui si sente parlare? Quali sono gli obiettivi sensibili e come fare per minimizzare al massimo i rischi di un possibile attacco hacker dalla Russia?
Attacchi hacker dalla russia: i consigli dell’Agenzia per la Cybersicurezza Nazionale
Quali sono gli obiettivi sensibili di un paese più esposti a cyberattacchi?
Prima di vedere in cosa consistono gli attacchi hacker provenienti dalla Russia e come fare per prendere le precazioni del caso cerchiamo di capire meglio quali sono gli obiettivi sensibili più esposti a causa della guerra in corso. Secondo un report diramato dal CSIRT (il Computer Security Incident Response Team – Italia) nel mirino sarebbero soprattutto ospedali e aziende sanitarie. Non solo. Massima allerta anche per serviz essenziali e infrastrutture critiche. Segnala l’Agenzia per la Cybersicurezza Nazionale:
Potrebbe interessarti anche
Da notizie riservate si è appreso che domenica 6 marzo potrebbero essere eseguiti attacchi cyber, legati alla situazione internazionale, ai danni di enti governativi e industriali, non meglio definiti, anche nel nostro Paese […] Nel ricordare la necessità di adottare tutte le misure di protezione degli asset IT, in particolare quelle oggetto degli alert specifici già diffusi dall’Agenzia per la Cybersicurezza – Csirt Italia, si raccomanda prestare particolare attenzione nel giorno indicato e comunicare eventuali evidenze di attività malevole utilizzando i canali di comunicazione dello Csirt Italia
Come si apprende dunque gli obiettivi esposti a possibili attacchi hacker dalla Russia sono principalmente enti pubblici, amministrazioni e soprattutto aziende sanitarie ed ospedali. Chi lavora in queste realtà deve dunque prestare la massima attenzione e attuare tutte le precazioni necessari a minimizzare i rischi.
Il CSIRT monitora la situazione: in questi giorni possibili attacchi hacker dalla Russia
Il sito del CSIRT ha una sezione dedicata alle segnalazioni di vulnerabilità e malware in qualche modo connessi alla guerra fra Ucraina e Russia. Chi si occupa di cybersicurezza in questi giorni deve tenere d’occhio costantemente il sito del Computer Security Incident Response Team per prendere tutte le precazoni necessarie e segnalare eventuali attacchi. Chi invece lavora in enti pubblici o infrastrutture critiche deve prestare la massima attenzione soprattutto nell’aprire allegati o file di cui non è certa la provenienza. Infettare il computer di un dipendente – quindi interno ad una rete – è infatti uno dei modi per iniziare un attacco hacker contro una pubblica amministrazione o un’azienda.
⚠️ Massima difesa cibernetica ⚠️
⚠️ Consultare le misure urgenti di protezione⚠️🔗https://t.co/1bdnHuOHIt pic.twitter.com/7kjNhfvsIO
— CSIRT Italia (@csirt_it) February 28, 2022
Come fanno I cybercriminali a compromettere un sistema informatico?
Chi non è pratico di informatica può domandarsi: come fanno gli hacker a violare un computer? In che modo gli attacchi hacker dalla Russia possono comrpomettere i servizi essenziali di un intero paese?
Risponodere alla prima domanda in poche righe è sicuramente molto difficile: sono molte le tecniche utilizzare dai cybercriminali per violare un sistema informatico. In un articolo abbiamo già visto cos’è il phishing e come proteggersi. Un’altra tecnica molto usata dagli hacker sono gli attacchi dDos (Distributed Denial of Service). Un attacco dDos consiste nel bombardare, letteralmente, l’obiettivo (ad esempio un sito internet) con migliaia di richieste al secondo portando il server ad esaurire rapidamente le risorse disponibili. Questo genere di attacco informatico ha lo scopo di impedire l’accesso o il funzionamento di un portale o di un servizio).
Ovviamente i virus e i malware sono sempre in circolazione e basta infettare un solo computer di un’azienda per permettere agli hacker di fare danni. Tre malware in particolare sarebbero connessi con i possibili attacchi hacker dalla Russia di questi giorni. Il sito del CSIRT scrive:
[…] i ricercatori di sicurezza hanno rilevato la distribuzione di ulteriori malware ai danni delle organizzazioni ucraine.
Nel dettaglio si tratta di:
- IsaacWiper, malware di tipo “wiper”;
- HermeticWizard, malware il cui compito è distribuire i “wiper” su una rete locale tramite WMI e SMB;
- HermeticRansom, ransomware (scritto nel linguaggio Go).
Rispondere invece alla seconda domanda (ovvero “in che modo gli attacchi hacker dalla Russia possono comrpomettere i servizi essenziali di un intero paese?”) è molto più semplice. Ricordate l’attacco hacker all’azienda sanitaria della regione Lazio del luglio del 2021? Ecco. La risposta è tutta lì. Compromettere il sistema informatico di un’amministrazione pubblica può mettere in ginocchio un intero paese.
Come difendersi dagli attacchi Hacker? A cosa prestare attenzione per minimizzare i rischi?
Domanda da un milione di dollari: come difendersi dagli attacchi hacker provenienti dalla Russia? Se lavori in un’azienda pubblica sicuramente in questi giorni sei stato informato sulle precazioni da adottare. In caso contrario è la stessa Agenzia per la Cybersicurezza nazionale a pubblicare un vademecum da seguire. Fra le indicazioni si legge:
- implementare l’autenticazione multifattoriale per i servizi esterni ed interni;
- verificare/implementare la password policy (min. 12 caratteri alfanumerici, maiuscole minuscole, caratteri speciali), e la lockdown policy, verificando inoltre che le password inserite non siano contenute in databreach pubblici (es. utilizzando il servizio HIBP) e valutando l’opportunità di forzare un reset password complessivo per tutta l’utenza;
- rimuovere le autorizzazioni legate a gruppi generici (es. Everyone, Domain Users, Autenticated Users) assicurandosi che ogni utente appartenga al corretto gruppo autorizzativo;
- assicurarsi che venga utilizzato un account di servizio dedicato per ogni differente servizio e che questi siano correttamente documentati;
- ridurre i permessi concessi agli account di servizio al livello minimo necessario al corretto funzionamento delle applicazioni, rimuovendo ove possibile le autorizzazioni al logon locale e interattivo, l’accesso alle share di rete o a dati critici non necessari;
- testare con cadenza periodica (in dipendenza in particolare dalla specifica profondità temporale) la funzionalità dei backup.
