I mutamenti nello scenario geopolitico internazionale (particolarmente quelli derivanti dal conflitto russo-ucraino) si sono inseriti in un contesto già interessato da significativi cambiamenti dei comportamenti digitali imposti dall’emergenza da Covid-19, influendo ulteriormente su caratteristiche e target della minaccia cyber.
La Relazione sulla politica dell’informazione per la sicurezza relativa al 2022, realizzata dal Comparto intelligence analizza le attività cibernetiche ostili condotte nel 2022 verso assetti informatici rilevanti per la sicurezza nazionale.
Le azioni digitali osservate dal Comparto hanno prevalentemente interessato le infrastrutture informatiche riferibili a soggetti privati (56%, in crescita di 32 punti percentuali rispetto al 2021), con particolare attenzione verso i settori delle infrastrutture digitali/servizi IT (22%, in aumento di 16 punti percentuali), dei trasporti (18%, stabile rispetto all’anno precedente) e del bancario (12%, in aumento di 5 punti percentuali rispetto al 2021).
Le azioni in danno di obiettivi pubblici (43%, in calo di 26 punti percentuali) hanno
riguardato perlopiù le Amministrazioni Centrali dello Stato (62% del totale, valore in aumento di 6 punti percentuali rispetto all’anno precedente) e infrastrutture IT riferibili a enti locali e strutture sanitarie (per un complessivo 20% sul totale).
Nella classificazione degli attacchi per tipologia di attori ostili si è assistito a un progressivo calo delle attività di matrice hacktivista (8% del totale, in riduzione di 15 punti percentuali).
Rispetto a tali gruppi, nella prima parte dell’anno sono state rilevate campagne ostili
nei confronti di realtà pubbliche e private operanti nel settore sanitario, dalle quali – anche
attraverso lo sfruttamento di vulnerabilità di tipo SQL Injection – le formazioni più attive in
territorio nazionale (tra cui AnonGhost e LulzSec ITA) hanno esfiltrato dati sensibili ovvero
installato “backdoor” su risorse digitali riconducibili ad alcune Aziende Sanitarie Locali e
associazioni sindacali di professioni sanitarie.
Al di fuori di queste azioni, è stata registrata una progressiva destrutturazione dei
gruppi hacktivisti nazionali, in un contesto, tuttavia, nel quale sono stati rilevati fenomeni di aggregazione spontanea di cellule minori collegati al conflitto russo-ucraino a sostegno delle offensive digitali promosse da Anonymous International. Iniziative, queste, risultate perlopiù di breve durata e di basso impatto.
Una lieve crescita (+3 punti percentuali) è stata registrata con riferimento ai
gruppi statuali o sponsorizzati da Stati che hanno fatto ricorso ad azioni di spionaggio
cibernetico, che si sono attestate al 26% del totale.
Nel periodo in esame, sono stati osservati da parte di questi attori tentativi di sfruttamento delle vulnerabilità presenti nei sistemi di connessione remota – utilizzati per finalità di telelavoro – con l’obiettivo di guadagnare l’accesso a risorse informatiche di aziende e organizzazioni.
L’analisi delle tecniche, tattiche e procedure (TTP) impiegate da quei gruppi ha
messo in evidenza un sostanziale cambiamento degli strumenti utilizzati: si è passati,
infatti, dall’impiego di “malware” altamente sofisticati alla ricerca – nell’ultimo periodo
e limitatamente ai casi osservati – di strumenti “spendibili”, liberamente reperibili o
distribuiti su mercati operanti nel deep e dark web. Circostanza questa riconducibile sia
alla volontà di conferire a tali attività offensive la parvenza di comuni azioni criminali sia
al reclutamento da parte di quegli attori di nuovi operatori, più avvezzi all’uso di questa
tipologia di mezzi.
In sensibile riduzione sono state, invece, le azioni di matrice non identificabile
(18%, in calo di 22 punti percentuali), tendenza questa ascrivibile alle accresciute
capacità di rilevamento sviluppate da AISE e AISI.
La migliorata capacità di attribuzione acquisita dall’Intelligence e il più ampio
ricorso da parte degli attori statuali o “state sponsored” a strumenti impiegati anche da
gruppi criminali ha consentito di rilevare una sensibile crescita degli attacchi di matrice
criminale, attestatisi al 47% del totale (+33 punti percentuali rispetto al 2021).
Si è confermato anche per il 2022 il ricorso da parte dei principali attori della minaccia
alla registrazione di domini malevoli (circa il 41%, in aumento di 5 punti percentuali rispetto al 2021), ossia quelli connotati, per denominazione e caratteristiche, da un’elevata similitudine con quelli di siti istituzionali e governativi, al fine di dirottare inconsapevolmente gli utenti verso siti web compromessi (tecnica del “typosquatting”).
Seppur in forte calo, è continuata la ricerca delle vulnerabilità tecniche esposte dai
target selezionati (c.d. Bug Hunting, al 3,7%) propedeutica a tentativi di violazione delle loro reti informatiche, nonché ad attacchi di tipo SQL Injection (al 14%).
Per quanto concerne gli esiti delle azioni ostili, si è registrata una significativa
prevalenza di offensive tese a inibire l’erogazione di servizi, attraverso il ricorso ad armi
digitali in grado di eliminare dati e programmi presenti nei sistemi dei dispositivi target,
rendendoli inutilizzabili (circa il 31% del totale, in aumento di 30 punti percentuali rispetto
all’anno precedente), seguite da azioni funzionali a successivi attacchi (scese all’11%, con una differenza di circa 30 punti percentuali rispetto al 2021).
Direttamente connesso all’incremento di azioni di matrice criminale è il sensibile
aumento di azioni finalizzate al furto di identità e/o credenziali (al 53,5%, in crescita di quasi 48 punti percentuali), messe in vendita su portali e forum dedicati del dark e deep web.