Cosa sappiamo dell’attacco hacker al Ministero degli Esteri italiano

Nel pomeriggio di venerdì 9 febbraio il quotidiano britannico The Guardian ha pubblicato in esclusiva un report che afferma, secondo fonti vicine alle autorità governative italiane, che nella primavera del 2016 per "più di 4 mesi" i sistemi informatici del Ministero degli Esteri italiano sono stati sotto attacco hacker.

Secondo il The Guardian, l'attuale Presidente del Consiglio italiano Paolo Gentiloni, che al tempo era Ministro degli Esteri, non è stato colpito dall'attacco perché, secondo la fonte governativa, "evitava di usare l'email" — Sempre secondo la fonte, anche gli "uffici sul campo" del Ministero degli Esteri sono stati colpiti dallo stesso malware e dunque compromessi.

Ciononostante, benché i sistemi siano stati compromessi, non sono stati trafugati dati perché criptati: obiettivo dell'attacco, a quanto pare, erano i sistemi necessari alla gestione delle comunicazioni via email della Farnesina — Inoltre, benché la fonte governativa non confermi questa teoria, due altre fonti vicine alla vicenda, secondo il The Guardian, hanno affermato che dietro all'attacco si celano probabilmente le autorità russe.

Anche Reuters, poche ore dopo il The Guardian, ha scritto che "una fonte governativa italiana" ha affermato che in passato il Ministero degli Esteri italiano è stato hackerato e che [la procura di] Roma sospetta che i mandanti possano essere i russi, ma che è "impossibile affermare con certezza da dove siano arrivati questi attacchi."

Secondo il The Guardian, dopo il rilevamento dell'intrusione le autorità italiane hanno dismesso la falla nei loro sistemi ristrutturando le "architetture" delle loro piattaforme online e introducendo nuovi strumenti per migliorare la sicurezza interna dei sistemi informatici — "Non ci sono stati attacchi per quanto riguarda la sicurezza crittografica. Per questo le informazioni, quelle più delicate e sensibili, che vengono normalmente condivise su questa rete ristretta, non sono mai state oggetto di questo attacco," ha spiegato la fonte governativa al The Guardian.

Secondo altre persone "che hanno discusso con il The Guardian la questione sotto la condizione dell'anonimato," l'attacco al Ministero degli Esteri italiano potrebbe corrispondere a un tentativo di ottenere informazioni preziose circa i processi decisionali interni al governo italiano — Inoltre, secondo queste fonti, la procura di Roma ha avviato un'inchiesta al fine di fare luce sulle ragioni di questo attacco.

Secondo il The Guardian, questo potrebbe essere solo l'ultimo di una serie di presunti attacchi per mano della Russia, che punta a compromettere alcune infrastrutture critiche di paesi NATO come gli Stati Uniti, la Francia e la Germania.

Maria Zakharova, una portavoce del Ministero degli Esteri russo, contattata dall'ANSA via WhatsApp ha affermato che "Non ci sono prove a sostegno di questa teoria [secondo cui dietro l'attacco si celerebbe la Russia]."

Zakharova inoltre, contattata da Askanews, ha aggiunto che "Gli attacchi hacker sono fuori legge in Russia," e che "Se l'Italia ha in mano dei dati concreti, ce li fornisca e noi saremo pronti a lavorarci dal momento che l'hacking è fuori legge in Russia e noi non vogliamo che la legge russa sia infranta," ha affermato la portavoce. "Quella del The Guardian è la solita storia di disinformazione, che poi magari viene ritrattata."

Secondo La Repubblica, l'indagine è partita da una segnalazione del CNAIPIC, il Centro nazionale anticrimine informatico della polizia postale, e le prime indagini evidenziano "il sospetto che l'azione di cyberspionaggio provenga dall'Est europeo perché il malware utilizzato avrebbe caratteristiche del tutto simili a quelli di ingegneria informatico (sic) di quell'area geografica."

Gianfranco Incarnato, ministro plenipotenziario e vice direttore generale degli Affari Politici, ha confermato a La Repubblica che "abbiamo subito attacchi di questo genere anche presso le sedi estere," confermando parte del report del The Guardian. "Gli attacchi miravano ai dati dei connazionali all'estero, ai report degli incontri internazionali e alle informazioni classificate di ordine politico ed economico che però sono su un circuito a parte e protetti con la crittografia."

Inoltre, continua Incarnato, ""Gli attacchi sono spesso avvenuti alla vigilia di eventi importanti per l'Italia, ad esempio durate la presidenza dell'Unione europea e dobbiamo ricordare che tra poco in Italia ci sarà un importante summit del G7 a Taormina," spiega a La Repubblica. "Per questo abbiamo aumentato le misure di protezione, e abbiamo preparato il personale," spiega. "L'anello debole di questi attacchi infatti non sono tanto i sistemi informatici quanto le persone. Io stesso sono stato oggetto di numerosi attacchi cibernetici."

Nonostante le dichiarazioni, Incarnato non ha confermato né smentito la teoria secondo cui gli attacchi si potrebbero ricondurre alla Russia.

Come spiegato dalla giornalista Carola Frediani in un post su Facebook, "APT28" — un gruppo di cyberspionaggio che secondo diverse agenzie di cybersecurity pare legato al governo russo — "bazzica i ministeri occidentali, italiani inclusi da qualche anno," spiega la giornalista delineando un possibile antefatto dell'attacco. "APT28 nasce come strumento di spionaggio verso Paesi NATO e Europa dell'Est, e la sua (presunta) trasformazione in gruppo che hackera e diffonde documenti a scopo di destabilizzazione interna sembrerebbe essere (se c'è stata) solo recente."

"L'Italia, come tale, è target da anni, e come Paese è ad esempio è menzionata in un report di Bitdefender del 2015 su APT28," continua la giornalista.

Ciononostante, è ancora necessario attendere un riferimento ufficiale da parte delle autorità italiane per poter definire con certezza il collegamento tra l'attacco hacker e la Russia, che per ora rimane appannaggio delle dichiarazioni delle fonti anonime.