di Alessandro Farruggia
"Veniamo dalla Russia. Il nostro nome è Killnet".Inizia così la rivendicazione della cybergang che ha bloccato dalle 16.49 e per quasi tre ore almeno sette siti italiani, alcuni dei quali istituzionali. A essere colpiti il Senato, il ministero della Difesa, l’Istituto di studi avanzati di Lucca (che si occupa di tecnologia digitale), l’Istituto superiore di Sanità, il portale Kompass (un database che raccoglie informazioni societarie), Infomedix (una società di servizi alle aziende sanitarie) l’Automobile Club italiano e forse anche il profilo Instagram di Marta Fascina, deputata di Forza Italia e attuale compagna del leader azzurro, Silvio Berlusconi. Quasi tutti i siti colpiti hanno ammesso l’attacco, ma non lo Stato maggiore della Difesa, che sostiene invece che l’impossibilità di raggiungere il sito sarebbe dovuta "ad attività di manutenzione da tempo pianificata".
L’attacco è stato un DDoS (Distribuited Denial of Service): il sito viene preso di mira da migliaia di richieste di accesso che lo mandano in tilt e lo rendono irraggiungibile. Si tratta di azioni che non producono danni ma disservizi e che, dunque, non compromettono l’infrastruttura informatica. E così è stato: nessuna perdita di dati. "L’attacco all’Italia", come lo definiscono gli hacker, è stato rivendicato su un gruppo Telegram nel quale sono stati pubblicati i report che attestano i ‘server error’ dei siti. Su un canale ‘gemello’ è stato annunciato anche un attacco degli hacker pure sul sistema di votazione di Eurovision ("Non puoi votare online? Forse il nostro attacco DDoS è responsabile di tutto"): il tentativo, ha confermato la Rai, ci sarebbe stato, ma sarebbe fallito. I siti istituzionali italiani tra cui quello della Difesa, del Senato, dell’Istituto superiore di Sanità e dell’Aci, sono tornati operativi intorno alle 20.
Si è subito mossa l’Agenzia per la Cybersicurezza nazionale, che è in "stretto contatto con le amministrazioni colpite per ripristinare i siti", "analizzare il fenomeno" e "suggerire nel contempo le prime idonee contromisure tecniche". Anche la Polizia Postale, con gli esperti del Centro nazionale anticrimine informatico per la protezione delle infrastrutture critiche (Cnaipic) ha avviato una serie di indagini per tentare di risalire ai server da cui è partito l’attacco.
Killnet è un gruppo dedito ai crimini informatici, ma fortemente legato al potere politico russo e in particolari rapporti con il Centro principale in tecnologie speciali (GTsST, o unità 74455) del Gru, il direttorato principale per l’informazione, ovvero il servizio segreto, delle Forze armate russe. In passato Killnet ha colpito in Stati Uniti, Estonia, Polonia e, recentemente, il 20 aprile in Repubblica Ceca, il 29 aprile in Romania (messi ko tra gli altri i siti dei ministeri della Difesa, di Governo e Ferrovie), il primo maggio in Moldavia, il 2 maggio in Germania (ministeri dell’Interno e della Difesa, il partito Spd e la Mercedes). Per l’attacco in Romania gli inglesi hanno fermato un sospetto, il 23 enne romeno Joan Feher. Killnet per liberarlo ha minacciato di colpire siti istituzionali in Gran Bretagna (compresi gli ospedali), Romania e Moldavia.
L’Italia è storicamente fragile agli attacchi cyber. Sino a tempi recenti, la pubblica amministrazione era definita un colabrodo informatico. Il ministro per l’Innovazione tecnologica Vittorio Colao il 7 giugno del 2021 avvertì: "Abbiamo il 93-95% dei server statali non in condizioni di sicurezza. Qui nessuno è sicuro e non possiamo andare avanti così". E non esagerava. "Lo stato della cybersicurezza dell’Italia è abbastanza critico – disse il sottosegretario con delega alla Sicurezza della Repubblica, Franco Gabrielli alle Commissioni Affari costituzionali e Trasporti della Camera a fine giugno 2021 – Sono fortemente preoccupato perché la stragrande maggioranza della struttura cibernetica del Paese sotto il profilo pubblico presenta fortissime criticità. Per questo dobbiamo dotarci quanto prima dell’Agenzia per la Cybersycurezza nazionale". Così è stato. Il decreto che la istituiva è stato convertito in legge poco dopo, il 4 agosto dello scorso anno. L’operatività è partita dal 1° settembre 2021 e dopo la pubblicazione a fine dicembre dei regolamenti attuativi e l’avvio a febbraio 2022 del reclutamento (300 unità entro la fine del prossimo anno), l’agenzia sta crescendo. Ma da qui ad essere incisiva, ce ne vorrà. Nel frattempo gli hacker russi godono.