I banditi digitali rubano alle aziende
private quasi 20 miliardi di dollari: rubano i dati e chiedono un
riscatto per restituirli alle aziende. Ci sono poi gli attacchi tra
gli stati per guerre non convenzionali che Presadiretta ha raccontato
in questo servizio.
Come gli attacchi informatici compiuti
dagli hacker russi contro l'Ucraina, ben prima del 24 febbraio:
“preparatevi al peggio” diceva il messaggio apparso sui pc
infetti.
Gli attacchi informatici sono veri e
propri attacchi di guerra: si preparano per anni e attaccano le
grandi aziende pubbliche e private.
A Campodarsego, in provincia di
Padova, al quartiere generale della Carraro un’azienda italiana
leader nella progettazione delle macchine agricole, un gruppo sano
con 90 anni di storia alle spalle. Ma che ha rischiato di veder
interrompere la sua produzione nel giro di una notte, quando tutte le
stampanti, nella sede e in tutte le filiali hanno stampato a
ripetizione il messaggio con la richiesta del riscatto, per
consentire all’azienda di tornare in possesso dei propri dati.
Nel messaggio stampato era scritto “il
vostro network è stato attaccato, i vostri dati criptati.” Non
solo i computer non potevano lavorare più, anche le linee di
produzione erano bloccate: ordini, magazzino, linee di produzione,
tutto fermo, l’universo Carraro, il suo fatturato, i suoi 3500
dipendenti erano rimasti vittima di un Ransomware.
Per liberarli
la banda di criminali ha chiesto un riscatto: l'azienda aveva pensato
addirittura di chiudere, ma alla fine l'azienda ha recuperato i dati
da un server esterno.
Altri attacchi hanno colpito Erg, Siae,
.. nessuno ammette di aver pagato il riscatto, ma il 70% dei casi
portano ad una negoziazione, ci sono esperti che fanno questo lavoro
tra le aziende e i cybercriminali.
Per questi criminali si tratta
di affari: Stefano Lamonato esporto di criminalità web stima in 20
miliardi all'anno l'economia del ransomware ogni anno.
Presadiretta
ha raccontato dell'attacco alla Colonial Pipeline in America, che ha
bloccato le pompe: gli attacchi ransomware sono entrati così
nell'agenda della nazione più forte al mondo.
Il presidente della Colonial Pipeline
ha pagato un riscatto da 4,4 ml di dollari in bitcoin: l'America
essendo sede delle aziende più ricche al mondo sono predilette dagli
attaccanti. Attacchi che invece risparmiano le
aziende russofone.
Nell'ultimo incontro con Putin, Biden aveva
chiesto al presidente russo di fermare gli attacchi che rischiavano
di mettere in crisi l'economia, ma l'accordo non ha avuto
successo.
In Ucraina la polizia informatica è riuscita ad
arrestare degli hacker, che lavoravano in un quartiere di russo
protetto da una polizia privata, in residenze di lusso.
Sono hacker che provengono da famiglie
povere, la loro vita è dedicata ai ransomware, passano notte a
controllare il loro sw.
Nonostante la protezione, nel 2021 la
polizia informatica ucraina ha arrestato membri di una gang che aveva
preso riscatti per milioni di dollari. Ma dove finiscono i soldi, in
criptovalute?
Bisognerebbe interrompere la catena che
consente ai criminali incassare soldi in criptovalute: come la Suex,
una società che incassava proventi da attacchi ransomware e con sede
a Mosca, nel quartiere degli affari.
Secondo il giornalista Freelance
Mehotra la Russia accoglie i criminali dal mondo, consente la
conversione delle criptovalute in denaro, senza farsi troppi problemi
sulle generalità.
Come mai la Russia non si muove per arrestare i
banditi digitali?
A gennaio mentre centomila soldati
russi si ammassavano al confine ucraino e il mondo intero tratteneva
il respiro in attesa di un attacco da terra, un’altra missione
stava preparando il terreno per le truppe. Sugli schermi dei computer
in Ucraina all’improvviso era comparsa la scritta minacciosa:
“cittadini ucraini i vostri dati sono pubblici ora, abbiate paura e
preparatevi al peggio, per il vostro passato, il vostro presente e il
vostro futuro.” Il messaggio compariva su alcuni siti governativi
tra cui il ministero degli Esteri, dell’Istruzione,
dell’Agricoltura e il Consiglio di Sicurezza e Difesa.
In tutto 70 siti sono finiti offline
per alcuni giorni. I giornalisti di Presadiretta sono andati a
Kiev al palazzo dove risiede il Cert la principale struttura di
difesa ucraina dagli attacchi informatici. In questi uffici si
registrano tutti gli attacchi informatici, vengono analizzati e si
studiano le tattiche di difesa. Nell’ultimo periodo – racconta un
funzionario – abbiamo avuto 550 attacchi gravi, fino al 14 gennaio,
apice degli attacchi “uno dei più grandi attacchi informatici
degli ultimi anni, ha compromesso molti siti, ha cancellato diversi
sistemi e attaccato postazioni governative. Sappiamo che l’attacco
viene dalla Russia e dai suoi alleati.”
Dal Cert aggiungono anche che “quello
che è successo il 14 gennaio scorso è solo la parte visibile
dell’attacco che è iniziato molto prima e la distruzione è parte
di una strategia più ampia. Tutte le tattiche usate qui sono state
usate anche negli Stati Uniti e anche in Europa. Tutto quello che
succede qui oggi, presto potrebbe succedere altrove. L’obiettivo
della Russia è destabilizzare la democrazia, la guerra informatica
non si fermerà in Ucraina.”
Il 24 febbraio, un’ora prima
dell’inizio di questa guerra, un attacco informatico ha messo fuori
uso l’azienda Viasat, il fornitore di servizi internet
dell’esercito ucraino, di quello americano e di molte aziende
europee. È stato l’attacco più potente scattato in questa guerra
ed è arrivato a colpite migliaia di apparati (modem, router) in
tutta Europa. In Germania 6000 pale eoliche sono state disconnesse
dalla rete; in Italia decine di clienti del marchio Big Blue sono
rimasti senza internet, ed era solo l’inizio. Da febbraio centinaia
di attacchi informatici hanno colpito l’Ucraina e tutta l’Europa:
la guerra digitale è già qui.
Ci sono attacchi militari nascosti
dietro attacchi di cybercriminali: l'unico modo per proteggersi è
tenere aggiornati i nostri sistemi informatici, ogni giorno.
Perché
il rischio è che gli hacker possano spegnere tutto il sistema
informatico del sistema sanitario, come successo in Irlanda.
Il 13 maggio 2021 era festa in Irlanda,
perché il paese stava per mettersi alle spalle la pandemia: ma dopo
mezzanotte l'80% dei computer del sistema sanitario si paralizza.
Tutti i documenti informatici dei pazienti era sparito, i medici non
avevano più i fascicoli sanitari, dovevano decidere quali farmaci
somministrare al momento.
Molti pazienti hanno avuto i loro
trattamenti sospesi, anche malati di cancro, anche bambini che
aspettavano il turno per una loro operazione.
L'attacco è stato fatto dal gruppo di
Conti che aveva chiesto 20ml di dollari di riscatto, un reato
disgustoso: lo capisce ascoltando la storia di Rose una bambina
irlandese nascita con la diagnosi di spina bifida e idrocefalo: ha
sempre bisogno di una sedia a rotelle e in posizione eretta perché è
a rischio scoliosi. Dopo mesi di attesa Rose avrebbe dovuto subire un
intervento delicato nei giorni dell’attacco informatico ma il suo
appuntamento è stato cancellato con una mail dove si scriveva
“l’attacco ransomware ha avuto un impatto sui servizi e ha
aumentato i ritardi nell’erogazione dei trattamenti”.
Oggi, racconta la madre, non abbiamo
ancora una data per l’intervento, che è uno di quelli molto
invasivi, dovranno rimuovere l’osso da entrambi i femori, rivestire
i tendini dei fianchi, delle ginocchia e delle caviglie, dovranno
inserire delle placche.
Lo stato di salute di Rose è
peggiorato dopo la mancata operazione e dunque ora avrà bisogno di
un intervento molto più grande di quello che era previsto all’inizio
– racconta la madre che, aggiunge “ora Rose è di nuovo in lista
d’attesa e non possiamo fare altro che vederla peggiorare di giorno
in giorno e nessuno potrà riparare il danno che le è stato fatto.”
Il presidente dell’associazione dei
pazienti irlandesi racconta a Presadiretta che sono stati tanti i
casi di operazioni saltate all’ultimo minuto, pazienti con il
cancro, problemi cardiaci, bambini che avevano bisogno di una
operazione o anche appuntamenti per capire se ci fossero bisogno di
ulteriori cure: “un irlandese su tre è in lista di attesa, c’è
un aspetto umano in tutta questa vicenda. L’attacco informatico è
arrivato e noi non eravamo pronti, ma l’impatto sui pazienti e
sulle loro vite è stato enorme.”
Il ministero della salute irlandese ha
scoperto che i cybercriminali erano entrati nei sistemi mesi prima.
Mesi prima un attacco ransomware aveva attaccato il sistema
informatico nella sanità inglese, stesso attacco era avvenuto nella
sanità americana: in totale si stima in duemila le morti per effetto
di questi attacchi.
In Italia sono stati attaccati i
sistemi in diverse ASL: l'80% delle strutture informatiche sono a
rischio di un attacco ransomware, e questo rappresenta una
opportunità per gli attaccanti.
Nel Lazio il sistema sanitario ha
subito un attacco l'agosto del 2021: era stato richiesto un riscatto
di 5 ml di euro, per sbloccare i sistemi necessari per la
vaccinazione sanitaria.
L'attacco ha rallentato la vaccinazione e
bloccato degli esami: dopo un anno le tre indagini non hanno ancora
portato ai responsabili, si presuppone che ci sia stato un furto di
identità ai danni di un impiegato.
Si sarebbe usato un sistema di
phising, dove nella mail erano presenti nomi di colleghi della
vittima: un attacco targettizzato, perché i criminali avevano preso
di mira l'ASL del Lazio.
L'Agid aveva emanato una direttiva
sulla sicurezza, che la regione Lazio non aveva rispettato del tutto.
Non era stato fatto un backup offline, un backup scollegato dalla
rete e dunque lontano dagli attaccanti. Queste norme erano
obbligatorie, ma non erano previste sanzioni.
LazioCrea, la società informatica
della regione gestisce i dati della regione: i criminali hanno
attaccato i backup, hanno bloccato i sistemi di accesso ai dati, ma
non hanno toccato i dati – racconta il direttore della struttura.
Mancava il sistema di autorizzazione a
doppio livello, per gli utenti amministrativi, ammette il
responsabile, che parla di un costo di 2 ml per il ripristino dei
sistemi.
A Brescia, il 31 marzo 2021, i pc del
comune si sono bloccati: sono tornati alla carta per poter lavorare,
con un rallentamento dei lavori.
Gli attaccanti hanno chiesto 32ml di
euro di riscatto, ma alla fine i tecnici hanno ripristinato i dati
usando delle cassette di backup in cassaforte. Ma il comune è rimasto fermo per una
settimana: alla fine il comune ha speso 1 ml di euro per mettere
tutto a nuovo, a livello di postazioni.
Si tratta di una pandemia informatica –
raccontano al comune di Brescia – e anche a questa non siamo
pronti.
AGID ha analizzato lo stato di salute
delle società pubbliche: ci sono amministrazioni che hanno
vulnerabilità del 1999, sono venti anni che non aggiornano i
sistemi, dunque.
Ma come fanno i comuni piccoli? Al comune di
Gonzaga ad esempio devono prendere soldi dai fondi per i servizi
sociali per proteggersi dagli attacchi hacker.
Anche a Gonzaga si
sono trovati sotto ricatto e gli hacker hanno reso pubblici i loro
dati.
L'attacco alla Siae ha reso pubblici i
dati di diversi artisti: dati personali e carte di credito.
Dario Baldoni è il presidente
dell'agenzia per la sicurezza informatica: dopo l'attacco alla Russia
gli attacchi sono aumentati, dobbiamo imparare a difenderci.
La
guerra informatica è in corso: l'Albania ha rotto i rapporti
con l'Iran accusandolo di aver condotto un attacco
informatico.
L'Iran è un paese in rivolta dal 16 settembre, dopo
l'uccisione della donna che non aveva indossato il velo in modo
corretto, l'Iran che uccide i manifestanti in strada.
L'Iran è
una potenza cybernetica mondiale, che usa queste armi informatiche
contro i nemici esterni e contro anche gli oppositori interni.
Il 7 settembre 2022 il premier Edi Rama
in televisione racconta di un attacco informatico creato dall'Iran,
chiedendo l'allontanamento dei diplomatici iraniani.
Il 15 luglio un attacco cybernetico
aveva messo fuori uso la maggior parte dei servizi informatici del
paese per 4 giorni: gli attaccanti non sono riusciti a distruggere i
database, perché i backup erano stati fatti bene.
L'attacco proveniva dall'Iran, racconta
il responsabile dell'intelligence di Mandiam: un attacco che parte
direttamente dall'intelligence del paese, per tramite di aziende
private che fanno il lavoro sporco per i servizi iraniani.
Come mai questo attacco?
L'Iran aveva messo nel suo mirino un
gruppo di opposizione che aveva la sua sede vicino Tirana: dopo
questo attacco i dati di cittadini albanese sono stati resi pubblici,
compresi i dati di poliziotti.
Questa guerra informatica serve
alla Russia e all'Iran per destabilizzare paesi europei, in modo che
poi siano costretti a fare accordi favorevoli a loro.
L'Albania è un paese Nato: significa
che l'Iran è riuscita a mettere in piedi un attacco contro un paese
Nato, un avvertimento ad altri paesi dell'alleanza.
L'Iran ha investito sulla guerra
informatica perché dopo l'embargo hanno dovuto abbandonare le forme
tradizionali di guerra: hanno sviluppato un know how tale da
competere con altri paesi europei o occidentali.
L'Iran nel 2009
era stato vittima di un attacco dagli Stati Uniti in cui si
distrussero le strutture in cui questo paese arricchiva l'uranio per
costruire una bomba.
Le centrifughe furono mandate al
massimo della velocità, fino a distruggerle: con un virus si
distrussero delle strutture, come un vero e proprio attacco
militare.
L'Iran decise di rispondere a questo attacco, andando ad
investire denaro e manodopera nelle infrastrutture informatiche, sono
stati creati dei gruppi di hacker, che attaccano chiunque critichi la
politica del governo.
L'Iran controlla i dati mobili della
popolazione, in modo che le persone non possano mobilitarsi e
comunicare, sono stati bloccati anche le chat nei videogiochi.
Comunicare dall'estero verso l'Iran è
difficile, col blocco di internet: le persone che protestano o che
vivono nelle zone di protesta sono tracciate, controllate,
minacciate.
Le guerre informatiche sono state prese
in seria considerazione dalla Nato: sono state inserite nell'articolo
5 dell'accordo tra i paesi membri, tra le clausole che fanno scattare
una risposta dalla Nato.
Presadiretta
ha raccontato quello che è successo in Germania,
con la spy story che ha coinvolto il capo dell’Agenzia federale
tedesca per la sicurezza informatica accusato di aver avuto contatti
con i servizi segreti russi.
Un
conduttore satirico il 7 ottobre aveva accusato il presidente
dell'agenzia federale sulla sicurezza informatica di avere rapporti
opachi con i servizi russi: dopo questo servizio il suo incarico gli
è stato revocato.
Nel 2012 aveva fondato una associazione
chiamata “consiglio di sicurezza dell'informatica della Germania”,
con sede a Berlino: era una associazione privata che consigliava alle
aziende le strategie di sicurezza. Ma, come hanno scoperto i
giornalisti di ARD, dentro questa associazione c'erano società e
persone collegate ai servizi russi.
Si parla della Protelion,
società fondata da un ex membro del KGB.
Negli
ultimi anni la Germania ha subito diversi attacchi, culminati
all'attacco nel 2022 che ha bloccato le turbine delle pale eoliche e
con l'attacco ai sistemi della rete ferroviaria.
La Russia è
interessata a capire qual è la posizione della Germania, sono in
grado di bloccare i servizi informatici del paese, perché ci sono
troppe reti da gestire.
La
guerra della disinformazione
C'è
poi la guerra della disinformazione: quello che sta succedendo in
Ucraina è coperto da ua fitta nebbia, chiamata disinformazione, che
non fa comprendere cosa stia veramente succedendo sul campo.
A
Bucha la televisione russa ha messo in dubbio il massacro di civili
ad opera dei soldati russi: era solo una montatura dei media
occidentali. Attraverso i canali telegram la televisione russa parla
di morti spostati, di finti morti: era infowar, una parte della
guerra ibrida portata avanti dai russi e portata avanti dalla
propaganda russa per impedire che all'Ucraina arrivino fondi di auto.
C'è
Russia Today, Sputnik, che da marzo 2022 sono bloccati in Europa. E
poi c'è Telegramm oggi in Russia principale voce della propaganda
del Cremlino.
In Russia la libertà di stampa non esiste, basta
vedere i risultati delle ricerche fatte su Yandex, il motore di
ricerca russo.
C'è poi l'esercito dei troll, finti account pagati
per inondare la rete di notizie false: Presadiretta ha raccolto la
testimonianza di Eva Savchiuk, che aveva lavorato a San Pietroburgo
in una azienda moscovita di notizie false che aveva contribuito a far
eleggere Trump.
Una
delle notizie false fatte circolare era quella dei laboratori
americani sotto l'acciaieria Azovstal: erano biolaboratori inventati
dalla propaganda russa.
C'è
poi la propaganda ucraina che si appoggia alla retorica dell'eroismo
dell'esercito.
Newsguard
certifica le notizie che circolano in rete, sfatando notizie false
come quella del jet ucraino che avrebbe abbattuto caccia russi nel
primo giorno di guerra.
Molta disinformazione viaggia anche sui
social, racconta la giornalista Giulia Pozzi: la disinformazione è
un business, perché attira persone che poi rimangono collegati ai
social, come Tik Tok.
Come
si muove la disinformazione? Sui social cerchiamo le informazioni che
più ci piacciono, dunque rimaniamo chiusi in una bolla, ci si
polarizza e si rafforzano le informazioni che già avevamo. È lo
stesso processo visto con la pandemia e con i vaccini.
Il
professor Van Der Linden ha raccontato di come funziona la
disinformazione: serve avere una mente aperta, non bisogna fermarsi
al proprio punto di vista, esercitare un pensiero critico, non
rimanere chiusi nella propria tribù.
Smontare
le bufale a posteriori non serve, perché oramai ha trovato spazio
nel nostro cervello.
La
nuova frontiera della propaganda sono però i Deep Fake, i video
sintetici falsi, come quello di Zelensky: per riconoscere questi
video si usano gli strumenti dell'intelligenza artificiale, per
comprendere se un video è manipolato o meno, usando i dati
biometrici.
Al
progetto sta lavorando l'agenzia del Pentagono Darpa ma anche la
nostra università Federico II: ogni svolta che si sviluppa un
detector, la tecnologia potrebbe evolvere e costringerci a rincorrere
ancora una volta chi ha creato questi deep fake.
Per questo è
importante conoscere le fonti delle nostre informazioni, quello che
ha fatto Julian Assange che con Wikileaks ha pubblicato documenti
classificati, usati poi da giornali nel mondo per raccontare la
guerra sporca in Iraq e Afghanistan.
Oppure
sui rapporti tra Silvio Berlusconi e Putin: Hillary Clinton chiedeva
di indagare su questi rapporti opachi, ben prima della lettera dolce
e dello scambio di bottiglie di Lambrusco col presidente russo.
La
vicinanza tra Berlusconi e Putin è di vecchia data ed è legata al
traffico del gas russo: a Sochi sul mar Nero Putin e Berlusconi
pianificano l'ampliamento del gasdotto che tagliava fuori l'Ucraina,
il south stream. Berlusconi lodava il progetto e Putin: questo aveva
preoccupato i diplomatici americani, come riportano i cablo poi
rivelati da Assange.
Gli ambasciatori condividono le loro
preoccupazioni con Washington: nel 2010 il segretario di Stato
Clinton chiede ai suoi diplomatici di indagare sugli affari di
Berlusconi, per capire le sue posizioni e quelle di Eni, le politiche
energetiche italiane per capire fossero influenzate dalla Russia. Si
temeva che la Russia volesse stringere in una morsa l'Europa col suo
gas, come ce ne siamo accorti troppo tardi con la guerra in Ucraina.
I
cavalli di Troia di questa dipendenza in Europa sono stati Italia a
Germania: con troppo ritardo abbiamo compreso che dovevamo uscire
dalla dipendenza di gas e carbone (e petrolio), per passare alle
energie rinnovabili.
Anche
perché abbiamo degli obblighi, con l'Europa, sulla diminuzione delle
emissioni.
Tutti
argomenti, compresa la guerra in Ucraina, che Presadiretta continuerà
a monitorare. Perché l'anomalia in questo momento è la guerra, non la pace.