Per capire quale sia stata la portata del cyberattacco che ieri ha colpito vari Paesi occidentali, fra cui anche l’Italia, ma con danni maggiori in Francia, abbiamo intervistato l’esperto di cybersicurezza Remo Marini, presidente della Fondazione F3rm1 (leggi “Fermi”) che si occupa di ricerca e sviluppo in ambito Cyber Security e Innovazione Tecnologica e specializzata nel tracciamento degli attacchi informatici.
Siamo di fronte a un cyberattacco di massa, legato magari all’attuale situazione internazionale?
«Lo escludo, non credo che c’entrino le tensioni internazionali. In realtà questo attacco ha sfruttato come una falla una vulnerabilità che era nota già dal febbraio 2021 nel sistema di virtualizzazione VMWare ESXi, che, in parole povere, è un software che permette di utilizzare più sistemi contemporaneamente su un unico server fisico. È stato colpito chi ha commesso un doppio errore dovuto forse a negligenza. Anzitutto non eseguire un immediato “patch”, ovvero in gergo, non “mettere una pezza”, cioè aggiornare il proprio sistema nel corso di questi due anni, durante i quali la vulnerabilità di VMWare ESXi era ben nota. Inoltre un altro grosso errore è stato mettere in rete la “management console” delle proprie strutture informatiche, anziché isolarla. Questo doppio errore è stato commesso soprattutto dal provider francese OVH. Perciò la Francia ha subito molti più danni dell’Italia».
Nel nostro Paese hanno subito più danni le aziende private o le strutture pubbliche?
«Per quanto si sa fino a questo momento, in Italia sono state più che altro piccole aziende o medie imprese a subire danni, non il settore pubblico. Del resto, sebbene le strutture informatiche pubbliche siano in Italia spesso più arretrate di quelle del settore privato, il fatto stesso che esista l’Agenzia di Cybersicurezza Nazionale significa che qualcosa di nuovo si sta muovendo per la tutela cyber istituzionale. Del resto, il rilievo dato a questa vicenda potrei leggerlo anche come una sorta di “marketing” dell’Agenzia” per evidenziare le problematiche in questo ambito».
Chi è stato il responsabile di tali attacchi?
«Cominciamo col dire che la modalità dell’attacco è automatica, nel senso che il gruppo criminale che ha sfruttato questa breccia nei sistemi colpiti ha in sostanza eseguito vaste scansioni in rete rilevando dove esistevano queste falle. Poi attraverso la falla è stato insinuato un malware, generalmente di tipo ransomware, ovvero il blocco di dati e funzioni dietro riscatto. Dalla modalità di azione e dal tracciamento dei dati, nelle ultime ore è emerso che i criminali responsabili dovrebbero essere quelli del gruppo russo Black Basta, noto da tempo».
Un gruppo russo? E allora com’è possibile che la perdurante crisi Russia-Occidente non sia legata all’attacco?
«La maggior parte di questi gruppi criminali che attuano cyberattacchi sono russi. E sono noti da molti anni, da ben prima che iniziasse la crisi ucraina. Un altro gruppo che utilizza simili metodi è ESXiargs, si presume anche esso di origine russa. Di solito si riesce a risalire all’origine di queste bande tracciando il traffico di dati rubati e lavorando a ritroso. È però quasi impossibile arrivare alle persone fisiche, tenuto conto che spesso gli attacchi vengono rilanciati da “botnet”, in sostanza computer-zombie di cui gli hackers prendono il controllo, ma sono situati in paesi terzi». Insomma, par di capire che l’attacco di ieri, in sé, sia stato di tipo abituale e che abbia avuto effetti amplificati da negligenze. È un monito per il futuro? «Certamente tutti devono trarre come insegnamento che le difese cibernetiche di aziende e istituzioni, devono essere costantemente aggiornate non appena gli esperti segnalano la scoperta di una vulnerabilità. Se la breccia dei sistemi VMWare e ESXi è nota da ormai due anni e se fin da allora bastava a un operatore “patchare” con pochi click, è incredibile che molti non lo abbiano mai fatto in tutto questo tempo. Occorre invece aggiornarsi subito, il giorno stesso in cui si apprende del rischio. E poi è fondamentale non renderli accessibili dal web, o quantomeno schermare con efficaci firewall, i propri sistemi di management informatico».