Quello che sappiamo intanto è che il 23 marzo scorso il Cert-Agid, un tempo la squadra di pronto intervento per tutta l’informatica della Pubblica amministrazione, ha comunicato l’esistenza di una campagna di malspam, cioè email malevole i cui mittenti usano come esca il logo del Mite, e finti indirizzi del suo ufficio relazioni con il pubblico, per prendere all’amo chiunque ci caschi e riversargli nel computer il malware Ursnif.
Siccome quasi tutti gli attacchi informatici iniziano settimane o mesi prima attraverso queste campagne di malspam, c’è stato chi ha ipotizzato che il pericolo rilevato dal Mite potesse essere legato proprio a questo trojan informatico.
Ursnif è un pericoloso malware di tipo as a service, cioè un vendita o affitto a chiunque lo paghi, che infetta velocemente le macchine bersaglio ed è molto gettonato dai cosiddetti Iab, gli Initial access broker, gli intermediari che rivendono le credenziali rubate a chi vuole eseguire un attacco informatico.
Altra ipotesi è che la decisione di spegnere tutto sia derivata dall’intercettazione sul perimetro ministeriale di Cobalt Strike, uno strumento per testare le difese informatiche diventato uno dei tool preferiti dai cyber criminali per sfruttare le vulnerabilità dei sistemi bersaglio con apposite tecniche d’attacco. Rilevare la sua presenza, il suo “agent”, sulla macchina della vittima (si chiama Beacon), significa che l’attaccante è già penetrato nella infrastruttura e che la Cyber Kill Chain, i passaggi necessari a colpire la vittima, è stata già avviata, visto che permette l’esecuzione di comandi, esfiltrazione e upload di file, acquisizione di privilegi amministrativi sui pc. Costa solo 3.500 dollari ed è alla portata di qualsiasi criminale, ma è stato usato anche dagli hacker russi di Conti Group, schierati col Cremlino. Il Mite ha affermato tuttavia che per ora non ci sono evidenze di un’eventuale furto di dati.
Se spegnere i computer è apparsa a molti esperti come una risposta improvvisata, in questo caso potrebbe essere stata la scelta più giusta da fare, consapevoli, come ha dichiarato il direttore dell’Agenzia nazionale per la cybersicurezza, Roberto Baldoni, della necessità di sanare, e presto, le vulnerabilità dei sistemi digitali della nostra pubblica amministrazione.