Una nuova ondata di attacchi informatici ha colpito svariati siti di istituzioni italiane nella mattina di sabato, per mano del gruppo di hacker filorussi Noname057(16). Questi attacchi, che sono una replica di episodi simili avvenuti nei mesi precedenti, hanno causato disagi temporanei e interruzioni nei servizi a causa di attacchi Ddos (Distributed Denial of Service). Questi attacchi saturano i sistemi informatici con un volume enorme di dati, ma le operazioni di ripristino hanno rapidamente riportato la situazione alla normalità. Il team del Csirt dell’Agenzia per la cybersicurezza nazionale è stato impegnato nel supportare le istituzioni colpite per ristabilire le funzionalità dei siti.
I bersagli degli hacker hanno incluso importanti enti governativi e aziende di trasporto pubblico. Tra i siti presi di mira vi sono quelli dei ministeri degli Esteri, Infrastrutture e Trasporti, e del Made in Italy. Coinvolti anche la Consob, i Carabinieri, la Marina e l’Aeronautica militare. Anche le aziende di trasporto pubblico come Atac di Roma, Amat di Palermo e Amt di Genova sono state oggetto degli attacchi, insieme a Sienamobilità e Gtt Torino. La lista include anche due siti della Guardia di Finanza, uno dedicato ai concorsi della Difesa, alcune agenzie del ministero dell’Interno e pagine relative al rilascio delle carte d’identità.
Questi attacchi hanno coinciso con la visita in Italia del presidente ucraino Volodymyr Zelensky e presentano una struttura e una portata simili agli attacchi precedenti degli attivisti filorussi. Tuttavia, diversamente dal passato, quando gli attacchi venivano sferrati verso le 8-8:30 del mattino, questo episodio è iniziato tra le 7 e le 7:15. I disagi sono stati relativi, poiché l’Agenzia per la cybersicurezza nazionale ha prontamente avvisato i bersagli, ribadendo le misure di mitigazione adottate per contenere l’impatto.
Tra le strategie impiegate dai ministeri per difendersi vi è il geofencing, che permette di rendere i siti accessibili solo da determinate aree geografiche. L’Agenzia, che è stata operativa sin dal primo momento dell’attacco, continua a fornire supporto tecnico insieme ai tecnici delle organizzazioni colpite per evitare ulteriori danni.
