Articolo a firma di Giacomo Lunardon – Servizi Tecnici Istituto Statale “A. Monti” di Asti e “CIS Controls Volunteer


Risale a qualche giorno fa la notizia di un attacco hacker al Ministero della Transizione Ecologica attraverso un’email spam in cui era presente, oltre al il logo del MiTE, anche un malware (probabilmente Ursnif).

L’Agenzia per la Cybersicurezza Nazionale e la Polizia Postale e delle Comunicazioni hanno avviato le indagini, che hanno subito evidenziato la rilevanza e la complessità dell’attacco.

La prima risposta messa in atto dal Ministero è stata quella di spegnere i computer, soluzione che si è rivelata necessaria per ripristinare i sistemi e colmare le vulnerabilità emerse.

Prendendo spunto da questo episodio, e riconsiderando quanto già esaminato nell’aprile del 2021, anche quest’anno proponiamo un commento alla relazione Clusit sulla sicurezza ICT in Italia e nel mondo, focalizzandoci in particolare sugli attacchi verso le pubbliche amministrazioni.

Analisi degli attacchi informatici

Nel mese di marzo 2022 è stato pubblicato il consueto rapporto annuale Clusit (scaricabile in versione integrale alla pagina clusit.it/rapporto-clusit), che riporta in una dettagliata analisi di oltre 200 pagine la situazione relativa agli attacchi informatici segnalati a livello globale.

Come già previsto l’anno precedente, nel 2021 le azioni dei cybercriminali sono cresciute del 10%, con sempre maggiori evidenze di collegamento con organizzazioni legate alla criminalità organizzata.

In linea di massima gli attacchi si sono verificati soprattutto nel continente americano (45%), anche se l’Europa ha visto un incremento del 5% (dal 16% del 2020 al 21% del 2021).

Lievi variazioni si sono invece verificate relativamente alle percentuali degli altri continenti.

Lo scorso anno è stato maggiore l’impatto degli attacchi di livello “critico”, sintomo del fatto che le azioni dei criminali informatici diventano sempre più professionali, sofisticate, e rivolte a obiettivi specifici, prendendo di mira i settori governativo, militare, sanità e informatico.

L’istruzione è in ogni caso coinvolta nel 9% degli episodi, con un valore non dissimile rispetto all’anno precedente.

I fenomeni di cybercrime statisticamente più diffusi prevedono l’utilizzo dei malware botnet provenienti da server compromessi, ma diventa rilevante anche la presenza di attacchi che sfruttano il malware FluBot studiato per i dispositivi Android, che viene distribuito attraverso sistemi di messaggistica e/o tattiche di phishing.

Il rapporto Clusit tocca svariati argomenti, e studia i fenomeni della cybercriminalità analizzando dati in modo statistico e valutando come le azioni messe in atto possano danneggiare i sistemi informatici di aziende e pubbliche amministrazioni.

In questa analisi consideriamo il capitolo dedicato a quest’ultimo settore, per far comprendere a dirigenti scolastici e esperti ICT quale sia la natura degli attacchi e come difendersi.

Le pubbliche amministrazioni sotto assedio

Nel 2021 le PA sono state colpite da un considerevole numero di minacce informatiche, e la sanità è stata l’obiettivo principale.

I dati analizzati mettono in evidenza una situazione preoccupante, soprattutto considerando che non ancora tutte le organizzazioni monitorano il traffico cifrato con il protocollo SSL (Secure Sockets Layer).

Il mancato controllo dei dati crittografati permette a una parte crescente delle azioni criminali di raggiungere l’obiettivo.

Oltre agli attacchi contenuti nel traffico cifrato, bisogna aggiungere che non tutte le PA possono adottare le soluzioni di sicurezza più recenti, che includono l’uso automatico di IoC (Indici di compromissione) da fonti esterne e vari algoritmi di intelligenza artificiale (per lo più basati su “machine learning” e “deep neural network”), utili per bloccare gli attacchi sconosciuti.

Le minacce più diffuse nell’ambito “Istruzione/Education” sono rappresentate dai seguenti Exploit/Malware/BotNet:

FluBot
Malware per Android che ruba le credenziali dei conti correnti delle vittime. Si diffonde utilizzando i contatti in rubrica e può rubare le password di altre app. In pratica, viene inviato sul cellulare un messaggio contenente un link che invita a installare un file .apk che, una volta eseguito, accede a dati personali, password, ecc.

Riskware/Renos
Software che mostra falsi avvisi di sicurezza piuttosto fastidiosi. Lo scopo è quello di indurre l’utente a scaricare programmi di utilità di pulizia di terze parti, solitamente scanner anti-spyware. I file scaricati potrebbero a loro volta contenere altri virus.

Andromeda.Botnet
Malware con varianti multiple, costituite da “backdoor” legate alla botnet Andromeda. È un bot modulare, le cui funzioni possono essere facilmente modificate tramite plugin. Un comportamento comune di questo malware è la sua capacità di verificare se viene sottoposto a debug. Può eseguire diversi comandi, come scaricare file, eseguire una “shell remota” e disinstallarsi dal sistema.

Telnet.Default.Credentials
Malware che esegue tentativi di accesso telnet utilizzando le credenziali predefinite del sistema. Controlla la presenza di nome utente e password telnet predefiniti comuni che sono precodificati nei dispositivi IoT. Un malware tipo Mirai esegue la scansione delle porte telnet tentando l’accesso con credenziali predefinite.

VBA/Agent.VSI
Malware che esegue attività all’insaputa dell’utente, tipo creazione di connessioni di accesso remoto, acquisizione di input da tastiera, raccolta di informazioni di sistema, download/caricamento di file, invio di altri malware nel sistema infetto, esecuzione di attacchi DoS, esecuzione/terminazione di processi.

PDF/Fraud.D458
Trojan di phishing inserito in un file apparentemente legittimo, ma che in realtà funge da meccanismo di consegna per programmi dannosi. Se il file viene aperto, il codice incorporato installa un malware sul dispositivo dell’utente, oppure scarica componenti pericolosi direttamente da internet.

ZeroAccess.Botnet
Una delle più grandi botnet conosciute, che coinvolge milioni di computer. Una caratteristica di ZeroAccess è l’utilizzo di un’architettura di comunicazione Command-and-Control. Non disponendo di un server centrale è molto difficile neutralizzarla. Un computer infettato da ZeroAccess si connette a diversi peer per propagare attraverso la rete istruzioni finalizzate ad azioni di cybercrime.

Tra le vulnerabilità fa notizia in particolare la libreria Java “Log4J”, utilizzata principalmente nei server Apache, ma anche in altri sistemi per la gestione dei log.

Individuato nel mese di dicembre 2021, questo difetto di sicurezza ha messo in evidenza diverse CVE (Common Vulnerabilities and Exposures), due delle quali catalogate come “critical”, ovvero facilmente sfruttabili dai cybercriminali.

Le attese per il 2022 non tranquillizzano, in quanto i pirati informatici proseguiranno nel miglioramento delle loro strategie mirate, puntando particolarmente sullo “smart working”, sempre più diffuso nelle PA.

Altro punto di attacco è rappresentato dal diffondersi dei dispositivi IoT (Internet of Things) e OT (Operation Technology).

L’azione degli hacker sarà improntata alla pianificazione, allo sviluppo e all’impiego di strategie di acquisizione degli strumenti che verranno utilizzati per lanciare gli attacchi.

Probabilmente i criminali informatici dedicheranno più tempo e sforzi alle attività di ricognizione e all’identificazione di vulnerabilità “zero-day”, per sfruttare le nuove tecnologie e garantirsi maggiori possibilità di successo.

Allo stesso tempo aumenterà la velocità di lancio di nuovi attacchi, vista la crescente espansione del fenomeno “Crime-as-a-Service”.

Considerata la tipologia generale degli attacchi, saranno più probabili le azioni criminose contro le piattaforme Linux, molto presenti nei sistemi di back-end della maggior parte delle PA, ma anche in alcune piattaforme di integrazione come WSL di Microsoft, che in vari test ha dimostrato di essere sensibile a questo tipo di problematiche.

L’interesse dei cybercriminali non ha limiti, e anche gli erogatori di servizi di interconnessione satellitare potranno essere oggetto di attacco: un esempio è ICARUS, un attacco DDoS specifico per queste reti, che ha l’obiettivo di congestionare un collegamento o un insieme di collegamenti di destinazione.

Altro tema di interesse è collegato all’evoluzione dell’utilizzo dell’intelligenza artificiale, in particolare i “deep fake”, ovvero la possibilità di imitare le attività umane (ad esempio il dialogo), al fine di mettere in atto azioni di “social engineering” perpetrando l’attacco di tipo “impersonation” in tempo reale su applicazioni vocali e video, che potrebbero permettere ai cybercriminali di superare eventuali riconoscimenti biometrici.

Purtroppo la diffusione di strumenti e tecniche per attuare azioni criminali informatiche diventa sempre più alla portata di tutti: non è infatti complicato reperire sul “dark web” informazioni su come mettere a segno azioni illegali a danno di qualsiasi sistema IT.

In sintesi, la sfida che ci attende è quella di adottare le strategie di difesa più recenti, pianificando con largo anticipo le mosse necessarie per prevenire i danni dovuti alle azioni criminose.

Come difendersi dagli attacchi informatici

Le PA non sono preparate ad affrontare una sfida di sicurezza globale come quella che si svilupperà nei prossimi anni.

Seppur non considerate obiettivi primari, le scuole hanno l’importante compito di tutelare informazioni identificative e dati personali di varia natura, che necessitano una particolare cautela nella loro gestione.

Tutti gli istituti (o quasi) si avvalgono della consulenza tecnica di addetti del settore, e per questo le garanzie minime di protezione dei sistemi informatici dovrebbero essere certe.

Purtroppo non sempre le ditte alle quali è affidato questo incarico sono in grado di progettare e gestire una rete informatica scolastica, e rimane quindi in carico al dirigente l’onere della verifica e del controllo.

Alcuni suggerimenti utili dal punto di vista tecnico e procedurale potrebbero essere:

  • Stipulazione di un contratto dettagliato con la ditta che offre assistenza, che riporti gli aspetti economici ma anche un elenco preciso di compiti, tempistiche e dotazioni oggetto di supporto
  • Ove possibile la costituzione “in rete” di più scuole, con lo scopo di istituire un coordinamento centralizzato in materia di sicurezza ICT e ridurre i costi
  • Controllo e verifica degli interventi tecnici eseguiti dal personale specializzato incaricato dell’aggiornamento dei sistemi operativi, dei software e degli antivirus
  • Adozione di una azione divulgativa e formativa in materia di sicurezza ICT rivolta al personale (soprattutto docente e amministrativo), per fornire gli strumenti minimi per il riconoscimento dei più diffusi pericoli informatici
  • Attribuzione di incarichi specifici al personale, che includano istruzioni dettagliate, modalità di accesso ai dati, procedure di segnalazione dei guasti, accesso ai sistemi fisici, ecc.

Gli strumenti reperibili in rete sono molteplici ma non alla portata di tutti.

Soprattutto dal punto di vista procedurale, il dirigente scolastico deve assicurarsi che le misure minime gestionali rispettino le indicazioni tecniche previste da framework operativi ufficiali, generalmente riconducibili a:

  • ISO 7498-4
  • Circolare Agid 18 aprile 2017, n. 2/2017
  • Framework Nazionale per la Cyber Security e Data Protection
  • Controlli CIS® Ver.8