immagine-preview

Lug 24, 2018

Troppi sistemi compromessi nelle reti italiane dietro recenti attachi

Da Singapore alla Finlandia. Un gran numero di dispositivi connessi a provider italiani sarebbero alla mercé di attaccanti che li utilizzano a proprio piacimento per colpire sistemi di tutto il mondo

Nelle scorse settimane abbiamo analizzato insieme i dati forniti dagli esperti dell’azienda di sicurezza F5 relativi agli attacchi contro le reti di Singapore in occasione dell’incontro Trump-Kim Jong-un (leggi qui).

In quel periodo lo stato asiatico è risultato essere la principale destinazione degli attacchi informatici su scala globale, è stato stimato che ha ricevuto un numero di attacchi 4 o 5 volte superiore quelli che hanno colpito gli Stati Uniti ed il Canada nel medesimo periodo. 

In quell’occasione circa 34% degli attacchi è originato dalla Russia, tuttavia l’Italia si collocava al quinto posto per attacchi a Singapore. 

Leggi anche: Cybersecurity, che nesso c’è tra gli attacchi al Summit Trump-Kim Jong di Singapore e l’Italia?

 

 

Questo dato è stato sottovalutato da molti, in effetti a suo tempo suggeriva la presenza di una ampia gamma di dispositivi compromessi ospitati nelle reti dei principali ISP italiani ma che sono sotto il controllo di attaccanti stranieri, probabilmente attori nation-state. 

 

Il secondo caso a pochi giorni di distanza

Alcune settimane dopo gli esperti di sicurezza di F5 hanno analizzato gli attacchi contro un altro meeting, questa volta tra il presidente americano Trump ed il presidente russo Putin, incontro tenutosi ad Helsinki in Finlandia il 16 luglio. 

 

 

Anche in questo caso la Finlandia è risultata essere il paese maggiormente colpito nei giorni precedenti l’evento, dato anomalo considerando che il Paese non figura tra gli obiettivi principali degli hacker. 

 

Gli esperti hanno notato molte similitudini tra i due attacchi, gli hacker hanno preso di mira ancora una volta sistemi VoIP ed i dispositivi dell’internet delle cose, con la chiara finalità di spionaggio. 

Da dove provenivano gli attacchi? 

Di seguito la graduatoria delle principali nazioni da cui sono stati lanciati gli attacchi e purtroppo troviamo ancora una volta l’Italia. 

  1. Cina (29%); 
  1. Stati Uniti (14%); 
  1. Francia (9%); 
  1. Italia (8%); 
  1. Russia (7%); 

Mentre la Cina risulta tra i paesi che notoriamente prendono di mira le reti della Finlandia, insieme a Stati Uniti e Russia, sorprendo i dati relativi a Germania ed Italia. 

Secondo F5 infatti si è osservato un significativo aumento nel coinvolgimento di sistemi ospitati nelle reti italiane e tedesche che sono stati utilizzati per attaccare le reti Finlandesi. 

Questa volta tuttavia F5 ha fornito maggiori indicazioni sull’origine degli attacchi, fornendo i dati relativi agli ISP coinvolti.  

ChinaNet risulta essere la principale rete dalla quale sono stati lanciati gli attacchi, ma dando un’occhiata alla tabella sottostante non possiamo non notare il provider italiano Aruba. 

Riassumendo, secondo F5 nei giorni dell’incontro Trump-Putin, un gran numero di dispositivi connessi alla rete del provider italiano Aruba erano utilizzati per lanciare attacchi verso la Finlandia. Gli stessi furono a suo tempo coinvolti negli attacchi contro Singapore, ergo abbiamo un gran numero di dispositivi connessi a provider italiani che sono alla mercé di attaccanti che li utilizzano a proprio piacimento per colpire sistemi di tutto il mondo. 

 

 

Questo dato è allarmante per due motivi, principalmente perché sistemi afferenti al nostro paese sono utilizzati da attori malevoli, probabilmente altri governi, ma soprattutto perché non siamo stati in grado di individuare il problema. 

La situazione è grave e lo dimostra un altro dato relativo ad una delle minacce che ha creato maggiori problemi alle reti di mezzo mondo, la botnet Mirai. 

Bene, secondo l’esperto che ha scoperto il malware, l’Italia nei giorni scorsi era il secondo paese al mondo per Command and Control della botnet Mirai ed i dati da me visionati e condivisi dal collega Odisseus con il CERT nazionale confermano il coinvolgimento di ISP italiani.  

I dati sono quindi coerenti con quanto riportato da F5, un esercito di dispositivi dell’Internet delle Cose pronti a colpire è presente nelle nostre reti ed apparentemente è fuori controllo. 

Aggiungo inoltre che Mirai è solo una delle molteplici botnet che quotidianamente sono utilizzate per lanciare attacchi di vario tipo, quindi probabile che molte altre minacce alberghino nelle nostre reti pronte a colpire a comando. 

La situazione è davvero delicata …  

 

Rimani sempre aggiornato sui
temi di StartupItalia!
iscriviti alla newsletter