Cinquantamila.it La storia raccontata da Giorgio Dell'Arti

Il ministero della Difesa italiano è stato bucato come una scatola di cartone da una crew di hacker russi conosciuta, nel mondo del web, con il nome di battaglia Apt28. E dall’ottobre del 2014 al maggio del 2015 un flusso continuo di notizie riservate è stato dirottato sui server dei pirati dietro i quali, secondo attendibili ricostruzioni di intelligence, ci sarebbe direttamente il Cremlino. La Procura militare di Roma indaga sull’attacco all’Italia con l’ipotesi di spionaggio internazionale.
Secondo quanto è stato possibile ricostruire fino ad oggi, l’aggressione digitale è però solo una parte di un piano molto più esteso che coinvolge Francia, Belgio, Lussemburgo e altri paesi occidentali, e ha come obbiettivo ultimo la Nato. Tra le informazioni confidenziali rubate, un cablo tra la Casa Bianca e gli alleati europei riguardante la base americana di Souda Bay a Creta.
L’INCURSIONE
L’incubo comincia una sera di maggio di un anno fa, quando si diffonde la notizia che il ministero della Difesa e “un altro importate dicastero” (gli Esteri) sono stati oggetto di un assalto cibernetico. La gravità dell’attacco è subito chiara. Tanto che la prima reazione di via Venti Settembre è quella di spegnere l’intera rete informatica. Seppur per poche ore le forze armate italiane tornano alla preistoria. Una rischio enorme per la sicurezza nazionale. Ma alcuni computer della Difesa sono connessi con quelli della Nato, e gli hacker avrebbero potuto usare l’Italia come porta d’accesso ai segreti militari e strategici del Patto Atlantico.
Dichiarato lo stato di crisi, negli uffici dello Stato maggiore si susseguono riunioni ai massimi livelli, alle quali viene convocato anche il generale Carlo Magrassi, allora consigliere per la sicurezza di Palazzo Chigi. E vengono chieste spiegazioni a Selex, la società di Finmeccanica responsabile della integrità dei server.
SOUDA BAY E LA NATO
Si capisce così che per quasi sette mesi qualcuno si è nascosto nella rete del ministero. «Niente di criptato relativo alla sicurezza nazionale è stato sottratto», assicurano oggi fonti qualificate del ministero guidato da Roberta Pinotti, assecondando così la prassi che in casi del genere prevede di non divulgare i danni subiti. Ma cosa cercavano gli hacker, quindi? E chi li mandava?
Torniamo al maggio scorso. Più o meno in contemporanea con l’Italia, altri Stati europei si accorgono di essere sotto attacco. In Belgio, secondo due fonti interpellate da
Repubblica, «gli hacker hanno fatto i danni veri». In particolare, viene intercettato il cablo con cui il Pentagono chiedeva agli alleati «copertura strategica» per la base di Souda Bay, a Creta.
Non è una base come le altre, quella. È il punto di riferimento statunitense per il Medio Oriente, l’occhio che monitora la situazione della Siria e dell’Iraq, nonché i movimenti della base russa a Tartus, in Siria.
I RUSSI DI APT 28
Si spiega così il fastidio statunitense per l’accaduto. Anche perché che dietro Apt 28 ci sia il Cremlino è un segreto di Pulcinella. Lo si capisce chiaramente leggendo i due report di riferimento che rimbalzano da qualche mese tra le agenzie di intelligence e le società di cyber security. Il primo, quello dell’americana Fire Eye, la “Microsoft del sicurezza on line”, è il più esplicito: «Le caratteristiche di Atp 28 – i loro obbiettivi, gli strumenti usati, la lingua e gli orari dei loro attacchi – ci permettono di concludere che il loro lavoro è sponsorizzato dal governo russo».
Le indagini contenute nel report – effettuate analizzando il “lavoro” degli antivirus installati sulle macchine di politici, membri di governo, capitani di industria dei paesi scelti come target – dimostrano come l’89 per cento degli attacchi portati sino ad oggi da Apt 28 sia stato effettuato nell’arco orario che, nel fuso di Mosca, va dalle 8 del mattino e le 6 del pomeriggio. Non solo, gli esperti hanno isolato interi pezzi di script dei malware compilati in cirillico.
Ma la pistola fumante, la prova regina del collegamento con il Cremlino è la scelta degli obbiettivi e le informazioni “esfiltrate”. Dal 2007 ad oggi sono stati attaccati da Apt 28 i ministeri della Difesa e degli Esteri della Georgia, un giornalista che stava scrivendo della questione del Caucaso, ed esponenti politici di primo piano di praticamente tutti i Paesi dell’Est Europa.
Stando al contenuto del secondo report, stilato da Bitfinder (altro colosso della cyber security), tra il 10 febbraio e il 14 febbraio dello scorso anno, proprio mentre era in corso l’attacco all’Italia e alla Nato, gli hacker di Apt 28 hanno scansionato otto milioni e mezzo di “ip” per cercare possibili vulnerabilità. «In quei giorni – osservano gli analisti – a Minsk, i leader di Bielorussia, Russia, Germania, Francia e Ucraina, stavano partecipando a un summit per discutere il cessate il fuoco nella regione nell’est dell’Ucraina Donbass».
IL PATTO ATLANTICO E GLI F-35
Ma il target che più di tutti denuncia il legame con il Cremlino è, secondo Fire eye, proprio la Nato. Che ancora nella “Dottrina militare russa” del 2014 è indicata come «il principale pericolo militare esterno». Per entrambi i report, bucare il perimetro della Nato è stato il vero sogno, il colpo grosso, sin dal 2007, per Apt28. Tanto che nel web esistono numerosi domini registrati dalla crew che imitano o copiano i nomi e le sigle delle varie istituzioni riconducibili alla Nato. Da quei domini sono partiti molti attacchi nel tempo, alcuni dei quali volti a esplorare le nuove tecnologie che gli americani avevano montato sui caccia F-35 “per integrare” le dotazioni dei T-50 russi.
Non è ancora chiaro come possano avere avuto accesso a quelle informazioni. In Italia la chiave per entrare nella Difesa è stato il furto informatico delle credenziali di un funzionario di una base militare, preso di mira appositamente con tecniche di phishing e utilizzando malware di ultima generazione. Software di spionaggio che nel mondo sono in pochi in grado di maneggiare. Quelli di Apt 28 ci riescono.

MARCO MENSURATI E FABIO TONACCI