La strana “guerra silenziosa” che si combatte senza bombe né cannoni

ANCONA. Stavolta l’attacco informatico ha riguardato l’Authority di Ancona. Nel settembre scorso gli hacker avevano colpito l’ente portuale genovese (ma anche la Regione). Nel febbraio scorso una sventagliata di incursioni ostili ha interessato non solo il ministero delle infrastrutture (che sovraintende la portualità e gli enti che la governano a livello territoriale) ma anche le Autorità di Sistema di Taranto e Trieste così come Genova nel mirino del gruppo hacker filorusso “NoName057(16)”. A ciò si aggiunga che “Shipping Italy” riferisce che l’ente portuale di Venezia si è salvato in corner chiudendo le porte (informatiche). Attacchi in quello stesso periodo anche ai porti di Ravenna e di Civitavecchia. Sempre la testata online genovese ricorda il caso buffo di un altro attacco di “NoName”: mira sbagliata perché sui social, con tanto di spunta blu che attesta paradossalmente l’ufficialità del profilo, dice di voler colpire «i porti di Olbia e Golfo Arancia» (e ui c’è il primo svarione…) ma soprattutto a finire sotto tiro è un dominio che gli hacker non si accorgono esser stato abbandonato dopo l’accorpamento delle Autorità di Sistema.

Basta così? No. Agli inizia dell’estate 2023 gli attacchi informatici avevano bersagliato prima il porto di Trieste, poi in rapida successione le istituzioni portuali di Genova, Livorno, Gioia Tauro, Civitavecchia, Ancona, Taranto e Venezia. Poche settimane dopo l’aggressione russa all’Ucraina un gruppo filo-Putin aveva preso di mira il porto di Genova…

Nel nuovo scenario geopolitico la “guerra” è sì quella che si combatte in Ucraina, ad esempio, sono diffuse un po’ ovunque nel globo azioni di conflitto ibrido che mirano a danneggiare o sabotare le infrastrutture di un Paese con il quale vi sono ragioni di contesa, attrito, tensione: qualcosa di molto meno d’un attentato terroristico ma assai più pervasivo perché replicabile in cento posti diversi per tanti giorni diversi, e sostanzialmente senza lasciare “impronte digitali”. Una volta sono le cartelle cliniche di una serie di ospedale, un’altra tocca alle centrali elettriche della tal regione, gli scambi ferroviari lungo una certa linea o i semafori di un quartiere, gli apparati di bordo di una nave in uscita dal porto o gli archivi di un ministero, le pompe dell’acquedotto, la centrale caldaie di una grande fabbrica o l’illuminazione pubblica di una città. Per fare un esempio, qui il link a un approfondimento dell’Istituto per gli studi di politica internazionale (Ispi) nel quale si indicano quali sono i possibili rischi di software malevoli nella mobilità interconnessa delle auto elettriche: eppure sembrerebbe un settore che nulla ha a che fare con pericoli di attacchi “ibridi”, e invece…

Tutto questo è talmente vero che l’Italia ha in fretta e furia messo in piedi un Polo nazionale della dimensione subacquea (che unisce Marina militare e centri di ricerca, istituzioni e startup geniali, università e grandi imprese). Con un obiettivo: attrezzarsi per proteggere i cavi sottomarini. È maturata la consapevolezza che la capacità di difendere le comunicazioni digitali che passano nei cavi sottomarini sono un interesse fondamentalissimo per un Paese.

DALL’ARCHIVIO/1: qui il link all’articolo della Gazzetta Marittima riguardante l’incredible vicenda dei cavi sottomarini tagliati nel mar Rosso

DALL’ARCHIVIO/2: qui il link all’articolo della Gazzetta Marittima sulla crescita della rilevanza strategica del controllo dei fondali marini a protezione dei collegamenti digitali che sono le nuove “arterie” dell’economia

Tornando all’attacco informatico appena reso noto, vale la pena di segnalare che in realtà è avvenuto ben prima di Natale: l’11 dicembre scorso. L’Autorità di sistema portuale del mare Adriatico centrale ritiene che, in virtù della tempestività con cui si è riusciti a proteggere i dati, l’attacco «è riuscito a sottrare solo il 2% delle informazioni».

Fonti di stampa riferiscono che comunque si tratterebbe di «circa 56mila file suddivisi in 8mila cartelle»: è quanto riporta la stampa locale (Corriere Adriatico). Lo dice anche RaiNews rilanciando l’edizione marchigiana del Tg3 e riferendo che l’incursione di hacker ha colpito «anche documenti importanti, come la proposta di Msc per la gestione del terminal crociere, le password di accesso al Pnrr e le spese del presidente Vincenzo Garofalo». Inutile aggiungere che la cosa è stata è stata segnalata alla polizia postale e al Garante per la privacy, oltre ad informare «tempestivamente anche le rappresentanze sindacali e il personale dell’istituzione portuale».

L’Autotità di sistema portuale del mar Adriatico centrale ha il quartier generale a Ancona

Il Corriere Adriatico sottolinea che il collettivo Anubis ha rivendicato l’azione tramite l’ex Twitter (ora X) e ha pubblicato nel “deep web” i documenti sottratti. E se dal quartier genereale dell’Authority dicono che, in fondo tutto, il 98% dei file è salvo, il giornale anconitano segnala che in realtà dovrebbe essere stata hackerato «gran parte del materiale riguardante la vita amministrativa dell’Authority degli ultimi anni: basti pensare che tra i documenti pubblicati da Anubis c’è anche la relazione aggiornata sul progetto del banchinamento grandi navi al molo Clementino di ottobre 2025». Figurarsi che si tratta di documentazione che l’istituzione portuale ha spedito al ministero ma non sembra essere in mano «nemmeno agli uffici del Comune o della Regione».

Fra i documenti divulgati ci sono anche tanti dati relativi ai dipendenti dell’ente portuale: talvolta – dice il quotidiano marchigiano – non sono altro che i piani ferie ma nel mucchio c’è anche qualcosa di più delicato relativo alla salute dei lavoratori (medico di lavoro, fascicoli personali, certificati di malattia).

Per quanto paradossale possa apparire, l’attacco è avvenuto proprio mentre i documenti erano a un passo dall’esser messi al sicuro. In pratica, lo dice l’Authority: la sottrazione c’è stata «durante la migrazione dei dati dell’Autorità di sistema portuale al Polo strategico nazionale, l’infrastruttura per garantire la sicurezza e l’autonomia tecnologica sugli asset strategici per il Paese». Aggiungendo poi: «Dal report sull’attacco informatico emerge che le misure di sicurezza tecniche e organizzative adottate sono valse a limitare gli effetti negativi del fatto e che, continuando nell’attivazione di tutti i dispositivi, software e attività già programmate, questi eventi possono essere ulteriormente ridotti e resi meno impattanti».

DALL’ARCHIVIO/3: qui il link all’articolo della Gazzetta Marittima in cui nel novembtre scorso si segnalava che alle piccole imprese il cyber-attacco fa più paura del rischio di terremoto

DALL’ARCHIVIO/4: qui il link all’articolo della Gazzetta Marittima relativo al fatto che, secondo una indagine di Confartigianato, negli ultimi 4 anni in Toscana gli attacchi informatici sono raddoppiati

Secondo quanto riferito dall’ente portuale in una nota pubblicata sull’albo pretorio online, le misure di sicurezza in essere al momento della violazione comprendevano: firewall perimetrali, Soc, antivirus & antimalware, aggiornamenti. Immediatamente dopo l’attacco, per difendersi l’Authority riferisce di aver fatto questo:

• disconnessione del fileserver dalla rete;
• blocco pool server Rds;
• blocco Vpn site Adsp Mac to Psn;
• disabilitato utenza sospetta;
• filtro delle connessioni Rds solo dal territorio italiano;
• modificato deployment per consentire accesso al gruppo AccessiRdp con relativo inserimento degli utenti che devono accedere;
• eseguito scansioni antivirus/antimalware full dedicate.

Bob Cremonesi