Red Hot Cyber
La cybersecurity è condivisione. Riconosci il rischio, combattilo, condividi le tue esperienze ed incentiva gli altri a fare meglio di te.
Cerca
Red Hot Cyber Academy

L’Italia passa al contrattacco. Tra giurisprudenza, 0day, malware e capacità offensive facendo molta attenzione

Massimiliano Brolli : 14 Agosto 2022 08:35

Autore: Massimiliano Brolli

Nell’ambito del decreto “Aiuti” del 9 agosto 2022 n.115 “Misure urgenti in materia di energia, emergenza idrica, politiche sociali e industriali”, nell’articolo 37 sulle disposizioni in materia di intelligence relative all’ambito cibernetico, per la prima volta si inizia a parlare di controffensiva cyber in caso di attacco.

La presidenza del Consiglio quindi acquisisce il potere di adottare:

Vorresti toccare con mano la Cybersecurity e la tecnologia? Iscriviti GRATIS ai WorkShop Hands-On della RHC Conference 2025 (Giovedì 8 maggio 2025)

Se sei un ragazzo delle scuole medie, superiori o frequenti l'università, oppure banalmente un curioso di qualsiasi età, il giorno giovedì 8 maggio 2025 presso il teatro Italia di Roma (a due passi dalla stazione termini e dalla metro B di Piazza Bologna), si terranno i workshop "hands-on", creati per far avvicinare i ragazzi alla sicurezza informatica e alla tecnologia. Questo anno i workshop saranno:

  • Creare Un Sistema Ai Di Visual Object Tracking (Hands on)
  • Social Engineering 2.0: Alla Scoperta Delle Minacce DeepFake
  • Doxing Con Langflow: Stiamo Costruendo La Fine Della Privacy?
  • Come Hackerare Un Sito WordPress (Hands on)
  • Il Cyberbullismo Tra Virtuale E Reale
  • Come Entrare Nel Dark Web In Sicurezza (Hands on)

  • Potete iscrivervi gratuitamente all'evento, che è stato creato per poter ispirare i ragazzi verso la sicurezza informatica e la tecnologia.
    Per ulteriori informazioni, scrivi a [email protected] oppure su Whatsapp al 379 163 8765


    Supporta RHC attraverso:


    Ti piacciono gli articoli di Red Hot Cyber? Non aspettare oltre, iscriviti alla newsletter settimanale per non perdere nessun articolo.

    “misure di intelligence di contrasto in ambito cibernetico, in situazioni di crisi o di emergenza a fronte di minacce che coinvolgono aspetti di sicurezza nazionale che non siano fronteggiabili solo con azioni di resilienza, anche in attuazione di obblighi assunti a livello internazionale”.

    Ne avevamo parlato recentemente, del fatto che non è nuova la tattica quella di utilizzare gli hacker da parte dei governi, dove per “hacker” intendiamo anche quella figura che riesce a penetrare le coscienze, il pensiero, il sistema sociale, indirizzandolo o gestendolo per conto di qualche potenza, o di un gruppo di persone.

    Tutto questo è una forte spinta da parte del livello politico ad un radicale cambiamento dovuto al contesto geopolitico attuale, che introduce un lungo percorso tra giurisprudenza, intelligence e capacità tecnologiche avanzate.

    Chi potrà colpire

    Il decreto descrive il modo in cui l’intelligence potrà passare al contrattacco. Tutto questo dopo che il primo ministro, in accordo con il Comitato parlamentare per la sicurezza della Repubblica, ordini di colpire un altro paese straniero.

    L’intelligence è lo strumento di cui lo Stato si serve per raccogliere, custodire e diffondere ai soggetti interessati, siano essi pubblici o privati, le informazioni rilevanti per la tutela della sicurezza delle Istituzioni, dei cittadini e delle imprese.

    L’intelligence svolge, pertanto, un ruolo fondamentale e imprescindibile per il quale si serve di professionalità provenienti da ambienti diversi che agiscono secondo peculiari procedure volte a salvaguardare la riservatezza degli operatori e delle loro attività.

    A colpire quindi saranno l’Agenzia informazioni e sicurezza esterna (Aise) e l’Agenzia informazioni e sicurezza interna (Aisi).

    Organigramma delle intelligence italiane (fonte sicurezzanazionale.gov.it)

    Le intelligence potranno quindi schiacciare il tasto “Enter” per sferrare attacchi informatici sotto il coordinamento del Dipartimento delle Informazioni per la Sicurezza (DIS). Il DIS è invece un dipartimento della Presidenza del Consiglio dei Ministri d’Italia, istituito nel 2007 nell’ambito della riforma dei servizi di sicurezza italiani.

    In buona sostanza, le intelligence espanderanno il loro potere operativo, oltre alla consueta raccolta di informazioni, fino a governare veri e propri controattacchi cibernetici, avvicinando il nostro paese ad una logica Five Eyes.

    Qualcosa di completamente diverso

    Per l’Italia è qualcosa di diverso rispetto gli schemi del passato e anche in questo caso si tratta di un percorso per acquisire capacità sia in termini tecnologici che di cultura nelle operazioni cibernetiche.

    Inoltre, viste le parole abbastanza interpretabili del decreto, l’ambito legale dovrà fare un grande sforzo per delimitare le modalità e i poteri dell’ambito operativo.

    Non sarà facile, anche in termini di personale coinvolto che dovrà essere impiegato in queste operazioni fino ad oggi sconosciute, ma altrettanto importanti in un’era dove la guerra cibernetica è diventata una realtà e dove molti governi si sono dotati di eserciti cibernetici a protezione della propria sicurezza nazionale, mentre altri, per acquisire proprietà intellettuale e fondi per i propri programmi di sviluppo interno.

    Ma contro attaccare un governo ostile, vuol dire acquisire e potenziare le capacità offensive delle intelligence in ambito cyber e questo intende disporre di elevate capacità tecniche di penetrazione dei sistemi, di 0day e di malware, di capacità di social engineering e di cyber threat intelligence e molto altro ancora. Tutte cose disponibili nelle intelligence, ma da potenziare e da indirizzare verso obiettivi completamente diversi dal passato.

    Sappiamo anche che tutti i governi utilizzano affiliazioni con gruppi di hacker sponsorizzati dallo stato, e la lista è lunga partendo dagli Stati Uniti D’America con Equation Group, APT-C-39, Umbrage per poi arrivare alla Russa come APT28, Fancy Bear, Cozy Bear o dalla Cina come APT41, APT18, APT 20, solo per citarne alcuni. Pertanto è possibile che questo avvenga anche per l’Italia.

    Un gruppo di hacker sponsorizzati dallo stato risulta molto utile in un contesto di guerra cibernetica in quanto non pone lo Stato come artefice di un attacco informatico, ma lo protegge. Depista le tracce, è silente e fa il lavoro sporco per suo conto, dove in caso di accusa negherà di essere stato lui il mandante dell’operazione in quanto tutto è generalmente torbido e controvertibile. Perché questo è il cyber warfare e se vuoi entrarci dentro ti devi preparare bene e valutare tutti i possibili scenari conseguenti.

    Gli attori dello stato-nazione faranno di tutto per coprire le loro tracce e per rendere il più difficile possibile per gli esperti di sicurezza informatica risalire al loro paese di origine, utilizzando “false flag” per fuorviare gli sforzi di attribuzione anche se non sempre ci riusciranno.

    I rischi derivanti l’utilizzo dei cyber weapons

    Dobbiamo anche tenere in considerazione che i furti di cyber weapons all’interno dei silos delle intelligence fanno molto preoccupare gli esperti di cybersecurity, in quanto una fuoriuscita di exploit pronti all’uso potrebbero riversarsi nel darkweb e generare ondate di attacchi informatici mai visti prima. Dato che noi italiani non siamo particolarmente ferrati nella protezione delle infrastrutture informatiche (e questo lo si vede con i costanti attacchi ransomware alla pubblica amministrazione), questi potrebbero essere dei rischi reali con i quali dovremmo fare i conti anche con la community internazionale qualora ci fosse una compromissione di questa natura, una volta acquisite e stoccate tali capacità.

    Ricordiamoci che l’infezione di Wanna Cry, vide la luce da una perdita dell’exploit EternalBlue (una vulnerabilità molto critica di Microsoft Windows sul protocollo Samba) a causa di una compromissione di un server della National Security Agency (NSA) degli Stati Uniti D’America ad opera di The Shadow Broker nel 2017.

    Anche se la storia non è molto chiara attorno a questa vicenda, è certo che un gruppo hacker antagonista o addirittura degli insider si infiltrarono nelle infrastrutture dell’intelligence statunitense trafugando un grosso bottino di exploit dove ancora oggi si scoprono sempre novità. Si tratta appunto di “THe Lost In Translation”, una pubblicazione di dati fatta nel 2017 da parte di “The Shadow Broker” che spesso abbiamo trattato su queste pagine.

    Concludendo

    Non abbiamo fatto qualcosa di particolarmente innovativo, sia chiaro, ma è un altro tassello di un puzzle molto più ampio che piano piano si sta tentando di sviluppare, soprattutto in un periodo dove la geopolitica attuale necessita in ambito cibernetico di un forte cambiamento.

    Come al solito, ora dobbiamo calare un decreto difficile da mettere a terra, in un contesto operativo, sia a livello di giuridico e sia a livello tecnologico.

    Inoltre, su questi fronti l’operatività è la cosa più complessa da sviluppare, vista anche la carenza innata nel nostro paese di figure specializzate in offensive security, quanto mai necessarie in un ambito di attacco.

    Gli stati che hanno puntato ad aumentare queste capacità ci stanno lavorando da più di un decennio e molti altri si sono organizzati in modi simili da diversi anni. Noi italiani ci siamo arrivati come al solito in ritardo, ma come si dice: meglio tardi che mai.

    Possiamo quindi dire che l’Italia e la politica italiana hanno fatto una “full immersion” di cybersecurity in un anno e mezzo di incidenti di rilievo, guerre e geopolitica e che probabilmente hanno capito che occorre lavorare su questi argomenti in modo massiccio anche dal punto di vista operativo.

    Inoltre, si sta delineando con precisione a livello Italia, i compiti dell’Agenzia di Cybersicurezza Nazionale (ACN) rispetto alle operazioni di intelligence e di contro attacco informatico, facendo comprendere con precisione le differenze di mandato.

    Ora speriamo che tutti questi grandi investimenti, decreti, annunci e “belle slide” che dipingono tantissimi progetti ambiziosi, inizino a portare dei tangibili risultati e a farci sentire, come popolo italiano, un pochino più al sicuro.

    Massimiliano Brolli
    Responsabile del RED Team e della Cyber Threat Intelligence di una grande azienda di Telecomunicazioni e dei laboratori di sicurezza informatica in ambito 4G/5G. Ha rivestito incarichi manageriali che vanno dal ICT Risk Management all’ingegneria del software alla docenza in master universitari.
    Visita il sito web dell'autore

    Articoli in evidenza

    Kidflix è crollato! La piattaforma dell’orrore è stata smantellata: 79 arresti e 39 bambini salvati

    Oggi i bambini sono un po’ più al sicuro grazie ad una operazione di polizia coordinata da Europol che ha portato alla chiusura di Kidflix. Si tratta di una delle più grandi piattafor...

    Arriva Flipper One! : Kali Linux, FPGA e SDR in un solo dispositivo?

    Uno degli autori di Flipper Zero, Pavel Zhovner, ha condiviso i dettagli su come stanno procedendo i lavori su una nuova versione del multi-strumento per hacker: Flipper One. Lo sviluppatore ha pubbli...

    DarkLab intervista HellCat Ransomware! La chiave è “assicurarsi che tutti comprendano la cybersecurity”

    Il ransomware HellCat è apparso nella seconda metà del 2024 e ha attirato l’attenzione degli analisti grazie all’umorismo delle sue dichiarazioni pubbliche. Ricordiamo l’...

    X/Twitter nel Caos! Un Threat Actors pubblica 2.8 Miliardi di Account Compromessi

    Il 28 marzo 2025, un utente del noto forum di cybersecurity BreachForums, con lo pseudonimo ThinkingOne, ha rivelato quello che potrebbe essere il più grande data breach mai registrato nel mondo ...

    Signal è abbastanza sicuro per la CIA e per il CISA. Lo è anche per te?

    Quando Jeffrey Goldberg dell’Atlantic ha fatto trapelare accidentalmente un messaggio di gruppo privato di alti funzionari statunitensi su un possibile attacco contro gli Houthi nello Yemen, ha...