Dal Computer Security Incident Response Team giunge un importante allarme di sicurezza che coinvolge l’Italia. Si tratta di un allarme che parte dall’Agenzia per la Cybersicurezza e che vede l’Italia fin da oggi al centro delle possibili mire russe in tema di cybersecurity. Il nostro Paese, insomma, viene immediatamente tirato in ballo da quello che è presentato come un alert urgente, invitando ad immediati controlli finalizzati ad allontanare i pericoli che la Russia potrebbe rappresentare anche per il nostro Paese.
Queste le parole di Roberto Baldoni, testuali: “Esistono possibili rischi cyber derivanti dalla situazione ucraina“. Il problema, per essere compreso, va anzitutto contestualizzato.
L’Italia nel mirino dei russi
Il contesto è quello che tutti conosciamo, con la Russia che sta attaccando l’Ucraina e il mondo che sta prendendo posizione nei confronti di questa offensiva. La NATO ha risposto compatta e l’Europa sta per annunciare un pacchetto di sanzioni (già anticipato come estremamente pesante) del quale Italia, Germania e Francia sono protagonisti. Se è stato Macron a tentare di tenere aperte le trattative con la Russia in nome della sua attuale rappresentanza delle autorità europee, il Governo italiano ha lavorato fin qui in secondo piano cercando la diplomazia prima e stimolando le sanzioni poi.
Poco fa, alla Camera dei Deputati, Mario Draghi ha espresso chiaramente la propria visione su quanto sta accadendo: gli equilibri successivi alle guerre mondiali, a cui ci eravamo abituati negli ultimi 70 anni per interpretare il mondo ed i rapporti di forza, è rapidamente mutato e d’ora in avanti si apre uno scenario completamente nuovo. Tra le righe, insomma, c’è un messaggio non trascurabile: l’Italia è inevitabilmente al centro di questa mutazione dell’orizzonte internazionale, pienamente allineata in questo alle forze NATO.
L’inizio della cyberwar
In questo contesto va dunque inquadrato il messaggio di allarme proveniente dal CSIRT odierno. L’Italia, in quanto rientrante tra i target russi di potenziali offensive cyber, ha il dovere di alzare subito le proprie difese ed occorre che ognuno faccia la propria parte.
‼️ DIFESA ALTA – MASSIMI CONTROLLI INTERNI ‼️
⚠️ Disponibili urgenti IoC relativi al "wiper" distribuito in Ucraina ⚠️ pic.twitter.com/yfiHYOZzAC
— CSIRT Italia (@csirt_it) February 24, 2022
Si parte da quanto già noto: in Ucraina (nonché nelle repubbliche baltiche) è stato riscontrato un nuovo malware denominato HermeticWiper che potrebbe potenzialmente essere utilizzato anche nel nostro Paese. Occorre pertanto avviare un immediato screening per salvaguardare le nostre infrastrutture. Spiega l’alert sulla base delle nuove evidenze firmate Symantec:
Si allegano ulteriori indicatori di compromissione pubblicati dalla società di sicurezza Symantec e indicatori comportamentali (non malevoli). In merito a questi ultimi indicatori, si evidenzia che HermeticWiper, per effettuare l’operazione di data wiping, utilizza disk driver legittimi di EaseUS Partition Manager, un software lecito di gestione dei dischi. Tali driver sono presenti in forma compressa all’interno delle risorse del malware stesso, e dopo essere stati estratti e decompressi, sono rilasciati sul disco con estensione “.sys”.
Il worm, “le cui peculiarità consistono nel distruggere intenzionalmente i dati presenti su un dispositivo al fine di renderli irrecuperabili, minando il corretto funzionamento sistema operativo in esecuzione“, ha finalità distruttive e la sua eventuale presenza nel nostro Paese sarebbe, oltre che deleterio, anche prodromica di una minaccia latente ben più seria di ordine geopolitico.
“Ove non già provveduto e in aggiunta all’adozione delle migliori pratiche in materia di cybersicurezza“, aggiunge l’Agenzia, “si raccomanda di implementare urgentemente gli indicatori di compromissione disponibili in allegato e di elevare il livello di attenzione adottando in via prioritaria, le azioni di mitigazione elencate nella precedente pubblicazione di questo CSIRT“.
Azioni di mitigazione
Il documento indicato suggerisce un doppio ordine di azioni:
- Misure organizzative/procedurali
- Verifica della consistenza e disponibilità offline dei backup necessari al rispristino in particolare dei servizi di core business.
- Identificazione dei flussi informativi e delle componenti direttamente interconnesse con partner e/o localizzate presso reti ucraine.
- Implementazione di una zona demilitarizzata (demilitarized zone – DMZ) per le connettività Business-to-Business (B2B)
- Identificazione degli asset critici per lo svolgimento delle principali attività (e.g. processi di business).
- Applicazione del principio di privilegio minimo (least privilege) per i sistemi con relazioni di trust e/o con la possibilità di accesso da remoto.
- Incremento delle attività di monitoraggio e logging.
- Aggiornamento dei piani di gestione degli incidenti cyber in base alle eventuali modifiche architetturali introdotte.
- Creazione, aggiornamento, mantenimento ed esercizio periodico di capacità di incident response, di un piano di continuità operativa e resilienza in caso di perdita di accesso o controllo di un ambiente informatico (IT) e/o operativo (OT).
- Designazione di un team di risposta alle crisi con i principali punti di contatto, ruoli/responsabilità all’interno dell’organizzazione, inclusi tecnologia, comunicazioni, legal e continuità aziendale.
- Assicurare la disponibilità del personale chiave, identificare i mezzi necessari a fornire un supporto immediato per la risposta agli incidenti.
- Esercitare il personale nella risposta agli incidenti informatici assicurandosi che tutti i partecipanti comprendano i loro ruoli e compiti specifici.
- Prestare particolare attenzione alla protezione degli ambienti cloud prima di trasferire file rilevanti per le attività della propria organizzazione. Inoltre, si raccomanda di utilizzare i controlli di sicurezza resi disponibili dalle piattaforme cloud.
- Incrementare le attività di info-sharing con le strutture di sicurezza informatica con particolare riferimento allo CSIRT Italia.
- Misure tecniche
- Prioritizzazione delle attività di patching dei sistemi internet-facing.
- Verifica delle interconnessioni tra la rete IT e le reti OT prediligendo la massima segregazione possibile tra le stesse.
- Monitoraggio degli account di servizio e degli account amministrativi per rilevare eventuali attività anomale.
- Monitoraggio dei Domain Controller, in particolare gli eventi Kerberos TGS (ticket-granting service), al fine di rilevare eventuali attività anomalie.
- Ricerca di processi e/o esecuzione di programmi da linea di comando che potrebbero indicare il dump di credenziali, in particolare monitorando i tentativi di accesso o di copia del file ntds.dit da un Domain Controller.
- Monitoraggio dell’installazione di software di trasferimento file quali FileZilla e rclone, nonché dei processi associati agli strumenti di compressione o archiviazione.
- Monitoraggio del traffico di rete analizzando picchi anomali nella connettività di rete in uscita, in particolare verso destinazioni inusuali quali provider VPS e VPN, nonché la rete TOR.
- Prioritizzare le analisi a seguito di individuazione di codice malevolo (es. Cobalt Strike e webshell).
- Assicurarsi che tutti gli accessi remoti richiedano l’autenticazione a più fattori (MFA), in particolare per servizi VPN, portali aziendali rivolti verso l’esterno (extranet) e accesso alla posta elettronica (es. OWA o Exchange Online).
In allegato è disponibile un IOC (Indicatore di Compromissione) per procedere con le misure di monitoraggio e prevenzione.
L’Italia deve immediatamente agire, insomma. In ballo non ci sono più soltanto dati personali e interessi economici, ma anche molto di più. Alla luce di tutto ciò la cybersecurity non è più soltanto una importante questione privata e aziendale, ma è elevata a fondamentale questione di sicurezza nazionale.
Consulta tutte le ultime offerte di Punto Informatico.