L'Italia si conferma uno dei bersagli preferiti dei cybercriminali che operano a livello internazionale. Un primato tutt'altro che degno di nota. Questa volta, infatti, a finire nel mirino degli hacker è la Pubblica amministrazione. A rivelarlo è un'indagine di Italian Tech, che ha fatto luce su un cyberattacco che, negli ultimi giorni di aprile, ha colpito Sistemi Informativi, la società del gruppo Ibm che fornisce soluzioni IT a Pubblica amministrazione, grandi imprese italiane, gruppi finanziari, società delle telecomunicazioni e dell'energia. “Recentemente abbiamo identificato e contenuto un incidente di sicurezza informatica. Continuiamo a monitorare il nostro ambiente mentre indaghiamo la questione”, ha confermato Ibm, che ci ha tenuto a precisare di aver attivato “immediatamente il protocollo di sicurezza di risposta agli incidenti, coinvolgendo i principali esperti di sicurezza informatica, interni ed esterni, per affrontare la situazione”.La situazione, a detta della compagnia, è sotto controllo. “I sistemi di Sistemi Informativi sono stati stabilizzati - ha chiarito Ibm alla redazione di Italian Tech -, i servizi interessati sono stati ripristinati e continuiamo a monitorare il nostro ambiente mentre completiamo l'indagine, rafforziamo ulteriormente le misure di protezione e supportiamo i clienti interessati”. Inoltre, la società ha fatto sapere di aver già contattato le autorità di settore per avviare indagini volte a chiarire come i criminali informatici siano riusciti a infiltrarsi nei sistemi informatici. Nel frattempo, come ha precisato IBM, le analisi interne non hanno “identificato alcuna compromissione di dati o sistemi dei clienti del settore pubblico”. Nessuna esfiltrazione di dati, quindi. Solo un’incursione illecita da parte di cybercriminali non ancora identificati.Le ipotesi sui responsabiliMentre le indagini sul cyberattacco a Sistemi Informativi proseguono senza interruzioni, in rete circolano già le prime teorie sui responsabili dell'accaduto. Tra queste, a quanto pare, l'ipotesi più diffusa sembrerebbe essere quella che attribuisce l'attacco a Salt Typhoon, una cybergang filocinese nota per la capacità di mettere a segno attacchi APT, Advanced Persistent Threat, cyberattacchi avanzati che permettono ai criminali di rimanere all'interno dei sistemi informatici colpiti per un periodo di tempo prolungato.Attivo dal 2019, il gruppo si è fatto notare soltanto negli ultimi anni, dopo aver messo a segno una serie di attacchi importanti ai danni di società di telecomunicazioni, organizzazioni governative e infrastrutture critiche. Tra queste si annoverano le europee Citrix e Cisco, così pure come le statunitensi Verizon e T-Mobile, inserite in una più ampia campagna di cyberspionaggio, che ha permesso ai criminali cinesi di accedere alle comunicazioni private di politici, funzionari governativi e autorità di sicurezza. In tutti i casi, la strategia adottata è stata sempre la stessa: i criminali si sono infiltrati nei sistemi sfruttando vulnerabilità di sicurezza, vi sono rimasti in maniera silenziosa e poi hanno lavorato in maniera indisturbata per procedere con l'esfiltrazione dei dati. Una tecnica che sembra aver consentito ai criminali filocinesi di ottenere quello che vogliono: informazioni riservate sui paesi che reputano non alleati.Dal canto suo, però, IBM fa sapere che l’attacco non può essere in alcun modo attribuito a Salt Typhoon. “Coerentemente con le migliori pratiche del settore, non attribuiamo l'attività a un gruppo specifico, riconoscendo che l'attribuzione formale richiede standard probatori e fonti di intelligence che vanno oltre la sola analisi forense tecnica - chiarisce la società -. Tuttavia, a seguito di consultazioni con esperti e partner di cybersecurity interni ed esterni, valutiamo che l'attività osservata sia coerente con comportamenti sofisticati di spionaggio informatico”.Un rischio per la sicurezza nazionaleL’attacco dia Sistemi Informativi mette ben in evidenza come anche le aziende informatiche che collaborano con organizzazioni governative e grandi aziende nazionali siano diventate oramai bersagli sensibili, al pari delle infrastrutture critiche. “L’attacco a Sistemi Informativi deve preoccupare perché colpisce il cuore dell’infrastruttura digitale italiana, quella che gestisce dati e servizi essenziali per la Pubblica amministrazione - commenta Pierluigi Paganini, esperto di cybersecurity - Un’intrusione di questo tipo non mira solo al furto di informazioni, ma può compromettere la continuità dei servizi pubblici, aprendo accessi indiretti a reti statali e critiche”.