Cosa significa che c’è stato un «attacco hacker globale»

Nel pomeriggio di oggi, 5 febbraio, e in generale a partire dall’inizio del fine settimana, una serie di concause e una serie di dichiarazioni da diversi Computer Emergency Response Team a livello internazionale (a partire dalla Francia, fino ad arrivare in Italia) hanno portato diversi organi di informazione a sintetizzare che era in corso un attacco hacker globale. In realtà, il problema è molto più complesso e Giornalettismo cercherà di spiegarlo correttamente: nella giornata di domani, ad esempio – e verosimilmente per i prossimi giorni -, dedicherà diversi articoli al tema, andando all’origine della questione. Per il momento, cerchiamo di fare il punto della situazione, aggiornata alla serata di domenica.

LEGGI ANCHE > La nostra sezione specializzata rispetto agli attacchi hacker

Attacco hacker globale, cosa significa e cosa sta succedendo in realtà

Innanzitutto, diamo subito la dimensione di quanto accaduto e l’elemento di distorsione che ha permesso a diversi utenti di avere una visione catastrofista di quello che stava accadendo. Nella giornata di domenica, uno dei più grandi provider di internet in Italia – TIM – ha avuto quelli che, per sintetizzare, potremmo definire problemi tecnici. Ma non si tratta di problemi tecnici legati a un attacco hacker: più che altro si trattava di una serie di errori a catena legati a una configurazione errata (come ha ricordato Matteo Flora su Twitter, per intenderci, si è trattato di qualcosa di più simile al down di Facebook che non a un attacco hacker). La polizia postale e la stessa TIM hanno escluso che si trattasse di un attacco hacker, parlando piuttosto di «un problema di interconnessione internazionale, sono in corso le analisi per la risoluzione». Secondo TIM, i problemi sarebbero rientrati nel corso del pomeriggio del 5 febbraio, anche se alcuni utenti continuano a registrare inconvenienti, soprattutto sulla rete fissa.

Contemporaneamente, però, ci si è trovati a dover gestire un attacco hacker – questa volta vero – che non ha riguardato soltanto l’Italia. Dal 3 febbraio, infatti, il CSIRT francese aveva avvisato che i server ESXi erano oggetto di un attacco: in modo particolare, si trattava di una vulnerabilità di quel tipo di software che, tuttavia, era già nota e che, in tanti, non avevano provveduto a fixare. La gang ransomware che ha sferrato l’attacco, praticamente, ha sfruttato questa vulnerabilità, tirando – per così dire – una monetina in aria. Quello che non era facilmente pronosticabile è che tantissimi sistemi non avevano provveduto a risolvere quella vulnerabilità nota.

Va in questa direzione, dunque, la nota dell’Agenzia per la Cybersicurezza Nazionale in Italia, che ha parlato di «diverse decine di sistemi nazionali verosimilmente compromessi» e che ha «allertato numerosi soggetti i cui sistemi sono esposti ma non ancora compromessi». Per quantificare i sistemi compromessi a livello globale, possiamo dire che siamo nell’ordine del migliaio di unità.

Per riassumere: il down di TIM *non* ha nulla a che fare con l’attacco hacker, anche se questo ha aumentato – nel cittadino comune – la percezione che qualcosa non stesse funzionando a livello di servizi digitali. In ogni caso, il problema al provider italiano si è verificato nella giornata del 5 febbraio e, a livello tecnico, sembra essere stato risolto. L’attacco ransomware, invece, non è una cosa da confinare soltanto alla giornata di oggi: affonda le sue radici in una vulnerabilità individuata già nel 2021 e sfruttata dai criminali informatici che hanno approfittato dell’indolenza di diversi sistemi. Su quest’ultimo problema si basano le comunicazioni dell’ACN in Italia e nei team di cyber-risposta di altri Paesi come la Francia.