L’Italia sotto attacco: i 5 maggiori cyberattacchi stranieri dal 2021 al 2024

Il 18 febbraio 2025, l'Italia è stata nuovamente vittima di un attacco hacker da parte del gruppo filorusso NoName057(16), che ha colpito i siti di importanti ministeri e forze di polizia, tra cui i ministeri delle Imprese e del Made in Italy, delle Infrastrutture e Trasporti, nonché i Carabinieri e la Guardia di Finanza.

Questo attacco, di tipo DDoS, rientra in una serie di azioni mirate che hanno coinvolto anche altri enti istituzionali e aziende italiane, come la banca Intesa Sanpaolo, nelle 48 ore precedenti. Sebbene non ci siano stati furti di dati o richieste di riscatto, la motivazione politica alla base di questi attacchi emerge chiaramente, con NoName057(16) che rivendica la responsabilità in risposta alle dichiarazioni del Presidente Mattarella riguardo la Russia.

L'episodio evidenzia ancora una volta la vulnerabilità delle infrastrutture digitali italiane e solleva preoccupazioni sulla capacità del paese di fronteggiare le crescenti minacce cibernetiche, legate non solo a motivazioni economiche ma anche geopolitiche.

Italia ancora sotto attacco degli hacker filorussi NoName057(16)

La giornata di oggi 18 febbraio 2025 è stata caratterizzata da un altro attacco hacker da parte del gruppo filorusso di NoName057(16): ad esser colpiti sono stati i siti dei ministeri delle Imprese e del Made in Italy e delle Infrastrutture e Trasporti ma anche quelli di Carabinieri e Guardia di finanza.

Sono stati attacchi di tipo DDos (Distributed Denial of Service), che prevedono di sovraccaricare i sistemi bersaglio con richieste di rete ripetute, causando interruzioni del servizio. Anche ieri 17 febbraio un cyberattacco simile era stato realizzato dallo stesso gruppo di hacker, coinvolgendo però una delle principali banche del paese, Intesa Sanpaolo.

Punishing Italy with DDoS missiles to websites????https://t.co/ziHUBe1W4f

❌Access to agencies, subdomain of the Governments Website
https://t.co/UpHuLrC4kU

❌Italian Ministry of Infrastructure and Transport (dead on ping) https://t.co/CBC9t6CGR4

❌Ministry of Economic… pic.twitter.com/LNPwVxh6uX

— NoName057(16) (@Noname05716) February 18, 2025

Non risultano furti di dati o informazioni sensibili, così come non sembrerebbero state veicolate agli enti e aziende coinvolte richieste di riscatto. Questo è un modus operandi molto gettonato in passato, specie contro le Aziende sanitarie regionali o quelle che si occupano di energia (come l'Enel). La motivazione di NoName057(16) questa volta però è squisitamente politica, come si evince nel loro post di rivendicazione pubblicato sul loro canale Telegram:

Come abbiamo scritto sopra, il Presidente della Repubblica Italiana, Sergio Mattarella, ha paragonato la Russia al Terzo Reich, scatenando una forte reazione da parte del Ministero degli Esteri russo. Mosca ha già promesso che tali dichiarazioni non saranno prive di conseguenze. 

La "responsabilità" di ciò che è accaduto nelle ultime 48 ore sarebbe quindi nelle parole folli e sconsiderate che Mattarella aveva utilizzato agli inizi di febbraio per commentare l'invasione della Russia ai danni dell'Ucraina.

Il parallelismo Russia-Terzo Reich aveva provocato la reazione scomposta e virulenta della portavoce del ministero russo degli Esteri, Maria Zakharova, che aveva paventato "conseguenze" a seguito del discorso del capo di Stato italiano.

Perché le infrastrutture italiane sono così deboli?

NoName057(16) è un gruppo di hacker filorussi nato nel 2022 e si è reso responsabile di diversi cyberattacchi nei confronti dell'Italia, specie in occasione di quei momenti della politica internazionale che segnalavano la vicinanza italiana alla causa ucraina. Quando la premier Giorgia Meloni agli inizi di gennaio 2025 ribadì il suo sostegno al presidente ucraino Volodymyr Zelensky, NoName057(16) attaccò i siti di diversi ministeri (Esteri, Sviluppo economico, ecc.).

Comments made by the Italian President have triggered a response by pro-Russian hacktivists Noname057(16).

This type of geopolitical trigger has been the catalyst for continued hacktivist attacks since February 2022 and, in particular, is the main motivation for Noname05716 and… pic.twitter.com/PTPY0sbMId

— CyberKnow (@Cyberknow20) February 17, 2025

I disservizi, come accennato, non hanno portato a grossi danni ma ancora una volta è necessario sottolineare quanto l'Italia sia in difficoltà in situazioni di questo genere. A parole tutti i partiti politici sono concordi nell'indicare che la cybersicurezza, nazionale e non, sia importante anche alla luce dell'uso distorto che ne fanno stati e gruppi "antagonisti".

La Corea del Nord è indicata da anni come uno stato all'avanguardia in questo genere di azioni criminali, principalmente a scopo di estorsione. La Russia ha sviluppato il comparto dei cyberattacchi anche per creare disordine e caos nei paesi a sostegno dell'Ucraina: l'Italia è uno dei bersagli preferiti, ma perché?

La questione delle infrastrutture e delle pratiche adeguate è centrale e le opposizioni all'attuale governo lamentano un certo pressappochismo e lassismo nel reagire. Puntare su adeguati profili è altresì necessario, anche per evitare che le agenzie che si occupano di sicurezza informatica siano affidate a persone anziane e poco avvezze alla pratica.

Gli altri cyberattacchi stranieri all'Italia dal 2021 al 2024

Come abbiamo visto, la situazione presenta un quadro dai contorni allarmanti e che segnala una difficoltà da parte dei decisori politici di adeguarsi al mutato sfondo anche geopolitico. Se nella mente di ognuno di noi può nascere l'idea che i paese che aiutano e foraggiano l'Ucraina possano diventare il bersaglio della guerra asimmetrica russa, c'è anche da dire che negli anni precedenti al conflitto russo-ucraino tante aziende, enti, ministeri e cittadini privati hanno subito cyberattacchi davvero pesanti.

Pro-Russia group NoName057 targeted Italian airport websites on Dec 28, 2024. Impact: DDoS attacks on Milan's Malpensa and Linate airports, Foreign Ministry, and others. TTPs: Distributed Denial of Service. MITRE ATT&CK ID: T1498 (Network Denial of Service). No specific IoCs…

— Peter Girnus (@gothburz) December 29, 2024

Esclusi i due attacchi avvenuti nel 17-18 febbraio di quest'anno, il periodo 2021-2024 ha visto dati preoccupanti sulla qualità e quantità degli attacchi da parte di gruppi hacker. La motivazione politica può esser talvolta una patina dietro la quale agisce quella economica, per il furto di dati con finalità di riscatto (tramite pagamenti in Bitcoin o altri strumenti non tracciabili).

Ecco un elenco degli attacchi più gravi subiti dall'Italia negli ultimi 4 anni, causati da gruppi hacker di diversa estrazione e nazionalità:

• Nell'ottobre 2021 la SIAE fu vittima di un attacco ransomware da parte del gruppo di hacker Everest. Questi riuscirono a installare un ransomware nel sistema interno dell’organizzazione, criptando e rubando oltre 60 GB di dati;
  
  
• Sempre nel 2021, Enel subì un doppio attacco ransomware nel 2021. I cybercriminali rubarono 4,54 TB di dati utilizzando i malware Snake/Ekans e NetWalker; nonostante le richieste di riscatto, l'azienda rifiutò di pagare;
  
  
• Nel gennaio 2022, Noname057 prese di mira i siti di banche come Intesa Sanpaolo, Monte dei Paschi di Siena e Iccrea, nonché i porti di Taranto e Trieste e aziende come Vulcanair. Anche il gruppo filopalestinese Alixsec colpì aziende come Olidata, Skillbill e Zucchetti Design;
  
  
• Nel gennaio 2023, sempre filorusso Noname057(16) lanciò attacchi DDoS contro vari siti istituzionali italiani, tra cui quelli dei ministeri degli Esteri, dei Trasporti, dello Sviluppo Economico e della Marina Militare, bloccandoli per qualche tempo;
  
  
• Infine nel gennaio 2024, lo stesso gruppo hacker filorusso ripeté gli attacchi DDoS contro i siti di diversi ministeri italiani, tra cui Esteri, Infrastrutture e Trasporti, quelli dell'aeroporto di Malpensa, nonché aziende del trasporto pubblico locale come l'Atac di Roma, l'Amat di Palermo e l'Amt di Genova; anche la banca Intesa Sanpaolo e Monte dei Paschi di Siena vennero colpiti da Noname057(16).

I tre punti salienti dell'articolo

• Attacchi hacker e motivazioni geopolitiche: il 18 febbraio 2025, il gruppo hacker filorusso NoName057(16) ha colpito numerosi siti istituzionali italiani, tra cui i ministeri e le forze di polizia, utilizzando attacchi DDoS. La motivazione alla base di questi attacchi è di natura politica, in risposta alle dichiarazioni del Presidente Mattarella riguardo la Russia.

• L'incapacità di protezione delle infrastrutture italiane: nonostante l'assenza di danni gravi o furti di dati, l'episodio evidenzia la vulnerabilità delle infrastrutture digitali italiane. Le critiche al governo riguardano la gestione inefficace della cybersicurezza e la difficoltà di adattarsi alle minacce geopolitiche.

• Storia di attacchi hacker contro l'Italia: l'Italia è stata oggetto di numerosi cyberattacchi dal 2021 al 2024, principalmente da parte di gruppi hacker filorussi. Questi attacchi hanno colpito entità pubbliche e private, come banche, aeroporti e ministeri, sottolineando un crescente problema di sicurezza informatica nel paese.