I messaggi inviati dalle sedi diplomatiche sulle crisi in Siria e Libia con l’aggiornamento degli interessi italiani in Tripolitania. Le discussioni sull’impatto delle sanzioni alla Russia. I contenuti di riunioni informali tra i ministri della Difesa europei e di quelle del Comitato politico strategico sul contrasto al terrorismo. E poi i report dei negoziati per il raddoppio del gasdotto Nord Stream, le posizioni dei governi sui flussi migratori sulla rotta balcanica; il consiglio Ecofin con tanto di ordine del giorno commentato e le relative posizioni paese e persino le attività di addestramento della Nato. È il prezioso bottino di cui si sono impadroniti i cyber criminali entrati nella rete informatica della rappresentanza Permanente d’Italia presso l’Ue e della Farnesina. Un’altra prova della debolezza delle infrastrutture strategiche italiane che si aggiunge alla vulnerabilità del vecchio software anti-hacker dell’Esercito.
L’offensiva è durata dal 2013 al 2016 e ha consentito di accedere alle informazioni sul personale diplomatico, alti vertici compresi. La prima incursione su cinque postazioni della nostra Rappresentanza a Bruxelles dura due giorni, poi le talpe si annidano all’interno della rete e durante un anno e mezzo attaccano altre quattro volte. 1760 i messaggi esfiltrati.
Nelle loro mani entra di tutto: dall’approvazione del decreto ricapitalizzazione banche in Grecia agli aggiornamenti sulla presenza Usa in Afghanistan, dall’analisi della situazione in Donbass al rapporto della delegazione Ue sullo stato dell’economia russa. Neppure l’allora presidente del Consiglio Matteo Renzi è al sicuro, arrivano ad avere informazioni fin nei dettagli dell’incontro a Roma con il presidente iraniano Hassan Rouhani. Gli attaccanti vanno a caccia anche di tutte le comunicazioni relative alla tecnologia industriale, al dual-use e alle commesse commerciali. Si impossessano dei dettagli sulla straordinaria scoperta di giacimenti di gas nel Mediterraneo di Eni, la più grande mai effettuata nell’area, e persino di quelli sulla partecipazione italiana alla cybertech in Israele.
Chi sono i predatori? I nostri analisti ritengono gli attacchi riconducibili a “Uroburos”, un malware diffuso dal gruppo Apt 28, per molti legato al Gru, l’agenzia di intelligence militare russa. Ad agire però non sono solo loro. L’intrusione alla Rappresentanza è stata perpetrata anche dai cinesi K3Chang e Zegost. Hanno obiettivi chiari: avere informazioni sulla tutela degli interessi finanziari europei, le misure antifrode. Gli attacchi coincidono con i momenti in cui l’Unione prende decisioni delicate su Iran e Ucraina. Prima del luglio 2015, quando è stato trovato un accordo sul nucleare iraniano, agiscono sia i russi sia i cinesi. Lo stesso nel gennaio 2016 mentre il Consiglio revoca le sanzioni economiche e finanziarie. Tra il 2 e il 7 settembre 2015 si registra un picco dell’attività di “Uroburos” che torna in azione anche a dicembre. Proprio gli stessi periodi in cui l’Ue deve decidere sulla proroga delle sanzioni nei confronti della Russia.
La Rappresentanza, guidata prima da Carlo Calenda, oggi ministro dello Sviluppo Economico e poi dall’ex ambasciatore al Cairo Maurizio Massari, è un ottimo accesso alle informazioni che passano sulla rete della Farnesina, ma per i criminali non è sufficiente. L’attacco è incrociato. Tra il 13 e il 14 aprile 2015, 126 utenze del ministero degli Esteri ricevono un messaggio da un account gmail con l’oggetto “Helicopter Initiatives”. La mail contiene un link ad un sito creato appositamente e chiuso non appena raggiunto l’obiettivo. Lo ricevono l’ambasciatore a Malta Giovanni Umberto De Vito e quello a Baghdad Massimo Marotti, membri della rappresentanza presso le Organizzazioni Internazionali a Vienna e della Nato. E ancora il capo di gabinetto, l’ambasciatore Ettore Sequi, oggi a Pechino, e il suo vice Michele Baiano, adesso vice segretario generale. Di fatto l’intero vertice della Farnesina è spiato. Quanto all’attribuzione non è certa, ma si ritiene altamente probabile che sia stato sempre Apt28.
Trascorrono appena pochi mesi e durante l’estate a colpire, secondo gli analisti, sono i cinesi. Questa volta puntano sul ministro e attuale premier Paolo Gentiloni e poi la direzione generale per gli affari politici e di sicurezza, le unità di politica estera e di difesa comune. Ancora oggi non è chiaro cosa abbiano rubato. Dal ministero, dopo aver ammesso un’incursione fino a primavera 2016, si sono affrettati a a dire: “a seguito del primo attacco c’è stato un intervento di rafforzamento”, di più “nessun documento sensibile è stato preso”. L’attacco però è proseguito almeno per l’intero 2016.
E dire che avevano agito già nell’estate 2013, con la stessa modalità. Dopo tre anni, solo nell’ottobre 2016, è stato costituito un team interministeriale che non potrà però rimediare alla perdita di informazione strategiche per la sicurezza nazionale.
Lascia un commento