Cyber-spionaggio contro l’Italia: mappa APT attive tra Cina, Russia e Iran
Un rapporto di https://research.checkpoint.com/ ha descritto nel dettaglio le operazioni di Silver Dragon, un sofisticato gruppo APT valutato come asset cinese che svolge operazioni di alto profilo contro organizzazioni nel sud-est asiatico e in Europa, con particolare attenzione agli enti governativi.
Silver Dragon ottiene principalmente l’accesso iniziale sfruttando i server rivolti al pubblico, ma è stato anche osservato condurre campagne di phishing.
Dopo aver sfruttato la vulnerabilità per entrare nel sistema, il gruppo utilizza strumenti come ShellCode personalizzato e Cobalt Strike per restare all’interno della rete senza essere scoperto e mantenere il controllo dei sistemi compromessi.
In particolare è stata individuata GearDoor, una nuova backdoor che comunica con gli attaccanti utilizzando Google Drive come canale di comando e controllo (C2).
Questo approccio non solo elude le tradizionali difese di rete, ma fornisce anche infrastrutture flessibili e resilienti per le operazioni in corso. Inoltre, il toolkit del gruppo include SilverScreen, un impianto di monitoraggio dello schermo nascosto, e SSHCmd, un’utilità leggera basata su SSH che consente l’esecuzione remota dei comandi e il trasferimento di file, dimostrando un’ampia e versatile capacità post-sfruttamento.
Durante l’analisi, si osserva come il gruppo evolve continuamente i suoi strumenti e le sue tecniche, testando attivamente e implementando nuove funzionalità in diverse campagne. L’uso di diversi exploit di vulnerabilità, caricatori personalizzati e sofisticate comunicazioni C2 basate su file riflette un gruppo di minacce ben fornito e adattabile.
Il gruppo cinese “Silver Dragon”
Il nome Silver Dragon compare in alcune analisi di sicurezza per indicare attività di cyber-espionage attribuite a operatori legati alla Cina.
Non è una denominazione standardizzata come lo sono APT41, APT10, Hafnium e Mustang Panda, ma potrebbe essere un alias mediatico o interno a specifiche società di cybersecurity.
Capacità operative attribuite a gruppi cinesi simili a “Silver Dragon”
I gruppi APT cinesi sono noti per operazioni di Intelligence tecnologica e strategica. Le loro capacità includono la compromissione di sistemi IoT verso Target frequenti quali le telecamere IP, i sistemi smart-city, i sensori urbani ed i sistemi di controllo traffico. I metodi utilizzati sono per lo più le vulnerabilità firmware le password di default o l’accesso ai server cloud di gestione CCTV.
Accesso ai sistemi di videosorveglianza
Compromettendo una rete di telecamere è possibile monitorare movimenti di persone e veicoli, osservare infrastrutture sensibili o raccogliere dati su basi militari o installazioni industriali. Questo si presenta come un metodo di Intelligence passiva molto usato nelle operazioni di cyber-spionaggio.
Infiltrazione delle infrastrutture urbane
Le smart-city sono un obiettivo interessante perché integrano telecamere, sistemi di sicurezza, gestione traffico, sensori ambientali e reti dati municipali.
I sistemi più vulnerabili spesso utilizzati in Europa sono essenzialmente le piattaforme VMS, le telecamere e i sistemi di controllo accessi.
Una loro compromissione consentirebbe una sorveglianza clandestina, la mappatura dei movimenti di interesse e la raccolta immagini di obiettivi sensibili.
Una loro compromissione può fornire l’accesso a informazioni strategiche.
Attività cyber attribuite a reti filo-russe
Nel contesto, sono diversi gli attacchi attribuiti anche a gruppi “hacktivisti filorussi” negli ultimi anni.
Tra questi il principale gruppo coinvolto è il “NoName057” che ha rivolto il suo interesse a ministeri italiani (Esteri, Economia, Infrastrutture), siti delle Forze armate, Carabinieri, Guardia di Finanza, aziende di trasporto pubblico e banche.
La principale tecnica utilizzata è quella del DDoS (Distributed Denial of Service) con successiva saturazione dei server con richieste artificiali
Secondo le autorità italiane gli attacchi hanno provocato solo disservizi temporanei, senza accessi ai dati sensibili.
La motivazione addotta dal gruppo è connessa al sostegno italiano all’Ucraina e le dichiarazioni del Presidente della Repubblica rivolte alla Russia.
Il NoName057 è chiaramente filo-russo e agisce in linea con gli interessi del Cremlino ed è altamente probabile che possa ricevere supporto o coordinamento informale da strutture vicine allo Stato, ma non è comprovato un controllo diretto ufficiale dei servizi segreti russi.
Attività cyber attribuite a reti filo-iraniane
Al momento non risultano operazioni pubblicamente confermate contro enti governativi italiani, ma diversi report di cybersecurity indicano che in gruppi cyber iraniani conducono operazioni di ritorsione contro paesi occidentali che includono malware, phishing mirato, compromissione account, campagne di disinformazione e attacchi a infrastrutture critiche.
Nel contesto internazionale i target tipici delle campagne iraniane sono le infrastrutture energetiche, i sistemi militari, gli istituti finanziari, le università e centri di ricerca
Al momento l’Italia viene considerata target primario, soprattutto perché è partner della NATO, fornisce supporto militare a Ucraina e Israele ospita basi USA di importanza vitale.
Possibili target italiani
In prospettiva di uno scenario di cyber-espionage le infrastrutture italiane più sensibili indichiamo quelle già ben note:
Infrastrutture militari
- bunker sotterranei
- depositi di munizioni
– basi NATO
– basi USA
– porti militari
Infrastrutture urbane
- sistemi di videosorveglianza delle grandi città
- sistemi di controllo traffico
- smart-city networks.
Infrastrutture industriali
- aziende aerospaziali
- difesa
- cantieristica navale
- telecomunicazioni.
Perché l’Italia è un target imprescindibile
Dal punto di vista dell’intelligence cyber l’Italia offre diversi vantaggi strategici che vanno da quelli militari (basi NATO, basi USA e hub logistici per il Mediterraneo), industriali (aziende aerospaziali, difesa e cantieristica navale), tecnologici (reti smart city diffuse e infrastrutture critiche con sistemi legacy).
Valutazione di intelligence
Il livello della minaccia russa risulta alto per attacchi DDoS, operazioni di propaganda e il cyber-sabotaggio limitato mentre il livello della minaccia dall’Iran viene valutato come medio-alto, tenendo conto degli ultimi eventi connessi con il conflitto in corso in Medio Oriente. Essenzialmente si basa sullo spionaggio Humint e sull’infiltrazione di Asset durante eventi pubblici della dissidenza o l’utilizzo dei medesimi agenti per il monitoraggio preventivo di obiettivi sensibili israeliani e statunitensi.
Diverso il discorso legato al livello della minaccia cinese. Viene giudicato, a differenza dei precedenti, come “alto ma silenzioso”. Comprende le branche del cyber-espionage, la raccolta dati strategici e l’infiltrazione infrastrutturale.
Una mappatura completa delle APT attive contro l’Italia, con particolare riferimento a quelle di Russia, Cina, Iran, Corea del Nord risulta di alto interesse poiché integrata con gruppi specifici, tecniche di attacco e settori italiani più colpiti ed altresì emergono alcuni gruppi poco noti che operano già da anni nelle reti europee.
I target tipici negli interessi degli hacker di stato sono identificabili nei numerosi “think tank” di settore, i siti militari, le università, le infrastrutture energetiche e le aziende aerospaziali.
Di seguito, presentiamo una mappa sintetica delle principali APT straniere che nei report di sicurezza europei (CERT-EU, ENISA, centri di cybersecurity nazionali) risultano attive contro infrastrutture europee e potenzialmente italiane. Non tutte operano esclusivamente contro l’Italia, ma le campagne coinvolgono settori presenti anche nel nostro Paese.
Cina
APT41 alias: Barium, Wicked Panda
Target principali: industria tecnologica, telecomunicazioni, difesa, università
Tecniche: supply chain attack, malware custom, exploit zero-day
APT41 è considerato uno dei gruppi più aggressivi e versatili.
APT10, alias: Stone Panda
Target principali: provider IT, servizi cloud, società di consulenze
Obiettivo principale: impadronirsi di dati sensibili di molte aziende tramite un singolo provider IT.
Mustang Panda
Target europei: ministeri, ONG, think tank, organizzazioni diplomatiche
Tecniche tipiche: spear-phishing, malware su documenti PDF/Word.
Russia
APT28 Associato al servizio segreto militare russo GRU
Target: ministeri difesa, organizzazioni NATO, infrastrutture governative.
Tecniche: spear-phishing avanzato, malware militare, furto credenziali.
APT29 collegato al servizio segreto estero russo SVR
Target: istituzioni politiche, ricerca scientifica, sanità, farmaceutica.
APT29 è noto per operazioni di lungo periodo estremamente stealth.
Iran
APT33 connesso con IRGC e VEVAK
Target: energia, aviazione, petrolio, infrastrutture industriali.
Tecniche: malware wiper, phishing mirato.
Profilo di intelligence del gruppo APT33
Il gruppo APT33 è considerato una delle principali unità di cyber-offensiva associate alla Repubblica Islamica dell’Iran. Opera dal 2013-2014 ed è stato analizzato da diverse società di sicurezza e agenzie governative occidentali.
APT33 è conosciuto con diversi nomi operativi: APT33, Elfin, Refined Kitten, Holmium, MuddyWater.
Queste denominazioni derivano da diverse società di cybersecurity che hanno studiato il gruppo.
Collegamenti statali
Le analisi di sicurezza collegano APT33 a strutture governative iraniane, in particolare: il Corpo della guardie della rivoluzione islamica (o Pasdaran) e gli Apparati di intelligence iraniani (MOIS – Ministero dell’Intelligence e sicurezza Intelligence e VEVAK Ministero delle informazioni e della sicurezza nazionale della Repubblica Islamica) sempre impegnati nello sviluppo di programmi cyber-offensivi nazionali.
L’obiettivo strategico è la raccolta di intelligence industriale e militare e, in alcuni casi, per la preparazione di attacchi distruttivi.
Obiettivi principali
APT33 ha concentrato le sue operazioni su settori specifici: Difesa e aerospazio, aziende aeronautiche, contractor militari occidentali, programmi UAV e missilistici, settore dell’energia, petrolio, gas, infrastrutture energetiche, aviazione civile e militare, trasporti e logistica
Paesi più colpiti
Le operazioni sono state concentrate contro organizzazioni in USA, Arabia Saudita, UK, Corea del Sud, EAU e, secondo alcuni rapporti di Intelligence europea, anche in Italia e Germania.
Tecniche operative (TTP)
APT33 utilizza metodi relativamente sofisticati ma spesso basati su tecniche classiche quali:
1. Spear phishing, email mirate con allegati malevoli.
2. Malware personalizzati tra cui: Shamoon, DropShot e TurnedUp
3. Credential harvesting, furto credenziali tramite pagine clone.
4. Supply chain compromise, attacco a fornitori di aziende strategiche.
Capacità distruttive
Una caratteristica rilevante del gruppo è l’uso di malware wiper. Nel contesto appare rilevante l’utilizzo specifico del malware Shamoon, conosciuto anche come W32.Disttrack già utilizzato per la cancellazione di hard disk, la distruzione di reti aziendali e l’interruzione di attività industriali. Questo rende il gruppo non solo dedito allo spionaggio ma anche al sabotaggio cyber.
Indicatori tecnici osservati
Le campagne APT33 mostrano spesso domini registrati con temi aeronautici e server C2 distribuiti tra Europa orientale, Asia e hosting compromessi.
Valutazione di intelligence
APT33 viene classificato come una Cyber Unit strategica iraniana con tre missioni principali:
1. spionaggio industriale
2. raccolta intelligence militare
3. preparazione di cyber-sabotaggi.
Il gruppo è considerato come entità meno sofisticata di alcune unità russe o cinesi, ma molto più persistente e aggressiva. L’APT33 viene considerato come un’unità cyber offensiva strategica iraniana focalizzata su settori tecnologici e militari.Le sue operazioni in Europa mostrano tre obiettivi principali: l’acquisizione della tecnologia occidentale, la mappatura di infrastrutture critiche e la capacità di sabotaggio in caso di crisi geopolitica.
Valutazione analitica
APT33 rappresenta uno strumento della strategia iraniana di guerra asimmetrica digitale, utilizzato per compensare il gap tecnologico militare con i furti di tecnologie, l’intelligence industriale e la capacità di sabotaggio informatico.
Di seguito forniamo una ricostruzione delle principali operazioni attribuite al gruppo iraniano APT33 contro infrastrutture europee, con particolare attenzione ai casi che hanno coinvolto indirettamente o potenzialmente anche l’Italia.
Operazioni note di APT33 in Europa
1. Campagna contro il settore aeronautico europeo (2016-2018)
Obiettivi principali: aziende aerospaziali, contractor militari e centri di ricerca avionica
Paesi colpiti: UK, Germania e Francia.
Tecniche usate: spear phishing con finti documenti tecnici, malware “TurnedUp”, raccolta credenziali su portali aziendali.
Obiettivo strategico: acquisire dati su progettazione aeronautica, sistemi UAV e componenti avionici.
2. Operazione contro supply chain energetica europea (2017-2019)
APT33 ha spesso lanciato campagne contro società energetiche occidentali.
Settori bersaglio: petrolio, gas, logistica energetica.
Paesi coinvolti: Italia, Norvegia, UK
Metodo: spear phishing, compromissione account tecnici e installazione di malware dropper come “DropShot”.
3. Campagne contro infrastrutture industriali (2019-2021)
Le campagne hanno preso di mira: industrie manifatturiere e infrastrutture industriali di peso nazionale.
Paesi europei interessati: Germania, Paesi Bassi e Italia.
Obiettivo: spionaggio industriale e acquisizione di tecnologie dual-use.
4. Operazioni di preparazione al sabotaggio
Gli analisti ritengono che APT33 abbia anche effettuato attività di pre-posizionamento nelle reti.
Come già sottolineato, il malware associato a queste operazioni è “Shamoon”. Questo malware è noto per la capacità di cancellazione completa dei sistemi e la distruzione infrastrutture IT.
Finora è stato usato soprattutto in Medio Oriente, ma gli analisti ritengono che infrastrutture europee possano essere state mappate preventivamente.
Attività sospette in Italia
Nel contesto europeo, alcune attività attribuite a gruppi iraniani (tra cui APT33) hanno interessato i settori sensibili di energia, aerospazio, difesa e università ad indirizzo tecnico-scientifico.
Possibili vettori: spear phishing a ingegneri, compromissione VPN aziendali e furto di credenziali cloud.
Perché l’Italia è un target rilevante
L’Italia rappresenta un obiettivo strategico perché ospita basi NATO e USA, aziende della difesa e infrastrutture energetiche nel Mediterraneo.
Tra i nodi sensibili spesso citati nelle analisi cyber si rilevano Roma (sede di governo e ministeri), Milano (industria e finanza), Torino (aerospazio) e La Spezia (cantieri navali militari).
Schema operativo di APT33 in Europa
Ricognizione
↓
Spear phishing mirato
↓
Accesso iniziale alla rete
↓
Installazione malware backdoor
↓
Movimento laterale
↓
Esfiltrazione dati / preparazione sabotaggio
Il gruppo APT34 connesso con il MOIS iraniano
Target: governi, telecomunicazioni, università.
L’APT34 è noto per operazioni di spionaggio persistente nel Medio Oriente e in Europa.
Corea del Nord
Lazarus Group, uno dei gruppi più noti al mondo.
Target: banche, criptovalute, industria tecnologica.
Tecniche: ransomware, attacchi finanziari, infiltrazioni supply chain.
Quali sono i settori italiani più esposti
Secondo analisi di sicurezza europee i settori italiani più vulnerabili sono quelle connesse alla produzione e fornitura di energia, le telecomunicazioni ed i trasporti pubblici. Un ruolo di prim’ordine nei target iraniani, vi sono anche l’industria aerospaziale, i cantieri navali ed i sistemi militari, i settori della ricerca, le università e i centri tecnologici.
In sintesi le APT più attive contro infrastrutture europee, quindi potenzialmente italiane, sono principalmente legate a Cina, Russia, Iran e Corea del Nord.
La minaccia più sofisticata rimane quella cinese (spionaggio industriale), mentre Russia e Iran utilizzano cyber-operazioni anche per indurre pressioni geopolitiche.
Di seguito proponiamo un elenco delle città italiane più vulnerabili al cyber-spionaggio, basata su tre fattori principali: la presenza di infrastrutture militari NATO/USA, industrie della difesa o aerospazio, hub tecnologici e reti smart-city.
Nord Italia
Milano
Motivi di vulnerabilità: hub finanziario nazionale, sede di multinazionali tecnologiche, grandi reti smart-city e videosorveglianza, infrastrutture telecom e data center
Tipologia di attacchi probabili: cyber-espionage industriale, attacchi supply-chain IT compromissione delle reti urbane.
Torino
Motivi di vulnerabilità: industria aerospaziale, centri di ricerca automotive e difesa, collaborazione con programmi europei spaziali.
Rischi: spionaggio tecnologico, furto proprietà intellettuale.
Aviano
Motivi di vulnerabilità: base aerea statunitense, presenza di asset strategici.
Rischi di vulnerabilità: intelligence militare, tentativi di intrusione nelle reti di supporto.
Ghedi
Motivi di vulnerabilità: base aerea statunitense, presenza di asset strategici.
Rischi di vulnerabilità: intelligence militare, tentativi di intrusione nelle reti di supporto.
La Spezia
Motivi di vulnerabilità: base navale strategica, cantieri militari, attività di ricerca navale.
Rischi: intelligence navale e monitoraggio traffico militare.
Centro Italia
Roma
Motivi di vulnerabilità: centro politico e governativo, ministeri, agenzie di intelligence
Rappresentanze diplomatiche.
Tipologia di attacco: cyber-espionage politico, attacchi a infrastrutture governative, operazioni di disinformazione.
Pisa
Motivi di vulnerabilità: centri di ricerca avanzata, università scientifiche, hub tecnologici.
Rischi: spionaggio accademico, furti tecnologie dual-use.
Sud Italia
Taranto
Motivi di vulnerabilità: grande base navale militare e porto strategico nel Mediterraneo.
Rischi: intelligence navale e monitoraggio movimenti militari.
Napoli
Motivi di vulnerabilità: comando NATO Joint Force Command, infrastrutture militari e navali.
Rischi: spionaggio militare, attacchi informatici contro infrastrutture NATO.
Sigonella
Motivi di vulnerabilità: base aeronavale USA/NATO, hub strategico nel Mediterraneo.
Rischi: raccolta informazioni militari, monitoraggio operazioni aeronautiche.
Le vulnerabilità diffuse delle telecamere
Un elemento reale di vulnerabilitá riguarda la fragilità della sicurezza dei centri di comando delle telecamere IP. Indagini di cybersecurity hanno rilevato che decine di migliaia di telecamere italiane sono accessibili online per configurazioni errate o password deboli. Tra le città con più dispositivi esposti figurano proprio le città di Roma e Milano con oltre 10.000 dispositivi potenzialmente accessibili.
Un tema reale ma sottovalutato: i rischi connessi all’installazione di telecamere di fabbricazione cinese nelle smart city
Un’altra questione concreta riguarda l’uso di telecamere prodotte da aziende cinesi, che diversi governi europei considerano un rischio di sicurezza. Citiamo a titolo esemplificativo, la città di Amsterdam che ha deciso di rimuovere oltre 1.300 telecamere cinesi per timori di spionaggio. Le aziende più citate nei dibattiti di sicurezza sono la Hikvision e la Dahua Technology, entrambe già oggetto di severe restrizioni negli Stati Uniti, ma diffuse a livello globale, anche in considerazione dei bassi costi di vendita.
Notizie inquietanti dall’Iran
La recente acquisizione di una notizia relativa all’hackeraggio dei sistemi di telecamere IP nella Capitale italiana, da parte di agenti iraniani supportati da tecnologie e operatori cinesi, potrebbe nascere da tre elementi mescolati:
- vulnerabilità reali delle telecamere IP
- dibattito sul rischio delle tecnologie CCTV cinesi
- attività cyber iraniane in altri contesti (es. gruppi APT)
- Innalzamento delle soglie di rischio dovute alla crisi mediorientale.
Quando questi elementi si combinano, si generano facilmente narrative di intelligence seppur non verificate.
Stato della notizia
| elemento | valutazione |
| attacco iraniano a telecamere Roma | non confermato |
| vulnerabilità telecamere italiane | confermato |
| rischio sicurezza tecnologia cinese | documentato |
| operazione cyber iraniana su smart city europee | non documentata pubblicamente |
Conclusione
La voce sull’hackeraggio iraniano delle telecamere di Roma con tecnologia cinese non trova al momento riscontri verificati e sembra più vicina a speculazione o rumor informativo. E’ comunque plausibile l’ipotesi di un possibile sentore dell’attivazione di cellule iraniane connesse ai Pasdaran o alle reti islamiste legate a Hezbollah (Lebanese Cedar, Hezbollah External Security Organization – ESO), che operano sul territorio nazionale e possono essere state attivate a seguito degli eventi in corso nel teatro mediorientale.
La loro presenza, più volte segnalata anche su queste pagine, è stata probabilmente sottovalutata dagli Organi competenti che persistono in una futile politica di “Intelligence preventiva” che, in caso di gravi rischi per gli interessi nazionali, non ha più alcun motivo d’essere. Il passaggio ad un modello di “Intelligence aggressiva”, oramai praticata a livello globale, potrebbe rappresentare un salto di qualità nell’interesse di tutti.
PS: la presente analisi è priva di riferimenti specifici ad altri hub militari e industriali stanziati ed operanti nella Penisola che, seppur se noti ai redattori, non vengono riportati per motivazioni connesse alla sicurezza nazionale.
