Leggi il foglio

Occhi sulla Difesa

Un traffico anomalo su pagine sensibili del ministero della Difesa italiano porta a indirizzi cinesi

Giulia Pompili

L’aumento degli accessi, concentrato tra fine dicembre e inizio gennaio, mostra pattern compatibili con un’attività di ricognizione informativa. Le visite si concentrano su sezioni tecniche e amministrative: tutti dati utili all'intelligence. I dati per ora non consentono attribuzioni definitive, ma l’anomalia c'è, e il messaggio pure 

Il 23 dicembre scorso il sito internet del ministero della Difesa italiano ha visto un incremento anomalo e apparentemente ingiustificato di accessi ad alcune pagine riconducibili a indirizzi Ip cinesi. Secondo i dati analizzati dal software Matomo, l’aumento degli accessi è persistente, ed è quindi compatibile con un’attività di ricognizione informativa sistematica. Vuol dire: intelligence da fonti aperte. E che sia una potenziale attività d’intelligence lo dimostra anche l’elenco delle pagine web più visitate: la sezione Amministrazione trasparente da sola concentra oltre settemila accessi diretti. Dentro quell’area, obbligatoria per legge, ci sono dati che consentono di ricostruire filiere, priorità operative e assetti interni dell’amministrazione.

 

Serve ancora molto tempo per consentire un’analisi strutturata e definitiva dei dati, ma alcuni elementi possono essere utili a comprendere la natura dell’attività. L’anomalia degli accessi è stata rilevata e monitorata dalla Difesa, che secondo fonti del Foglio ha avviato un’indagine più approfondita del traffico.

 

             


Secondo i dati consultati dal Foglio, le pagine più consultate dal massiccio arrivo di utenti localizzati in Cina risultano essere, tra le altre, quelle dei bandi di gara, dei contratti, e delle specifiche tecniche dei materiali di commissariato: sono le pagine spesso corredate da file pdf che elencano materiali ed equipaggiamento di caserme e soldati, e sono pieni di dettagli sui requisiti tecnici del ministero. Per esempio, che tipo di requisiti debba avere il gruppo elettrogeno affidato a una base operativa o a un campo avanzato, la sua trasportabilità e il tipo di carburante; oppure il tipo di giubbotto antiproiettile da affidare a una determinata unità, compreso lo spessore e i materiali. L’altro gruppo di pagine molto consultato è quello che riconduce alle direzioni generali, per esempio la sezione del segretariato generale della Difesa e la direzione nazionale degli Armamenti, con centinaia di accessi concentrati su uffici, staff e procedure di mobilità e compensazione del personale (cioè quando un dipendente, civile o militare, chiede di trasferirsi altrove e viene “compensato” da un dipendente con profilo analogo da altra amministrazione). Anche in questo caso la navigazione non sembra casuale, perché si basa su ingressi diretti da indirizzi specifici, e suggerisce quindi una consultazione mirata: nell’intelligence open source, cioè da fonti aperte, certe informazioni servono a sapere, per esempio, dove mancano persone, quali competenze servono e quali strutture sono in movimento, e se ci sono ex dipendenti che possono essere target per ottenere informazioni. Diversi accessi riconducono poi alle attività del ministro Guido Crosetto e alle missioni militari italiane all’estero, per esempio in Kosovo e in Libano. 

               


Restano alcuni elementi di incertezza. Per esempio non è possibile stabilire con certezza che gli indirizzi Ip geolocalizzati in Cina siano effettivamente riconducibili a infrastrutture cinesi, perché l’uso di Vpn e proxy rende questo tipo di attribuzione sempre problematica. Ma non sarebbe  la prima volta che apparati statali cinesi, compreso il potente ministero della Sicurezza di Pechino, utilizzano indirizzi Ip “in chiaro” come forma di messaggio indiretto, rendendo così visibile l’origine dell’attività di monitoraggio, un po’ come si fa anche nelle esercitazioni militari non virtuali. C’è poi un altro dettaglio: i dati non consentono di capire se dietro a quegli indirizzi vi siano utenti fisici o sistemi automatizzati, magari con l’aiuto dell’intelligenza artificiale, perché le modalità di accesso sono compatibili sia con l’attività umana sia con i bot dedicati allo scraping mirato di informazioni, che è un sistema ampiamente usato nelle attività di intelligence da fonti aperte. Secondo gli esperti contattati dal Foglio, non è poi possibile escludere del tutto che l’attività osservata rappresenti una fase preliminare di ricognizione, potenzialmente funzionale a successivi attacchi cyber. 

 


L’ultimo incontro di Crosetto con funzionari militari cinesi risale a maggio dello scorso anno, e al momento non ci sono altri vertici in programma, ma il tempismo dell’attività, se fosse effettivamente attribuita a Pechino, sarebbe in linea con modalità operative già note, con l’intensificazione delle attività cyber durante i periodi festivi, cioè quando i livelli di monitoraggio si riducono. Quel che è certo, per ora, è che non si tratta di una semplice anomalia.

Di più su questi argomenti:
  • Giulia Pompili

  • È nata il 4 luglio. Giornalista del Foglio da più di un decennio, scrive soprattutto di Asia orientale, di Giappone e Coree, di Cina e dei suoi rapporti con il resto del mondo, ma anche di sicurezza, Difesa e politica internazionale. È autrice della newsletter settimanale Katane, la prima in italiano sull’area dell’Indo-Pacifico, e ha scritto tre libri: "Sotto lo stesso cielo. Giappone, Taiwan e Corea, i rivali di Pechino che stanno facendo grande l'Asia", “Al cuore dell’Italia. Come Russia e Cina stanno cercando di conquistare il paese” con Valerio Valentini (entrambi per Mondadori), e “Belli da morire. Il lato oscuro del K-pop” (Rizzoli Lizard). È terzo dan di kendo.

I più letti di Esteri