A due mesi dall’attacco informatico ai sistemi dell’Alto Adige, furono hacker russi. Gasslitter: “E’ stato un avvertimento”
19 Agosto 2025Bolzano – Anche l’Alto Adige ha pagato, subendo un attacco informatico, i risvolti negativi di un mondo sempre più interconnesso.
Era il 23 giugno quando un gruppo di hacker filorussi ha paralizzato i sistemi telefonici della centrale provinciale d’emergenza dell’Azienda sanitaria, della Centrale viabilità provinciale, del Corpo permanente dei vigili del fuoco e del Servizio radiocomunicazioni della Provincia autonoma.
Secondo quanto si apprende, gli hacker, che hanno crittografato la configurazione delle centrali telefoniche mandando in blocco gli automatismi, apparterrebbero al gruppo di cybercriminali conosciuto con il nome di Akira, con sedi in Russia e in Paesi dell’ex Unione Sovietica. È certo, inoltre, che tra loro gli hacker comunicassero in russo.
“Il loro obiettivo era ottenere un riscatto in cambio delle chiavi per decriptare i sistemi e farli tornare operativi – ha detto Stefan Gasslitter (nella foto), direttore generale di Informatica Alto Adige, la società in-house della Provincia autonoma che si occupa, per conto dell’Ente, di sistemi informatici e sicurezza della rete -. Hanno lasciato una traccia che portava a un contatto attraverso il quale sarebbe stato possibile ricevere indicazioni per sbloccare il sistema dietro il pagamento. Un percorso che non abbiamo minimamente esplorato per due semplici motivi: il primo, perché sarebbe stato illegale; il secondo, perché non vi erano garanzie sul fatto che, una volta pagato l’eventuale riscatto, il sistema sarebbe tornato a funzionare – dice Gasslitter –. Quindi resta un’incognita anche la cifra che gli hacker avrebbero chiesto come riscatto, “anche se – aggiunge il direttore – dai report su attacchi di questo genere si parla di richieste di circa 200mila dollari in criptovalute”.
Ma come è cominciata tutta questa vicenda? “Già il lunedì sera – ricostruisce Gasslitter, riferendosi al 23 giugno – ci siamo accorti che qualcosa non funzionava. Alle 7.30 del mattino dopo siamo stati avvisati che il sistema era sotto attacco e i centralini telefonici della protezione civile erano muti. È stato allertato il Computer Security Incident Response Team (Csirt), un team specializzato nella gestione degli incidenti di sicurezza informatica, composto da 40 esperti”.
“È stato quindi necessario tornare alle procedure manuali per la gestione delle telefonate di emergenza, riuscendo a garantire il servizio con conseguenze marginali per l’utenza”. Inoltre, la squadra di esperti coordinata dall’Agenzia per la cybersicurezza nazionale (Acn) “ha provveduto a effettuare le copie forensi dei sistemi ai fini dell’indagine giudiziaria, alla messa in sicurezza e alla verifica che non vi fossero nel sistema ulteriori ‘intrusi’. A quel punto sono iniziati i lavori di ripristino, durati circa una settimana”.
Una volta identificata l’impronta digitale dell’attacco, ossia il software che aveva infettato il sistema, questa è stata condivisa sulle piattaforme con cui Informatica Alto Adige collabora, per disinnescare possibili attacchi ad altri enti. Inoltre, il direttore di Informatica Alto Adige esclude la possibilità “che ci sia stato il furto di dati, perché non c’erano banche dati sensibili nei server attaccati dagli hacker. Abbiamo accertato che l’impronta digitale dell’attacco non fosse presente nella banca dati del sistema sanitario dove, però, il sistema è meglio protetto”.
È stata inoltre trovata “la porta” usata dagli hacker “per entrare nel sistema e l’abbiamo chiusa – ha detto Gasslitter, aggiungendo: Stiamo lavorando per estendere la copertura di protezione informatica ad altri enti della Provincia attualmente non coperti. Sono residuali, ma costituiscono, al momento, il rischio maggiore”.
“Per quanto si possa alzare il livello di sicurezza – conclude – siamo coscienti che non esiste un sistema di protezione perfetto. L’unico sistema è proteggerlo al meglio e avere tutte le procedure pronte per intervenire nel migliore dei modi quando avviene l’attacco. Al momento consideriamo quello del 23 giugno un grande avvertimento e ciascuno ne deve trarre un insegnamento”.
Ermanno Amedei
Zwei Monate nach dem Hackerangriff auf die Systeme Südtirols stellte sich heraus: Es waren russische Hacker. Gasslitter: „Es war eine Warnung.“
Auch Südtirol hat die Schattenseiten einer immer stärker vernetzten Welt zu spüren bekommen – und zwar durch einen Hackerangriff. Am 23. Juni legte eine prorussische Gruppe die Telefonsysteme der Landesnotrufzentrale des Sanitätsbetriebs, der Landesverkehrszentrale, der Berufsfeuerwehr und des Funkdienstes der Autonomen Provinz lahm.
Nach ersten Erkenntnissen sollen die Angreifer die Telefonanlagen verschlüsselt und dadurch sämtliche Automatismen blockiert haben. Laut Experten gehört die Gruppe zu den Cyberkriminellen, die sich „Akira“ nennen – mit Sitzen in Russland und anderen Staaten der ehemaligen Sowjetunion. Fest steht auch, dass die Hacker untereinander Russisch sprachen.
„Ihr Ziel war es, Lösegeld zu verlangen, um im Gegenzug die Schlüssel zur Entschlüsselung der Systeme herauszugeben“, erklärt Stefan Gasslitter (Foto), Generaldirektor von Informatik Südtirol, dem landeseigenen IT-Dienstleister. Die Hacker hinterließen eine Spur mit einem Kontakt, über den man Anweisungen zum Freischalten gegen Bezahlung hätte erhalten können. „Diesen Weg haben wir aus zwei klaren Gründen gar nicht erst in Betracht gezogen“, so Gasslitter: „Erstens wäre es illegal gewesen. Zweitens gibt es keinerlei Garantie, dass die Systeme nach einer Zahlung wirklich wieder laufen.“ Deshalb ist bis heute unklar, wie hoch die Forderung gewesen wäre – „wobei bei ähnlichen Angriffen meist von etwa 200.000 Dollar in Kryptowährungen die Rede ist“, ergänzt er.
Doch wie begann die ganze Geschichte? „Schon am Montagabend, dem 23. Juni, haben wir gemerkt, dass etwas nicht stimmt“, erinnert sich Gasslitter. Am nächsten Morgen um 7.30 Uhr kam die Meldung: Das System steht unter Beschuss, die Leitungen des Zivilschutzes sind tot. Sofort wurde das Computer Security Incident Response Team (Csirt) eingeschaltet – ein Spezialteam mit rund 40 Expert:innen für IT-Sicherheit.
In der Zwischenzeit musste man bei den Notrufen auf Handbetrieb umschalten. „So konnten wir den Dienst für die Bevölkerung mit nur geringen Einschränkungen garantieren.“ Parallel dazu sicherte die vom nationalen Cybersicherheitszentrum (Acn) koordinierte Expertengruppe forensische Kopien der Systeme, schottete die Infrastruktur ab und prüfte, ob noch weitere Eindringlinge aktiv waren. Danach starteten die Wiederherstellungsarbeiten – rund eine Woche dauerte es, bis alles wieder lief.
Die digitale Signatur des Angriffs, also die Schadsoftware selbst, wurde anschließend über die Plattformen von Informatik Südtirol geteilt, um andere Institutionen vor ähnlichen Attacken zu schützen. Datendiebstahl schließt Gasslitter aus: „In den betroffenen Servern lagen keine sensiblen Daten. Außerdem haben wir überprüft, dass die Schadsoftware nicht im System des Sanitätsbetriebs vorhanden war – dort ist die Abwehr deutlich stärker.“
Auch der Einstiegspunkt der Hacker wurde identifiziert und geschlossen. „Wir arbeiten daran, den Schutz künftig auf weitere Landesstellen auszudehnen, die bisher nicht abgedeckt waren. Diese sind zwar wenige, stellen aber aktuell das größte Risiko dar“, betont Gasslitter.
Am Ende bleibt jedoch eine Erkenntnis: „So sehr man das Sicherheitsniveau erhöhen kann – ein perfekter Schutz existiert nicht. Man muss die Systeme bestmöglich absichern und zugleich alle Abläufe parat haben, um im Ernstfall sofort reagieren zu können. Den Angriff vom 23. Juni sehen wir deshalb als große Warnung – und jeder sollte daraus lernen.“
Ermanno Amedei
(Übersetzung mithilfe einer KI-Anwendung)
