Nel 2024 i media italiani hanno subito un grave attacco hacker descritto dagli esperti come l’incidente cyber più impattante dell’anno per estensione e conseguenze. Basti pensare che questo singolo attacco ha fatto balzare il settore “News/Multimedia” al primo posto per numero di incidenti nell’anno, rappresentando da solo il 18% degli attacchi gravi in Italia nel 2024 (Clusit, 2025).
Si è trattato di un evento senza precedenti per il nostro ecosistema mediatico digitale, con ben 72 aziende editoriali – tra quotidiani online, siti di news locali e portali multimediali – colpiti contemporaneamente da una cyber gang nota come Alpha Team.
Approfittando di una vulnerabilità, gli aggressori sono riusciti a compromettere i sistemi e a esfiltrare i database di queste testate giornalistiche, sottraendo informazioni sensibili di milioni di utenti. L’eterogeneità delle vittime dimostra come una debolezza di un singolo fornitore possa propagarsi su tutto l’ecosistema delle aziende che utilizzano il medesimo software.
In questo articolo ricostruiamo l’incidente, tutte le sue fasi e le lezioni apprese di difesa per evitare che attacchi di questo genere colpiscano altre aziende.
Ricostruzione dell’attacco
Le indagini tecniche hanno evidenziato che i criminali hanno sfruttato una vulnerabilità 0-day (cioè, una falla non ancora nota al produttore al momento dell’incidente e senza patch disponibile) presente in un Content Management System (CMS) ampiamente utilizzato da queste testate.
La falla riguardava il CMS Naviga, soluzione enterprise per editori sviluppata dalla società NavigaGlobal. e piattaforme ad esso affiliate, come quelle fornite da Miles33, utilizzate per la gestione di siti web e app di news in cloud.
Questa vulnerabilità ha consentito ai criminali di condurre operazioni di injection nel sistema – verosimilmente un attacco di SQL injection – ottenendo accesso illecito ai database dei siti web gestiti dalla piattaforma. In altri termini, Alpha Team ha scoperto come inviare al CMS comandi maligni tali da estrarre il contenuto del database senza autorizzazione. La falla risultava presente in tutte le installazioni della piattaforma non aggiornate, e al momento dell’attacco non era stata ancora risolta da molti operatori. Questa assenza di patch ha lasciato decine di siti esposti e vulnerabili contemporaneamente.
È importante sottolineare che il CMS colpito non era una piattaforma amatoriale, bensì un sistema enterprise diffuso nell’industria editoriale italiana. Ciò ha reso possibile un effetto domino: una singola debolezza tecnica ha aperto la porta ai dati di decine di testate. Gli aggressori hanno inoltre riferito che tutti i siti violati condividevano la medesima architettura di database, facilitando lo sfruttamento seriale della falla su obiettivi multipli. Questa caratteristica ha permesso a Alpha Team di automatizzare in parte l’attacco, colpendo uno dopo l’altro i portali che utilizzavano quella tecnologia.
Cronologia dell’incidente
Di seguito ricostruiamo la sequenza dei fatti chiave dell’incidente:
31 luglio 2024 – Scoperta e attacco iniziale. Il gruppo Alpha Team lancia l’attacco, sfruttando il bug 0-day sul server cloud che ospitava i CMS di molti quotidiani.
1 agosto 2024 – Rivendicazione e minacce. Gli attaccanti annunciano la riuscita dell’operazione su un forum underground (Breach Forums), affermando di aver sottratto oltre 5 milioni di record contenenti dati personali (email, password, date di nascita ecc.) degli utenti registrati.
2-3 agosto 2024 – Estorsione ai danni di aziende e utenti. Mentre i tecnici lavorano per chiudere la falla, Alpha Team avvia un’azione di doppia estorsione. Da un lato, il gruppo invia comunicazioni alle aziende vittime chiedendo un riscatto in denaro (non dichiarato pubblicamente) per evitare la diffusione dei dati rubati. Dall’altro, in un passo insolito, gli hacker contattano direttamente gli utenti finali: sfruttando gli indirizzi e-mail e i sistemi di notifiche push delle app compromesse, inviano messaggi ai lettori abbonati delle testate per informarli dell’attacco in corso.
4-6 agosto 2024 – Divulgazione pubblica e prime reazioni. La vicenda diventa di dominio pubblico, diverse testate specializzate in cybersecurity riportano la notizia dell’attacco massivo. Vengono alla luce i dettagli su Alpha Team e sul CMS vulnerabile utilizzato dalle testate italiane.
Oltre l’evento – Indagini e ripristino: entro la prima settimana di agosto, le principali funzionalità dei siti di news vengono gradualmente ripristinate man mano che la falla viene corretta. Le aziende colpite sporgono denuncia alla Polizia Postale (la specialità della Polizia di Stato per i crimini informatici) e collaborano con gli investigatori.
L’incidente ha dimostrato una certa maturità dagli attaccanti, i quali hanno combinato un exploit tecnico avanzato con tecniche di social engineering e doxing (divulgazione di informazioni) per massimizzare il proprio tornaconto.
NB: Non è stato divulgato pubblicamente se le organizzazioni colpite abbiano pagato o meno il riscatto; generalmente, le autorità sconsigliano di soddisfare le richieste estorsive, e in assenza di pagamento i criminali potrebbero tentare di vendere i dati nel dark web. Difatti, nel post su Breach Forums, Alpha Team ha offerto ad eventuali acquirenti i dump dei database rubati, previa trattativa privata.
Il collettivo Alpha Team
Analizzando meglio Alpha Team, il gruppo di hacker criminali responsabile di questo attacco coordinato, si tratta di un collective di cyber-criminali ben noti alle cronache italiane già prima del 2024.
Ad esempio, il gruppo avrebbe rivendicato intrusioni in 10 enti italiani nel 2023 usando una vulnerabilità non documentata analoga a quella analizzata. In un’intervista rilasciata in anonimato, il collettivo ha confermato di prediligere exploit inediti per massimizzare l’impatto dei loro attacchi. Il leader del gruppo si fa chiamare Z0rg, figura già incontrata dagli analisti, e Alpha Team opera principalmente nel dark web (forum come Breach Forums) per vendere dati trafugati e vantare i propri “successi”.
Sul fronte delle attribuzioni, non è chiaro da dove provenga Alpha Team. Il loro focus su bersagli italiani potrebbe suggerire un gruppo dell’Europa orientale con interesse nel nostro Paese, o addirittura un gruppo locale. Le autorità italiane trattano Alpha Team come un gruppo criminale a scopo di lucro, distinto da hacker filorussi o hacktivisti ideologici.
Impatti dell’attacco
Dal punto di vista tecnico-operativo, le conseguenze immediate dell’attacco hacker sono state:
1 / Disservizio informativo: molti siti di notizie sono rimasti offline per giorni, impedendo agli utenti di accedere a notizie online e alle edizioni digitali dei quotidiani.
2/ Fuga di dati personali: sono stati sottratti i dati di circa 5 milioni di utenti italiani registrati ai vari siti. Alle persone i cui dati sono stati trafugati, è stato consigliato di cambiare immediatamente le password eventualmente riutilizzate su altri servizi, e prestare attenzione a possibili tentativi di phishing personalizzato.
3 / Compromissione di credenziali e infrastrutture: oltre ai dati degli utenti, l’accesso ai database poteva fornire a Alpha Team credenziali di amministratori o API keys interne. Ciò pone il dubbio che gli aggressori abbiano potuto mantener persistenze o backdoor nei sistemi anche dopo il primo attacco considerato l’invio di notifiche push il 5 agosto, a distanza di giorni.
Sul piano sistemico e sociale, il maxi-attacco ha evidenziato come i media e l’informazione, pur non rientrando tra le infrastrutture critiche, sono un segmento vulnerabile con un impatto potenzialmente critico, esponendosi al rischio di disinformazione e attacchi da parte di Stati ostili, in particolar modo in questo periodo di ostilità geopolitiche.
L’intervento dell’ACN ha, inoltre, evidenziato la necessità di migliorare la risposta nazionale agli attacchi informatici, frequenti e sofisticati in Italia, non solo della propria infrastruttura ma anche dell’intera rete di fornitori, come indicato nelle nuove direttive europee di cyber sicurezza tra cui la Direttiva NIS2. Le autorità italiane stanno invitando tutte le organizzazioni ad adottare standard di sicurezza più stringenti e a condividere informazioni sulle minacce ricevute, così da elevare la resilienza collettiva.
Cosa abbiamo imparato
Questo incidente ha fornito numerosi spunti su come migliorare la postura di sicurezza nel settore dell’informazione (e non solo). Vediamo insieme i punti chiave e le misure preventive da adottare:
1 / Implementare un monitoraggio continuo e proattivo dei sistemi. Ciò include l’applicazione tempestiva di patch di sicurezza e l’adozione di servizi di rilevamento e risposta gestite (MDR) operative 24/7 per garantire una sorveglianza costante e una mitigazione rapida di potenziali minacce.
2 /L’approccio alla sicurezza informatica non può limitarsi alle configurazioni predefinite dei software. È fondamentale condurre audit di sicurezza regolari, inclusi penetration test eseguiti anche da entità terze indipendenti. Tali valutazioni proattive consentono l’identificazione precoce di vulnerabilità zero-day e di errori di configurazione che potrebbero essere sfruttati da attori malevoli.
3 / Segmentazione e backup dei servizi: è buona pratica implementare una segmentazione delle reti e dei database, ad esempio, separare gli archivi utenti dalle piattaforme di delivery dei contenuti, utilizzare istanze isolate per ciascun sito (invece di un unico ambiente condiviso per decine di testate) così da limitare l’effetto domino. Inoltre, mantenere robusti backup offline dei contenuti e dei database permette, in caso di compromissione, di ripristinare in breve tempo l’operatività.
4 / Migliorare le autenticazioni e il controllo accessi. Dal momento che l’attacco è avvenuto via web, è probabile che non vi fosse un secondo fattore di autenticazione per le operazioni critiche del CMS. Implementare l’autenticazione multi-fattore (MFA) per tutte le utenze privilegiate e per l’accesso remoto alle console di gestione può aggiungere un ostacolo significativo agli aggressori, anche in caso di furto di credenziali.
5 / Procedure di incident response e collaborazione. L’attacco Alpha Team ci ha mostrato che la rapidità di risposta è essenziale. Le organizzazioni devono avere piani di incident response predefiniti, con team e ruoli chiari, per reagire nel giro di minuti/ore a segnali di intrusione. Esercitazioni periodiche (simulazioni di attacco) aiutano a prepararsi. Inoltre, è fondamentale collaborare strettamente con le autorità e con la comunità IT in caso di attacco.
6 / Consapevolezza degli utenti e trasparenza. Per proteggere gli utenti, dobbiamo insegnare loro a riconoscere email sospette (phishing) o comunicazioni anomale. Una comunicazione tempestiva e trasparente durante una crisi aiuta a evitare panico e comportamenti rischiosi, e a lungo termine migliora la reputazione dell’azienda.
Prevenire non basta
L’attacco 0-day ai CMS dei media italiani ci ha dimostrato, ancora una volta, come basta una singola vulnerabilità di un fornitore per mettere in ginocchio un intero ecosistema cruciale per la democrazia e l’economia (quello dell’informazione).
Nonostante i miglioramenti fatti dalle aziende, la minaccia rimane alta: l’exploitation di vulnerabilità note e zero-day è aumentata del 90% nel 2024 rispetto all’anno precedente, segno di una crescente disponibilità di exploit nel mondo cybercriminale.
Bisogna, quindi, eseguire tre attività fondamentali: prevenire, prepararsi e cooperare.
- Prevenire significa progettare sistemi più sicuri e mantenere alta la guardia sulle nuove vulnerabilità
- Prepararsi vuol dire addestrarsi in anticipo a gestire incidenti complessi senza farsi trovare impreparati
- Cooperare implica fare fronte comune – pubblico e privato – di fronte alle minacce del nostro tessuto economico e sociale digitale.
Solo così possiamo proteggere efficacemente non solo le reti delle aziende, ma anche un bene immateriale fondamentale: la fiducia dei clienti e la sicurezza dello spazio informativo nazionale.
Analisi di Vasily Kononov – Threat Intelligence Lead, CYBEROO
