l'analisi

Attacchi hacker sponsorizzati dagli Stati, la minaccia è globale: scenari e impatti

Le attività di hacking sponsorizzate da uno o più stati sono una minaccia sempre più grave per la sicurezza globale. Sono spesso associate a paesi come la Russia, la Cina e l’Iran, ma la crescente digitalizzazione dei sistemi governativi, militari ed economici, ha esteso praticamente a tutti la capacità di attuare attacchi

Pubblicato il 23 Feb 2023

Paolo Maria Innocenzi

Cybersecurity Specialist

cyberwar

La crescente minaccia rappresentata dalle attività di hacking sponsorizzate da interi Stati, è un argomento attuale e sempre più pressante della cybersecurity: negli ultimi anni, ci sono stati numerosi attacchi informatici che sembrano essere stati condotti da hacker supportati da interi governi, con l’obiettivo di compromettere le infrastrutture critiche, tra cui reti elettriche, sistemi di trasporto e strutture governative di altri Stati.

Queste attività di hacking sponsorizzate dallo stato rappresentano una minaccia sempre più grave per la sicurezza nazionale e internazionale, e sono ormai spesso associate a paesi come la Russia, la Cina e l’Iran ma la crescente digitalizzazione dei sistemi governativi, militari ed economici, ha esteso praticamente a tutti gli Stati la possibilità di attacchi informatici sponsorizzati da enti governativi, mirati a causare danni significativi e assolutamente incalcolabili a priori, visto che la strategia impone di usare uno strumento di offesa che altrimenti rimarrebbe inutile alla causa criminale.

Crescono gli attacchi cyber in Italia, ma anche le difese: ecco il quadro

L’ultimo attacco in Italia

E’ di queste ore in cui scriviamo, la notizia che un gruppo informatico filo-russo Noname057 ha dichiarato su Telegram di aver condotto un attacco DDos (Denial of Service) con botnet a diverse istituzioni e aziende italiane, tra cui sono ricompresi anche ministeri. Il collettivo ha citato la visita del presidente del Consiglio italiano, Giorgia Meloni, a Kiev, come motivo dell’attacco.

In particolare, riferisce l’Agenzia per cybersecurity nazionale, è usato un attacco di tipo applicativo. Queste tecniche mirano a saturare le risorse dei sistemi che erogano i servizi tra cui i server web (a differenza del Ddos volumetrico, che mira a saturare la bancda). Come Killnet a maggio 2022, sembra che gli attaccanti abbiano usato nello specifico una tecnica slow http (una di quelle di tipo applicativo). Inviando numerose richieste con velocità di trasmissione molto bassa (di qui la parola “slow”), l’attaccante costringe il server web di destinazione a mantenere la connessione aperta, saturando in tal modo le risorse dedicate dal server alla comunicazione con i client esterni.

Quest’attacco è giudicato più insidioso e difficile da filtrare rispetto a quello volumetrico.

Per quanto riguarda il recente attacco ai danni del nostro Paese, al momento, sembra che ai siti web istituzionali, bancari e aziendali colpiti dall’attacco, siano stati causati solo disservizi e rallentamenti nella pubblicazione delle pagine web: non sembra siano state registrate falle di sicurezza o perdite di dati. I Ddos non hanno del resto questo tipo di ricadute.

Non ci sono evidenze di collegamento con lo Stato russo in questo caso, ma Mandiant ha riferito che i servizi segreti russi supportano attivamente alcuni di questi gruppi di attivisti.

Una nuova frontiera della guerra digitale

Si tratta di quella che possiamo definire una nuova frontiera della guerra digitale, che presenta una serie di sfide uniche per i governi e le organizzazioni internazionali che cercano di regolamentarsi internamente per imporre livelli di rischio accettabile al proprio sistema paese.

Come vedremo, il principale problema è che gli attacchi informatici possono essere condotti in modo anonimo e con un’ampia gamma di obiettivi, rendendo difficile stabilire non solo chi sia il responsabile di un determinato attacco, ma anche prevedere l’effetto-domino dei sistemi collegati agli obiettivi attaccati. Questo è da intendersi dunque come una minaccia globale proprio poiché i danni causati da un singolo attacco possono estendersi ben oltre i confini del singolo paese ed avere conseguenze devastanti sulla stabilità economica, politica e sociale delle nazioni colpite di rimbalzo. Tuttavia, non tutto è perduto.

Attacco hacker globale? Forse eccesso di allarme ma la minaccia cyber resta seria

Come i Governi stanno affrontando la minaccia

Per affrontare questa minaccia i governi di tutte le nazioni tecnologicamente avanzate stanno già cercando di rafforzare la loro sicurezza informatica, come in Italia l’ACN, l’Agenzia per la Cybersicurezza Nazionale per tutelare degli interessi nazionali, coordinare e garantire la resilienza digitale del Paese e la difesa informatica. Tuttavia, la complessità dei network e la rapidità con cui evolvono le tecniche di hacking ha visto verificarsi svariate attività sponsorizzate da interi Stati che hanno causato danni significativi negli ultimi anni:

  • Attacco WannaCry: L’attacco ransomware WannaCry ha infettato oltre 200.000 computer in 150 paesi, tra cui ospedali, università e aziende private. Nel maggio 2017, questo attacco fu attribuito alla Corea del Nord ed è costato miliardi di dollari in danni. L’attacco ha costretto molte organizzazioni a interrompere le operazioni e ha causato danni economici significativi. L’attribuzione dell’attacco alla Corea del Nord ha sollevato preoccupazioni sulla capacità del paese di condurre attacchi informatici su larga scala e sulla sicurezza delle infrastrutture critiche.
  • Attacco SolarWinds: L’attacco informatico contro SolarWinds ha compromesso i sistemi di numerose agenzie governative e questa particolare tipologia di attacco, noto come “vulnerabilità della catena di approvvigionamento”, ha dimostrato la vulnerabilità delle aziende di software che forniscono servizi a numerose organizzazioni, compresi quelli governativi. Inoltre, l’attribuzione dell’attacco alla Russia ha sollevato preoccupazioni sulla capacità del Paese di condurre attacchi informatici sofisticati contro gli Stati Uniti e altri paesi. L’attacco ha compromesso anche i sistemi del Dipartimento del Tesoro e il Dipartimento della Sicurezza Interna degli Stati Uniti
  • Attacco a una centrale nucleare nel 2017: L’attacco informatico contro la centrale nucleare ucraina ha dimostrato la possibilità di attacchi informatici contro le infrastrutture critiche, come le centrali nucleari. L’attacco è stato attribuito alla Russia e ha causato il blocco dei sistemi di controllo della centrale, portando a un black-out di alcune parti dell’Ucraina. Se un attacco di questo tipo avvenisse contro una centrale nucleare in grado di produrre grandi quantità di energia, i risultati potrebbero essere disastrosi e mettere a rischio la sicurezza dei sistemi di trasporto e di difesa e la vita umana negli ospedali.
  • Attacco a un oleodotto: a maggio 2021, l’oleodotto Colonial Pipeline negli Stati Uniti è stato oggetto di un attacco informatico che ha portato alla sospensione delle operazioni per diversi giorni. L’attacco è stato attribuito ad un gruppo di hacker noto come DarkSide, che si ritiene abbia legami con la Russia. L’attacco informatico contro l’oleodotto ha in particolare causato una carenza di carburante in alcune parti del paese. Questo ha evidenziato la vulnerabilità delle infrastrutture critiche degli Stati Uniti e la necessità di rafforzare la sicurezza informatica in questi settori.

In generale, un attacco informatico sponsorizzato da un intero Stato è ancora più esecrabile nell’ambito del cyberwarfare, perché rappresenta una violazione della sovranità nazionale di un altro Paese e può causare danni significativi all’intera sicurezza nazionale creando in modo diretto (e non intermediato quindi dalla diplomazia) tensioni internazionali dirompenti e portare a rappresaglie immediate tra i paesi coinvolti, aumentando così la possibilità di conflitti internazionali dovuti a escalation irreversibili.

Negli esempi di attacchi informatici riportati, è importante notare che gli attacchi di questo tipo sono spesso sofisticati e mirati e hanno sempre creato una deflagrazione mediatica di impatto anche su opinione pubblica, media, etc. mostrando danni evidenti diretti e quantificabili e significativi alle infrastrutture critiche colpite, dando esplicite dimostrazioni di potenza da un lato e vulnerabilità e impotenza dall’altro.

Attacchi hacker sponsorizzati da una coalizione di Stati

Ma cosa succederebbe in uno scenario ipotetico ma possibile, in cui non uno, ma molti stati dovessero essere coinvolti a catena in un attacco informatico sponsorizzato?

Il rischio maggiore sarebbe evidentemente l’irriconoscibilità dei criminal hacker che sarebbero – nel migliore dei casi – incrociati tra stati per motivi puramente di convenienza economica. L’esempio tipico è uno Stato, ipotizziamo occidentale, che coinvolga direttamente o indirettamente la forza offensiva di criminal hacker anarchici normalmente presenti e facilmente individuabili già all’interno di uno stato vittima, fomentandone gli animi politicamente mentre verrebbe contemporaneamente fornito l’appoggio economico in valuta anonima (bitcoin) necessario per colpire dall’interno lo stato ospite del collettivo criminale. Il colpo di scena potrebbe essere poi scatenato dalla scoperta che gli stessi collettivi interessati sarebbero alla mercé di una catena di comando internazionale molto distribuita geograficamente e geopoliticamente ed economicamente, qualora l’intreccio dovesse estendersi a tonalità religiose di diversa fazione, e – a complicare ulteriormente le cose – gli stessi collettivi criminali potrebbero anch’essi essere in condizioni di poter decidere non solo quale Paese attaccare con l’aiuto economico fornito, ma anche quale altra fazione politica, istituto o organizzazione interna al paese stesso di provenienza, mescolando le proprie strategie alle richieste dei mandanti e creando un mix esplosivo e inestricabile di interessi.

Le immediate gravi conseguenze impatterebbero non solo sull’informatica, sul panorama cyber e sulle infrastrutture critiche, ma ovviamente e direttamente su tutte le altre relazioni internazionali, dove i dispositivi della diplomazia hanno per definizione necessità di tempi diluiti e di meccanismi di “raffreddamento” del conflitto per richiedere e fornire chiarimenti e smorzare così le eventuali immediate istintive reazioni “colpo su colpo”, nella logica dell’ “occhio per occhio” (“Tit for Tat” trad. “pan per focaccia”) per uscire dai dilemmi di strategia militare che si verrebbero a creare.

Occorre considerare che tutti questi meccanismi “giovano” sempre e comunque -sia in tempo di pace che in tempo di guerra – ad un aumento della criminalità informatica su vasta scala, finendo sempre per alimentare i focolai dei collettivi cybercriminali con strumenti per attacchi sempre più sofisticati e pericolosi. La complessità e l’interconnessione tra gruppi criminali e il mix di intenzioni belliche potrebbe diffondere una “cortina fumogena” informativa tale da rendere sempre più difficile l’attribuzione degli attacchi a un singolo stato o organizzazione, oltre la quale sarebbe impossibile individuare con certezza i luoghi di partenza degli attacchi come spesso mostrato nelle mappe cyber realtime di svolgimento degli attacchi

Fonte: https://cybermap.kaspersky.com/

In questo scenario, le immediate tensioni internazionali tra gli stati coinvolti alimenterebbe in modo diretto l’escalation verso il conflitto, considerando che i danni economici e sociali se gli attacchi vengono diretti contro infrastrutture critiche, come reti elettriche, sistemi di trasporto, banche e altri settori vitali sarebbero comunque significativi.

Punto di non ritorno: le conseguenze irreversibili degli attacchi cyber a scopo militare

Ci sono diverse ragioni per cui molti attacchi informatici sono sostanzialmente irreversibili.

Vediamo le tecniche più comuni sotto l’aspetto bellico.

Ransomware a scopo bellico: Come sappiamo un attacco ransomware cripta i file e le informazioni dell’utente e in tempo di pace richiederebbe un riscatto per ristabilire l’accesso ai dati. Ma in un conflitto cyber non ci sarebbero riscatti da pagare, solo sistemi criptati e dunque inservibili.

Furto di dati con finalità belliche: Il furto di dati, che in tempo di pace mira a informazioni personali o finanziarie, verrebbe invece operato in modo strategico per ottenere informazioni sugli armamenti o sulle decisioni del sistema paese, e informazioni di rilevanza nazionale “di prima mano” sull’andamento del cyber-conflitto senza l’intermediazione della stampa o della propaganda bellica, e le informazioni verrebbero utilizzate per disegnare lo scenario istante per istante dei danni arrecati.

Attacco DDoS con finalità belliche: Gli attacchi distribuiti di denial of service (DDoS) che normalmente vengono diretti in forma unica, possono essere fatti per durare a lungo e sono per definizioni attacchi “sporchi” che spesso rimbalzano nel tempo e tendono a spegnersi con estrema lentezza, avendo impatti sulla rete anche per vittime involontarie.

Attacco alla sicurezza della rete con finalità belliche: verrebbero portati a segno attacchi che, anziché avere scopi meramente reputazionali o dimostrativi, comprometterebbero stabilmente sistemi e reti, per causare danni irreversibili. L’esempio più portato è quello dell’attacco alla sicurezza di una centrale nucleare che oltre a poter pausare il malfunzionamento dei sistemi di controllo, potrebbe portare a conseguenze potenzialmente fatali in caso di compromissione dei sistemi di contenimento della reazione.

Attacco ai sistemi IoT con finalità belliche: cosa accadrebbe se un dispositivo di una infrastruttura remotizzata che agisce su sistemi critici venisse raggiunto da un comando di blocco immediato o di inversione di flusso o di traffico?

Tali danni, sarebbero tutti se non difficili da riparare, sicuramente molto dispendiosi in termini di tempo e risorse, quando non fatali per vita della popolazione coinvolta. Inoltre tutte le informazioni estorte o trafugate potranno continuare ad essere utilizzate in futuro da altri collettivi hacker criminali con effetti rebound a lunghissimo termine che costringerebbero, ritornati ad un periodo di non belligeranza, a cambiare completamente i sistemi ormai attaccati e le cui vulnerabilità sarebbero di dominio pubblico.

Conclusioni

Nonostante la complessità dello scenario fin qui descritto, non tutto è perduto. Le soluzioni e le strategie coordinate che i governi stanno adottando collaborando a livello internazionale serviranno a stabilire livelli di ingaggio e comportamenti difensivi che mireranno sempre di più dapprima a prevenire e in seguito a neutralizzare o mitigare significativamente azioni di guerriglia cyber agite a livello internazionale.

Valuta la qualità di questo articolo

La tua opinione è importante per noi!

EU Stories - La coesione innova l'Italia

Tutti
Analisi
Video
Iniziative
Social
Programmazione europ
Fondi Europei: la spinta dietro ai Tecnopoli dell’Emilia-Romagna. L’esempio del Tecnopolo di Modena
Interventi
Riccardo Monaco e le politiche di coesione per il Sud
Iniziative
Implementare correttamente i costi standard, l'esperienza AdG
Finanziamenti
Decarbonizzazione, 4,8 miliardi di euro per progetti cleantech
Formazione
Le politiche di Coesione UE, un corso gratuito online per professionisti e giornalisti
Interviste
L’ecosistema della ricerca e dell’innovazione dell’Emilia-Romagna
Interviste
La ricerca e l'innovazione in Campania: l'ecosistema digitale
Iniziative
Settimana europea delle regioni e città: un passo avanti verso la coesione
Iniziative
Al via il progetto COINS
Eventi
Un nuovo sguardo sulla politica di coesione dell'UE
Iniziative
EuroPCom 2024: innovazione e strategia nella comunicazione pubblica europea
Iniziative
Parte la campagna di comunicazione COINS
Interviste
Marco De Giorgi (PCM): “Come comunicare le politiche di coesione”
Analisi
La politica di coesione europea: motore della transizione digitale in Italia
Politiche UE
Il dibattito sul futuro della Politica di Coesione
Mobilità Sostenibile
L’impatto dei fondi di coesione sul territorio: un’esperienza di monitoraggio civico
Iniziative
Digital transformation, l’Emilia-Romagna rilancia sulle comunità tematiche
Politiche ue
Fondi Coesione 2021-27: la “capacitazione amministrativa” aiuta a spenderli bene
Finanziamenti
Da BEI e Banca Sella 200 milioni di euro per sostenere l’innovazione di PMI e Mid-cap italiane
Analisi
Politiche di coesione Ue, il bilancio: cosa ci dice la relazione 2024
Politiche UE
Innovazione locale con i fondi di coesione: progetti di successo in Italia
Programmazione europ
Fondi Europei: la spinta dietro ai Tecnopoli dell’Emilia-Romagna. L’esempio del Tecnopolo di Modena
Interventi
Riccardo Monaco e le politiche di coesione per il Sud
Iniziative
Implementare correttamente i costi standard, l'esperienza AdG
Finanziamenti
Decarbonizzazione, 4,8 miliardi di euro per progetti cleantech
Formazione
Le politiche di Coesione UE, un corso gratuito online per professionisti e giornalisti
Interviste
L’ecosistema della ricerca e dell’innovazione dell’Emilia-Romagna
Interviste
La ricerca e l'innovazione in Campania: l'ecosistema digitale
Iniziative
Settimana europea delle regioni e città: un passo avanti verso la coesione
Iniziative
Al via il progetto COINS
Eventi
Un nuovo sguardo sulla politica di coesione dell'UE
Iniziative
EuroPCom 2024: innovazione e strategia nella comunicazione pubblica europea
Iniziative
Parte la campagna di comunicazione COINS
Interviste
Marco De Giorgi (PCM): “Come comunicare le politiche di coesione”
Analisi
La politica di coesione europea: motore della transizione digitale in Italia
Politiche UE
Il dibattito sul futuro della Politica di Coesione
Mobilità Sostenibile
L’impatto dei fondi di coesione sul territorio: un’esperienza di monitoraggio civico
Iniziative
Digital transformation, l’Emilia-Romagna rilancia sulle comunità tematiche
Politiche ue
Fondi Coesione 2021-27: la “capacitazione amministrativa” aiuta a spenderli bene
Finanziamenti
Da BEI e Banca Sella 200 milioni di euro per sostenere l’innovazione di PMI e Mid-cap italiane
Analisi
Politiche di coesione Ue, il bilancio: cosa ci dice la relazione 2024
Politiche UE
Innovazione locale con i fondi di coesione: progetti di successo in Italia

Articoli correlati

Articolo 1 di 3