La crescente minaccia rappresentata dalle attività di hacking sponsorizzate da interi Stati, è un argomento attuale e sempre più pressante della cybersecurity: negli ultimi anni, ci sono stati numerosi attacchi informatici che sembrano essere stati condotti da hacker supportati da interi governi, con l’obiettivo di compromettere le infrastrutture critiche, tra cui reti elettriche, sistemi di trasporto e strutture governative di altri Stati.
Queste attività di hacking sponsorizzate dallo stato rappresentano una minaccia sempre più grave per la sicurezza nazionale e internazionale, e sono ormai spesso associate a paesi come la Russia, la Cina e l’Iran ma la crescente digitalizzazione dei sistemi governativi, militari ed economici, ha esteso praticamente a tutti gli Stati la possibilità di attacchi informatici sponsorizzati da enti governativi, mirati a causare danni significativi e assolutamente incalcolabili a priori, visto che la strategia impone di usare uno strumento di offesa che altrimenti rimarrebbe inutile alla causa criminale.
Crescono gli attacchi cyber in Italia, ma anche le difese: ecco il quadro
L’ultimo attacco in Italia
E’ di queste ore in cui scriviamo, la notizia che un gruppo informatico filo-russo Noname057 ha dichiarato su Telegram di aver condotto un attacco DDos (Denial of Service) con botnet a diverse istituzioni e aziende italiane, tra cui sono ricompresi anche ministeri. Il collettivo ha citato la visita del presidente del Consiglio italiano, Giorgia Meloni, a Kiev, come motivo dell’attacco.
In particolare, riferisce l’Agenzia per cybersecurity nazionale, è usato un attacco di tipo applicativo. Queste tecniche mirano a saturare le risorse dei sistemi che erogano i servizi tra cui i server web (a differenza del Ddos volumetrico, che mira a saturare la bancda). Come Killnet a maggio 2022, sembra che gli attaccanti abbiano usato nello specifico una tecnica slow http (una di quelle di tipo applicativo). Inviando numerose richieste con velocità di trasmissione molto bassa (di qui la parola “slow”), l’attaccante costringe il server web di destinazione a mantenere la connessione aperta, saturando in tal modo le risorse dedicate dal server alla comunicazione con i client esterni.
Quest’attacco è giudicato più insidioso e difficile da filtrare rispetto a quello volumetrico.
Per quanto riguarda il recente attacco ai danni del nostro Paese, al momento, sembra che ai siti web istituzionali, bancari e aziendali colpiti dall’attacco, siano stati causati solo disservizi e rallentamenti nella pubblicazione delle pagine web: non sembra siano state registrate falle di sicurezza o perdite di dati. I Ddos non hanno del resto questo tipo di ricadute.
Non ci sono evidenze di collegamento con lo Stato russo in questo caso, ma Mandiant ha riferito che i servizi segreti russi supportano attivamente alcuni di questi gruppi di attivisti.
Una nuova frontiera della guerra digitale
Si tratta di quella che possiamo definire una nuova frontiera della guerra digitale, che presenta una serie di sfide uniche per i governi e le organizzazioni internazionali che cercano di regolamentarsi internamente per imporre livelli di rischio accettabile al proprio sistema paese.
Come vedremo, il principale problema è che gli attacchi informatici possono essere condotti in modo anonimo e con un’ampia gamma di obiettivi, rendendo difficile stabilire non solo chi sia il responsabile di un determinato attacco, ma anche prevedere l’effetto-domino dei sistemi collegati agli obiettivi attaccati. Questo è da intendersi dunque come una minaccia globale proprio poiché i danni causati da un singolo attacco possono estendersi ben oltre i confini del singolo paese ed avere conseguenze devastanti sulla stabilità economica, politica e sociale delle nazioni colpite di rimbalzo. Tuttavia, non tutto è perduto.
Attacco hacker globale? Forse eccesso di allarme ma la minaccia cyber resta seria
Come i Governi stanno affrontando la minaccia
Per affrontare questa minaccia i governi di tutte le nazioni tecnologicamente avanzate stanno già cercando di rafforzare la loro sicurezza informatica, come in Italia l’ACN, l’Agenzia per la Cybersicurezza Nazionale per tutelare degli interessi nazionali, coordinare e garantire la resilienza digitale del Paese e la difesa informatica. Tuttavia, la complessità dei network e la rapidità con cui evolvono le tecniche di hacking ha visto verificarsi svariate attività sponsorizzate da interi Stati che hanno causato danni significativi negli ultimi anni:
- Attacco WannaCry: L’attacco ransomware WannaCry ha infettato oltre 200.000 computer in 150 paesi, tra cui ospedali, università e aziende private. Nel maggio 2017, questo attacco fu attribuito alla Corea del Nord ed è costato miliardi di dollari in danni. L’attacco ha costretto molte organizzazioni a interrompere le operazioni e ha causato danni economici significativi. L’attribuzione dell’attacco alla Corea del Nord ha sollevato preoccupazioni sulla capacità del paese di condurre attacchi informatici su larga scala e sulla sicurezza delle infrastrutture critiche.
- Attacco SolarWinds: L’attacco informatico contro SolarWinds ha compromesso i sistemi di numerose agenzie governative e questa particolare tipologia di attacco, noto come “vulnerabilità della catena di approvvigionamento”, ha dimostrato la vulnerabilità delle aziende di software che forniscono servizi a numerose organizzazioni, compresi quelli governativi. Inoltre, l’attribuzione dell’attacco alla Russia ha sollevato preoccupazioni sulla capacità del Paese di condurre attacchi informatici sofisticati contro gli Stati Uniti e altri paesi. L’attacco ha compromesso anche i sistemi del Dipartimento del Tesoro e il Dipartimento della Sicurezza Interna degli Stati Uniti
- Attacco a una centrale nucleare nel 2017: L’attacco informatico contro la centrale nucleare ucraina ha dimostrato la possibilità di attacchi informatici contro le infrastrutture critiche, come le centrali nucleari. L’attacco è stato attribuito alla Russia e ha causato il blocco dei sistemi di controllo della centrale, portando a un black-out di alcune parti dell’Ucraina. Se un attacco di questo tipo avvenisse contro una centrale nucleare in grado di produrre grandi quantità di energia, i risultati potrebbero essere disastrosi e mettere a rischio la sicurezza dei sistemi di trasporto e di difesa e la vita umana negli ospedali.
- Attacco a un oleodotto: a maggio 2021, l’oleodotto Colonial Pipeline negli Stati Uniti è stato oggetto di un attacco informatico che ha portato alla sospensione delle operazioni per diversi giorni. L’attacco è stato attribuito ad un gruppo di hacker noto come DarkSide, che si ritiene abbia legami con la Russia. L’attacco informatico contro l’oleodotto ha in particolare causato una carenza di carburante in alcune parti del paese. Questo ha evidenziato la vulnerabilità delle infrastrutture critiche degli Stati Uniti e la necessità di rafforzare la sicurezza informatica in questi settori.
In generale, un attacco informatico sponsorizzato da un intero Stato è ancora più esecrabile nell’ambito del cyberwarfare, perché rappresenta una violazione della sovranità nazionale di un altro Paese e può causare danni significativi all’intera sicurezza nazionale creando in modo diretto (e non intermediato quindi dalla diplomazia) tensioni internazionali dirompenti e portare a rappresaglie immediate tra i paesi coinvolti, aumentando così la possibilità di conflitti internazionali dovuti a escalation irreversibili.
Negli esempi di attacchi informatici riportati, è importante notare che gli attacchi di questo tipo sono spesso sofisticati e mirati e hanno sempre creato una deflagrazione mediatica di impatto anche su opinione pubblica, media, etc. mostrando danni evidenti diretti e quantificabili e significativi alle infrastrutture critiche colpite, dando esplicite dimostrazioni di potenza da un lato e vulnerabilità e impotenza dall’altro.
Attacchi hacker sponsorizzati da una coalizione di Stati
Ma cosa succederebbe in uno scenario ipotetico ma possibile, in cui non uno, ma molti stati dovessero essere coinvolti a catena in un attacco informatico sponsorizzato?
Il rischio maggiore sarebbe evidentemente l’irriconoscibilità dei criminal hacker che sarebbero – nel migliore dei casi – incrociati tra stati per motivi puramente di convenienza economica. L’esempio tipico è uno Stato, ipotizziamo occidentale, che coinvolga direttamente o indirettamente la forza offensiva di criminal hacker anarchici normalmente presenti e facilmente individuabili già all’interno di uno stato vittima, fomentandone gli animi politicamente mentre verrebbe contemporaneamente fornito l’appoggio economico in valuta anonima (bitcoin) necessario per colpire dall’interno lo stato ospite del collettivo criminale. Il colpo di scena potrebbe essere poi scatenato dalla scoperta che gli stessi collettivi interessati sarebbero alla mercé di una catena di comando internazionale molto distribuita geograficamente e geopoliticamente ed economicamente, qualora l’intreccio dovesse estendersi a tonalità religiose di diversa fazione, e – a complicare ulteriormente le cose – gli stessi collettivi criminali potrebbero anch’essi essere in condizioni di poter decidere non solo quale Paese attaccare con l’aiuto economico fornito, ma anche quale altra fazione politica, istituto o organizzazione interna al paese stesso di provenienza, mescolando le proprie strategie alle richieste dei mandanti e creando un mix esplosivo e inestricabile di interessi.
Le immediate gravi conseguenze impatterebbero non solo sull’informatica, sul panorama cyber e sulle infrastrutture critiche, ma ovviamente e direttamente su tutte le altre relazioni internazionali, dove i dispositivi della diplomazia hanno per definizione necessità di tempi diluiti e di meccanismi di “raffreddamento” del conflitto per richiedere e fornire chiarimenti e smorzare così le eventuali immediate istintive reazioni “colpo su colpo”, nella logica dell’ “occhio per occhio” (“Tit for Tat” trad. “pan per focaccia”) per uscire dai dilemmi di strategia militare che si verrebbero a creare.
Occorre considerare che tutti questi meccanismi “giovano” sempre e comunque -sia in tempo di pace che in tempo di guerra – ad un aumento della criminalità informatica su vasta scala, finendo sempre per alimentare i focolai dei collettivi cybercriminali con strumenti per attacchi sempre più sofisticati e pericolosi. La complessità e l’interconnessione tra gruppi criminali e il mix di intenzioni belliche potrebbe diffondere una “cortina fumogena” informativa tale da rendere sempre più difficile l’attribuzione degli attacchi a un singolo stato o organizzazione, oltre la quale sarebbe impossibile individuare con certezza i luoghi di partenza degli attacchi come spesso mostrato nelle mappe cyber realtime di svolgimento degli attacchi
Fonte: https://cybermap.kaspersky.com/ –
In questo scenario, le immediate tensioni internazionali tra gli stati coinvolti alimenterebbe in modo diretto l’escalation verso il conflitto, considerando che i danni economici e sociali se gli attacchi vengono diretti contro infrastrutture critiche, come reti elettriche, sistemi di trasporto, banche e altri settori vitali sarebbero comunque significativi.
Irreversibilità degli attacchi informatici, una Short Story molto probabile
In un futuro non troppo lontano…una partita di scacchi globale si sta giocando inizialmente tra due paesi in conflitto esplicito o già in una situazione storicamente conclamata di guerra fredda o di rappresaglie commerciali o economiche o – ancor più recentemente – energetiche.
La Verdonia, un paese evidentemente inventato, sponsorizzando un gruppo di hacker per sferrare un attacco informatico su vasta scala contro la Maronia (altro Paese di fantasia), mira a compromettere la sicurezza delle infrastrutture critiche, come le centrali elettriche e le reti di trasporto, promettendo ingenti quantità di bitcoin a tutti i collettivi più pericolosi esistenti sul mercato, alcuni famosi e interni addirittura alla Maronia stessa. Questi, per non disperdere economicamente le risorse, coinvolgono gli interessi di altri collettivi storicamente ostili alla Maronia per motivi religiosi e politici, che gratuitamente offrono tutte le macchine “zombie” in loro possesso ed alcuni cryptolocker di ultima generazione, server online e rivelano tutte le vulnerabilità dell’ingente partita di chip di silicio importati nell’ultimo ordine dalla Maronia un anno prima per la produzione in ambito automotive, aeronautico e militare.
La Maronia risponde allora con una mossa strategica, formando sia un’alleanza internazionale con altri paesi amici: la Valtoria e la Luminia, di coalizione per rispondere contrastando l’attacco hacker ma anche richiedendo risorse per sopperire con le infrastrutture colpite (rete elettrica? Banche? Gasdotto? Acquedotto? Appoggio satellitare?Aerei? Treni? Ospedali?) dagli hacker. Tuttavia, la Verdonia avendo previsto la rappresaglia muove rapidamente le sue pedine per consolidare la sua posizione, sponsorizzando altri gruppi di hacker per sferrare attacchi anche contro chi ha dato man forte alla Maronia: dopo pochi giorni tutta la pubblica amministrazione della Valtoria e le raffinerie della Lumina, che ne rappresentano la maggior parte del PIL nazionale, vengono messe ko.
Man mano che la partita avanza, la Verdonia si rende conto che le sue azioni hanno conseguenze inarrestabili perché anche se la Maronia cerca di trovare un modo per difendere sé stessa e i suoi alleati accorsi in aiuto (la Valtoria e la Luminia), non può evitare di dar seguito all’escalation degli attacchi aggressivi della Verdonia che continua a sponsorizzare gli hacker per sferrare attacchi contro altre ulteriori infrastrutture critiche della Maronia che continuano a colpire di rimbalzo anche gli alleati, quando un paese non nel “conflitto” cyber risente di un attacco massivo DDoS ai server della rete elettrica, iniziano le tensioni politiche interne e movimenti di opinione che si chiedono se sia giusto rimanere coinvolti nelle calamità cyber della vicina Maronia. Vengono interrotte le importazioni, vengono chiusi gli accessi al cloud e sospesi i collegamenti internet diretti con banche e altro. La posta elettronica proveniente da qualunque sito Maroniano del dominio .mr non viene più aperta né letta. A questo punto l’invariante risiede nel fatto che, anche se l’attacco iniziale non fosse stato lanciato dalla Verdonia, ma da un gruppo di cybercriminali indipendenti che ha deciso di approfittare della situazione per ottenere un enorme guadagno economico, capitanati da mafie e/o gruppi religiosi e/o terroristi internazionali, questa rivelazione non cambierebbe il “corso della partita”, perché l’escalation degli attacchi avrebbe causato già troppi danni dunque la Maronia finirà sempre invariabilmente nel rispondere contrattaccando la Verdonia proseguendo l’escalation. Il continuo spostarsi a punti morti successivi sposterebbe ancora più in là le conseguenze degli attacchi informatici sempre più profondi e sempre più duraturi.
Punto di non ritorno: le conseguenze irreversibili degli attacchi cyber a scopo militare
Ci sono diverse ragioni per cui molti attacchi informatici sono sostanzialmente irreversibili.
Vediamo le tecniche più comuni sotto l’aspetto bellico.
Ransomware a scopo bellico: Come sappiamo un attacco ransomware cripta i file e le informazioni dell’utente e in tempo di pace richiederebbe un riscatto per ristabilire l’accesso ai dati. Ma in un conflitto cyber non ci sarebbero riscatti da pagare, solo sistemi criptati e dunque inservibili.
Furto di dati con finalità belliche: Il furto di dati, che in tempo di pace mira a informazioni personali o finanziarie, verrebbe invece operato in modo strategico per ottenere informazioni sugli armamenti o sulle decisioni del sistema paese, e informazioni di rilevanza nazionale “di prima mano” sull’andamento del cyber-conflitto senza l’intermediazione della stampa o della propaganda bellica, e le informazioni verrebbero utilizzate per disegnare lo scenario istante per istante dei danni arrecati.
Attacco DDoS con finalità belliche: Gli attacchi distribuiti di denial of service (DDoS) che normalmente vengono diretti in forma unica, possono essere fatti per durare a lungo e sono per definizioni attacchi “sporchi” che spesso rimbalzano nel tempo e tendono a spegnersi con estrema lentezza, avendo impatti sulla rete anche per vittime involontarie.
Attacco alla sicurezza della rete con finalità belliche: verrebbero portati a segno attacchi che, anziché avere scopi meramente reputazionali o dimostrativi, comprometterebbero stabilmente sistemi e reti, per causare danni irreversibili. L’esempio più portato è quello dell’attacco alla sicurezza di una centrale nucleare che oltre a poter pausare il malfunzionamento dei sistemi di controllo, potrebbe portare a conseguenze potenzialmente fatali in caso di compromissione dei sistemi di contenimento della reazione.
Attacco ai sistemi IoT con finalità belliche: cosa accadrebbe se un dispositivo di una infrastruttura remotizzata che agisce su sistemi critici venisse raggiunto da un comando di blocco immediato o di inversione di flusso o di traffico?
Tali danni, sarebbero tutti se non difficili da riparare, sicuramente molto dispendiosi in termini di tempo e risorse, quando non fatali per vita della popolazione coinvolta. Inoltre tutte le informazioni estorte o trafugate potranno continuare ad essere utilizzate in futuro da altri collettivi hacker criminali con effetti rebound a lunghissimo termine che costringerebbero, ritornati ad un periodo di non belligeranza, a cambiare completamente i sistemi ormai attaccati e le cui vulnerabilità sarebbero di dominio pubblico.
Conclusioni
Nonostante la complessità dello scenario fin qui descritto, non tutto è perduto. Le soluzioni e le strategie coordinate che i governi stanno adottando collaborando a livello internazionale serviranno a stabilire livelli di ingaggio e comportamenti difensivi che mireranno sempre di più dapprima a prevenire e in seguito a neutralizzare o mitigare significativamente azioni di guerriglia cyber agite a livello internazionale.
