La guerra cyber tra Kiev e Mosca prosegue, ma la minaccia russa rischia di colpire anche quei paesi che dando supporto all’Ucraina diventano automaticamente un potenziale bersaglio.
A pochi giorni dall’inizio del conflitto, Claudio Telmon, membro del Comitato Direttivo di CLUSIT – Associazione Italiana per la Sicurezza Informatica – aveva infatti sottolineato come un’escalation di attacchi informatici si sarebbe potenzialmente verificata di pari passo a quella militare, evidenziando anche che “per ora gli attacchi sono tra Russia e Ucraina, ma in caso di intervento della NATO potrebbero essere diretti anche ad altri paesi, tra cui l’Italia. L’obiettivo è mettere KO le infrastrutture critiche”.
Mappare i rischi futuri dell’Italia e degli altri stati nei confronti della strategia cyber adottata dalla Russia risulta quindi fondamentale.
Russia-Ucraina, verso attacchi cyber più devastanti: ecco perché
La minaccia russa rischia di colpire anche altri paesi
Dopo più di un mese possiamo dire che la guerra cibernetica tra Kiev e Mosca procede incessantemente e ad ampio raggio. Basti pensare al gruppo russo KillNet che i primi di marzo, tramite un video sul web, ha lanciato la propria rete di attivisti supportando la Russia e il conflitto in Ucraina. Nel file, il gruppo minaccia il Governo polacco di criptare i sistemi del Paese che hanno accesso a internet qualora Varsavia fosse responsabile di un’escalation del conflitto tra la NATO e le truppe russe.
Senza contare l’offensiva del 28 marzo che ha colpito il provider Internet ucraino Ukrtelecom, provocando un blackout di circa 15 ore su tutto il territorio.
L’attacco è stato “un’interruzione del servizio su scala nazionale, che è la più grave registrata dall’invasione della Russia”, secondo NetBlocks, un gruppo che tiene traccia delle interruzioni di Internet.
Tra l’altro, anche le APT di tutto il mondo stanno approfittando del conflitto in corso per portare a termine le loro operazioni di phishing.
Nello specifico, secondo la rassegna delle notizie raccolte dal CIOC di TS-WAY, queste attività dannose sono riconducibili al cinese Curious Gorge, al russo Callisto, al bielorusso Ghostwriter, al colombiano El Machete, all’iraniano OilRig e all’indiano Sidewinde.
La tecnica principalmente utilizzata è quella del Browser-in-the-Browser (BitB) che permette di sovrapporre alle homepage di servizi legittimi delle finte schermate di login con lo scopo di rubare credenziali di accesso.
Perfino l’Italia sembra essere vittima di un attacco hacker: il sito del Ministero della Transizione Ecologica (MITE) sarebbe stato nel mirino. Nel frattempo, sono in corso gli accertamenti per verificare la natura dell’attacco e per appurare se sia stato attuato un furto di dati.
I rischi collaterali della cyberwar in Italia e America
“La guerra cyber è iniziata prima dell’invasione” ha affermato Roberto Baldoni, direttore generale dell’Agenzia per la Cybersicurezza nazionale in occasione di ‘Adnkronos Live’.
Baldoni infatti precisa che si sono verificate tre importanti ondate di attacchi cibernetici nel quadrante ucraino il 14 gennaio, il 14 febbraio e il 24 febbraio.
In realtà, già a metà febbraio il bollettino pubblicato dal CSIRT Italia sottolineava come gli impatti collaterali a carico di infrastrutture ICT interconnesse con il cyberspazio ucraino potessero provenire dalla “natura interconnessa della rete Internet, in quanto azioni malevole, indirizzate verso una parte di essa, possono estendersi ad infrastrutture contigue come dimostrano precedenti infezioni con impatto globale quali ad esempio NotPetya e Wannacry”.
Il rischio di attacchi cyber verso l’Italia si fa sempre più concreto tanto che lo stesso CSIRT emana un comunicato di allarme affermando che “sono attesi attacchi informatici provenienti dalla Russia e da Paesi orientali, indirizzati su vasta scala anche verso l’Italia, probabilmente in virtù degli aiuti umanitari che si stanno offrendo”.
Il presidente degli Stati Uniti Joe Biden non è da meno e ci tiene anzi a richiamare l’attenzione dei CEO delle 181 aziende più importanti negli USA sui potenziali cyber attacchi e infatti parlando al Business Roundtable Quarterly Meeting a Washington il 21 marzo ha sottolineato che secondo “aggiornamenti dell’Intelligence” vi è il forte timore che la Russia stia preparando attacchi informatici contro gli Stati Uniti, anche alla luce delle ingenti sanzioni economiche che sta subendo.
“Più Putin si sente con le spalle al muro, maggiore è la severità delle tattiche che può impiegare […] uno degli strumenti che è più probabile che utilizzi a mio avviso, a nostro avviso, sono gli attacchi informatici […]. L’entità di questi attacchi è consequenziale e si sta concretizzando” dichiara appunto il Presidente.
Come prevenire gli attacchi informatici russi: il ruolo americano
Nonostante finora le principali azioni informatiche siano state dirette all’Ucraina, incluso il malware “wiper” progettato per paralizzare gli uffici del governo ucraino e un attacco a un sistema satellitare europeo chiamato Viasat, il Pentagono e le agenzie di intelligence americane temono che tali attacchi possano aver esposto vulnerabilità nei sistemi di comunicazione.
Gli stessi funzionari statunitensi sostengono che a fronte delle schiaccianti sanzioni imposte dagli Stati Uniti su Mosca per la guerra in Ucraina, la Russia potrebbe tentare di colpire le infrastrutture critiche americane comprese le società finanziarie, gli oleodotti e la rete elettrica.
Per prevenire gli attacchi informatici russi, il procuratore generale Merrick B. Garland ha dichiarato che l’F.B.I. ha rimosso segretamente un malware dalle reti di computer di tutto il mondo.
Il malware avrebbe consentito ai russi di creare “botnet”, ovvero reti di computer privati infettati da un software dannoso e controllati dal GRU, il braccio di intelligence dell’esercito russo. Tuttavia, non è ancora chiaro cosa intendesse fare il malware, dal momento che potrebbe essere utilizzato per qualsiasi cosa, dalla sorveglianza agli attacchi distruttivi.
“Fortunatamente, siamo stati in grado di interrompere questa botnet prima che potesse essere utilizzata”, ha affermato il procuratore generale.
Tale operazione ha mostrato la volontà di disarmare la principale unità di intelligence dell’esercito russo dalle reti di computer negli Stati Uniti e in tutto il mondo.
I funzionari temono che attacchi informatici simili possano colpire le infrastrutture critiche. Alcuni dirigenti hanno affermato di sperare che il governo federale offra finanziamenti per la sicurezza informatica.
Community Electric Cooperative, un fornitore di servizi pubblici che serve circa 12.000 clienti in Virginia, ha stimato di aver bisogno di $ 50.000 per aggiornare i sistemi di sicurezza informatica.
Il suo personale è già stato formato su come rilevare gli attacchi, ma i rappresentanti hanno affermato che la cooperativa spera di poter sperimentare di più per poter rispondere al meglio in caso di un potenziale attacco informatico dalla Russia.
Le best practice per difendersi dagli attacchi cyber: Usa e Italia a confronto
“Mentre la nostra nazione continua a sostenere l’Ucraina, dobbiamo prepararci per gli attacchi informatici di ritorsione da parte del governo russo”. Sono le parole del senatore Gary Peters, autore principale del nuovo Cybersecurity Act, il quale prevede che le aziende coinvolte nelle infrastrutture critiche, prime tra tutti energia e sanità, segnalino i cyberattacchi e i pagamenti di ransomware e che tali segnalazioni arrivino in 72 ore alla U.S. Cybersecurity and Infrastructure Security Agency (CISA), nel caso specifico dei pagamenti di ransomware si hanno invece 24 ore di tempo.
Ovviamente, le organizzazioni colpite devono preservare i dati rilevanti e a condividere prontamente gli aggiornamenti.
La Casa Bianca ha presentato una Scheda Informativa in cui delinea una serie di misure ritenute fondamentali per rafforzare la sicurezza informatica e la difesa della rete.
Oltre alle classiche pratiche di “buonsenso” come l’autenticazione a più fattori, la crittografia dei dati, il ricorso alle più recenti patch di sicurezza, al backup, e ad esercitazioni periodiche per ridurre al minimo l’impatto di qualsiasi attacco, si sottolinea come sia l’informazione che la formazione del personale svolgano un ruolo imprescindibile, coinvolgendo prima di qualsiasi incidente informatico CISA ed FBI.
La Scheda Informativa riporta le misure da adottare anche nel lungo termine ovvero l’utilizzo di un approccio di security by design, sviluppando software su un sistema altamente sicuro e accessibile solo a persone autorizzate. Risulta importante adoperare strumenti moderni per verificare la presenza di vulnerabilità sia note che potenziali in quanto gli sviluppatori possono correggere la maggior parte delle vulnerabilità del software, solo se ne sono a conoscenza.
Gli sviluppatori devono poi conoscere la provenienza, o meglio l’origine dei componenti che stanno utilizzando, soprattutto per quanto riguarda gli open source.
Clusit, Csirt e Acn
L’Associazione Italiana per la Sicurezza Informatica (CLUSIT) e il Computer Security Incident Response Team (CSIRT Italia) hanno già divulgato delle specifiche linee guida per mitigare i possibili rischi della cyberwar. Riduzione della superficie d’attacco sia interna che esterna, revisione dei controlli di accesso a sistemi e servizi ed un loro restringimento, log management più rigoroso, organizzazione di scenari di crisi e playbook per la gestione di attacchi.
Alcuni esempi più concreti riguardano lo spegnimento di servizi non utilizzati e la segmentazione dei permessi di accesso. Nello specifico, si può fornire agli amministratori di sistema diversi account, alcuni per l’accesso standard, e altri dedicati all’attività di configurazione delle macchine, in modo tale da evitare la sovrapposizione.
Un altro strumento utile è quello messo fornito dal CSIRT Italia, il quale ha messo a disposizione l’indirizzo e-mail info@csirt.gov.it, al quale trasmettere qualsiasi segnalazione e/o informazione ritenuta di interesse ai fini della sicurezza informatica.
Per quanto riguarda l’Agenzia per la Cybersicurezza Nazionale (ACN) siamo in attesa della Strategia Nazionale che sarà resa nota entro il mese prossimo.
Si costituirà di ben 85 obiettivi da raggiungere entro il 2026.
“A maggio usciremo con la nostra Strategia Nazionale di Cybersicurezza. È una strategia molto innovativa nel suo genere che prenderà un quadriennio, puntando al 2026. All’interno di questo percorso ci sono tanti obiettivi che dovranno essere raggiunti e che l’Agenzia sarà lì a controllare: sono 85. Sarà un percorso importante per il nostro paese” dichiara Baldoni.
Conclusioni
Sul fronte cyber, purtroppo, l’Italia si trova in ritardo rispetto ad altri paesi come ad esempio la Germania, in cui l’agenzia cyber esiste dal lontano 1991 oppure la Francia che ha un’agenzia operativa dal 2009.
“In questo periodo, in Italia, quello che ci è mancato è stato qualcuno che battesse il tempo su quella che è la consapevolezza rispetto a questo tipo di rischi, l’importanza della formazione, l’importanza di creare un sistema di resilienza rispetto a questo tipo di attacchi” afferma Roberto Baldoni, ospite di ‘Adnkronos Live’.
Baldoni sottolinea poi come nonostante il ritardo, l’Italia sia riuscita a “recuperare terreno” grazie a un piccolo vantaggio ovvero di aver studiato quelli che sono i problemi DI agenzie simili alla nostra negli altri paesi e infatti “all’interno del D.L. n. 82/2021 abbiamo cercato di superare quei problemi che vedevamo in altre nazioni”.
Un elemento che potrebbe cambiare le carte in tavola è il concetto della sovranità tecnologica.
Baldoni infatti ci tiene a precisare che “da una parte abbiamo un rischio di attacchi cyber, dall’altra dobbiamo gestire un rischio tecnologico che significa non dover dipendere necessariamente dalla tecnologia sviluppata all’interno di aziende che stanno in determinati paesi” e continua “dobbiamo trovare una modalità di diversificazione, ovvero delle aziende importanti all’interno del suolo europeo”.
Conclude poi affermando che è indispensabile adottare una politica industriale comune nel digitale anche perché come stiamo avendo problemi ora in termini di approvvigionamento energetico, li potremmo avere poi anche in ambito digitale.
