escalation bellica nel cyberspazio

Cyber attacchi come arma geopolitica: i rischi di un’escalation nello scontro Usa-Russia

Gruppi legati a Mosca sono autori di attacchi a siti web governativi e privati di Paesi NATO e organizzazioni internazionali. Sebbene non siano i soli a usare il dominio cyber per spiare e destabilizzare, una degenerazione delle Usa-Russia avrebbe conseguenze serie. Per fortuna al momento non conviene a nessuno

Pubblicato il 29 Nov 2022

Davide Agnello

Analyst, Hermes Bay

Marco Vettore

Analyst Hermes Bay S.r.l.

AI appello urgente

Il 23 novembre, il Parlamento Europeo ha adottato una risoluzione che definisce la Federazione Russa come Stato sponsor del terrorismo, così come aveva già fatto la Nato. L’atto chiede a istituzioni europee e Stati Membri di adottare una serie di misure volte ad intensificare la pressione su Mosca, fra cui l’inserimento di alcuni gruppi e individui, come l’organizzazione paramilitare “gruppo Wagner” ed il 141esimo Reggimento speciale motorizzato noto anche come “Kadyroviti” vicina al Presidente ceceno Ramzan Kadyrov, nell’elenco dei soggetti terroristici dell’UE.

Russia-Ucraina, verso attacchi cyber più devastanti: ecco perché

Il documento (2022-2896 – RSP), pubblicato sul sito web del Parlamento, è tuttavia rimasto irraggiungibile per diverse ore a causa di un attacco DDoS rivendicato nei minuti successivi alla conclusione della votazione da parte del gruppo APT Killnet.

Il collettivo, che si definisce un “esercito di partigiani cyber” decentralizzato, risulta attivo sulla scena della cyberwarfare fin dalle fasi iniziali del conflitto russo-ucraino. Nato come gruppo hack-for-hire per la fornitura di servizi di DDoS e defacement (modifica illecita delle pagine di un sito web bersaglio), Killnet ha rapidamente acquisito notorietà grazie ai propri attacchi contro istituzioni e soggetti privati individuati come nemici dello Stato russo.

A febbraio 2022 risale quella che è ritenuta la prima campagna DDoS attribuita a Killnet: una serie di intromissioni ai danni di 26 siti web governativi in Ucraina, incluso quello del Presidente. A questa prima azione hanno fatto seguito molte altre, dirette a colpire gli Stati che hanno espresso il loro sostegno all’Ucraina nel corso dei mesi successivi. Nel marzo il gruppo ha attaccato il sito del Bradley International Airport nel Connecticut, in risposta all’invio di armi statunitensi a Kiev.

Tra marzo e aprile, Killnet ha quindi rivendicato una sequenza di attacchi a siti web governativi e privati riconducibili sia a Paesi NATO che a organizzazioni europee e internazionali. Tra gli obiettivi colpiti, vi sono stati Repubblica Ceca, Estonia, Germania, Polonia, Regno Unito, Stati Uniti, il sito delle Nazioni Unite, dell’OSCE e del Centro di Eccellenza per la Difesa Cibernetica Collettiva della NATO in Estonia.

Tra aprile e settembre si sono registrati ulteriori attacchi a siti governativi, in particolare a quelli di Romania, Italia e Giappone, e ad aziende private in Lituania e Norvegia, intensificatisi dopo l’annuncio del 16 maggio con cui Killnet ha dichiarato guerra a 10 Stati (Ucraina, Stati Uniti, Regno Unito, Germania, Italia, Polonia, Romania, Estonia, Lettonia, Lituania) percepiti come ostili dalla Federazione Russa.

Sulle relazioni tra hacktivisti filo-russi ed enti governativi, Mosca manterrebbe una posizione vaga. Sebbene entrambe le parti smentiscano legami diretti, non è raro che avvengano scambi di informazioni tra funzionari governativi e membri dei gruppi hacker, come nel caso di XakNet. Questi, pur agendo quasi sempre in conformità agli interessi governativi, sembrano disporre di autonomia operativa, permettendo al Cremlino di mantenere la plausible deniability rispetto a qualsiasi attacco informatico.

L’escalation di azioni cyber da parte degli Stati nazionali

Oltre alle azioni condotte da gruppi legati al Cremlino, è stato registrato a livello globale un generale incremento di azioni cibernetiche da parte di Stati nazionali.

Secondo quanto riportato nel Microsoft Digital Defense Report 2022, comprendente il periodo di tempo che va da luglio 2021 a giugno 2022, i vari attori malevoli avrebbero iniziato a utilizzare i progressi dell’automazione, come le infrastrutture cloud e le tecnologie di accesso remoto, per estendere i loro attacchi a una serie più ampia di obiettivi.

L’Iran dietro campagne di spionaggio contro infrastrutture critiche Ue e Usa

Uno dei principali attori che avrebbe accresciuto le sue attività nel cyberspazio è Teheran. Dalla salita al potere di Ebrahim Raisi nel giugno 2021, i gruppi filo-iraniani avrebbero ripreso i cyberattacchi contro obiettivi israeliani a un ritmo più sostenuto rispetto all’anno precedente. Queste azioni sarebbero perlopiù ransomware e hack-and-leak e sarebbero state condotte a ritmo costante a partire da settembre 2021. Ciò suggerirebbe che tali azioni potrebbero essere parte di una campagna di ritorsione contro Tel Aviv. I gruppi dietro questi attacchi sarebbero collegati al Corpo delle Guardie della Rivoluzione Islamica (IRGC), nello specifico DEV-0198, DEV-0343 e Phosphorus.

Quest’ultimo sarebbe altresì autore di campagne di spionaggio contro infrastrutture critiche europee e statunitensi e di un tentativo di attacco in occasione del Munich Security Conference and the Think 20 (T20) Summit, tenutosi in Arabia Saudita nel settembre 2021.

L’Iran opererebbe in coordinamento anche con un gruppo libanese, noto come Polonium, il quale avrebbe preso di mira, tra febbraio e maggio 2022, circa 20 società israeliane operanti nel settore dell’informatica e della difesa.

Corea del Nord

Un altro Stato molto attivo nella cyber-warfare sarebbe la Corea del Nord. In particolare, in base a quanto rilevato dal Microsoft Security Threat Intelligence e dal LinkedIn Threat Prevention and Defense, il collettivo nordcoreano Zinc avrebbe messo in atto varie tattiche per penetrare imprese operanti del settore della difesa e dello spazio in India, Stati Uniti, Regno Unito e Russia, a partire da giugno 2022. Il gruppo sarebbe stato capace di creare profili falsi su LinkedIn e altri social media professionali, dove i suoi hacker avrebbero pubblicato diverse offerte di lavoro mendaci. Tramite questi profili, sarebbero stati inviati link o allegati dannosi alle vittime tramite messaggi diretti sui social media o via e-mail.

Nel mese di settembre, Cisco Talos ha rivelato che l’APT nordcoreano Lazarus avrebbe diretto attacchi tra febbraio e luglio 2022 contro alcuni fornitori di energia canadesi, giapponesi e statunitensi. L’obiettivo principale sarebbe stato quello di stabilire un accesso a lungo termine alle reti per condurre operazioni di spionaggio.

La Cina

Anche gli APT legati a Pechino starebbero ampliando le proprie operazioni con lo scopo di promuovere gli obiettivi strategici militari, economici e diplomatici del Paese, con l’obiettivo di raggiungere un vantaggio competitivo nei confronti dei suoi rivali. Nel gennaio 2022, Microsoft ha osservato che il gruppo Radium avrebbe preso di mira un’azienda energetica vietnamita e un’agenzia governativa indonesiana. Queste attività sarebbero allineate con gli obiettivi strategici della Cina nel Mar Cinese Meridionale.

I gruppi vicini alla Cina avrebbero altresì condotto campagne di spionaggio contro gli oppositori del Governo centrale, come nel caso del gruppo TA413 il quale avrebbe condotto operazioni di sorveglianza contro organizzazioni indipendentiste tibetane in esilio.

Conclusioni

Nel quadro delle crescenti tensioni internazionali, soprattutto dopo lo scoppio della guerra in Ucraina, vari esperti di sicurezza informatica hanno messo in guardia da una possibile escalation bellica, principalmente russa, nel dominio cibernetico. Secondo quanto espresso a Cybernews da Irina Tsukerman, analista geopolitica specializzata in cybersecurity, al momento Washington non avrebbe attuato contromisure rispetto ai cyberattacchi condotti Mosca sia in Ucraina che in Europa, poiché riterrebbe che la guerra della Russia in Ucraina non danneggi direttamente i suoi interessi. La situazione, secondo quanto evidenziato da Tsukerman, potrebbe cambiare qualora il Cremlino decidesse di cambiare strategia.

Inoltre, in base all’attuale dottrina nucleare degli Stati Uniti sviluppata durante l’amministrazione Trump, il Presidente avrebbe l’opzione militare di lanciare armi nucleari contro un Paese qualora fosse accertata la sua responsabilità in un massiccio attacco informatico.

Per ora, tuttavia, gli Stati Uniti avrebbero minimizzato la minaccia informatica. Il presunto attacco russo al Colonial Pipeline non ha portato a un contrattacco e gli Stati Uniti hanno attribuito la responsabilità al gruppo russo di criminalità informatica DarkSide.

Secondo Mark Galeotti, professore onorario presso la UCL School of Slavonic & East European Studies di Londra, entrambo gli schieramenti avrebbero condotto una campagna di sondaggio dei punti deboli dell’avversario, alla ricerca di exploit da sfruttare nel futuro. A differenza degli armamenti tradizionali, quelli informatici sono di difficile studio finché non vengono lanciati contro un bersaglio. Questo implicherebbe, continua Galeotti, che nessuna delle due parti abbia una percezione realistica delle reali capacità dell’altra. Allo stesso tempo, data le difficoltà di attribuzione, gli attacchi cyber stanno assumendo un ruolo sempre più rilevante all’interno delle relazioni geopolitiche sia come armi di offesa e spionaggio che come strumenti per retribuire risorse economiche.

Valuta la qualità di questo articolo

La tua opinione è importante per noi!

EU Stories - La coesione innova l'Italia

Tutti
Analisi
Video
Iniziative
Social
Programmazione europ
Fondi Europei: la spinta dietro ai Tecnopoli dell’Emilia-Romagna. L’esempio del Tecnopolo di Modena
Interventi
Riccardo Monaco e le politiche di coesione per il Sud
Iniziative
Implementare correttamente i costi standard, l'esperienza AdG
Finanziamenti
Decarbonizzazione, 4,8 miliardi di euro per progetti cleantech
Formazione
Le politiche di Coesione UE, un corso gratuito online per professionisti e giornalisti
Interviste
L’ecosistema della ricerca e dell’innovazione dell’Emilia-Romagna
Interviste
La ricerca e l'innovazione in Campania: l'ecosistema digitale
Iniziative
Settimana europea delle regioni e città: un passo avanti verso la coesione
Iniziative
Al via il progetto COINS
Eventi
Un nuovo sguardo sulla politica di coesione dell'UE
Iniziative
EuroPCom 2024: innovazione e strategia nella comunicazione pubblica europea
Iniziative
Parte la campagna di comunicazione COINS
Interviste
Marco De Giorgi (PCM): “Come comunicare le politiche di coesione”
Analisi
La politica di coesione europea: motore della transizione digitale in Italia
Politiche UE
Il dibattito sul futuro della Politica di Coesione
Mobilità Sostenibile
L’impatto dei fondi di coesione sul territorio: un’esperienza di monitoraggio civico
Iniziative
Digital transformation, l’Emilia-Romagna rilancia sulle comunità tematiche
Politiche ue
Fondi Coesione 2021-27: la “capacitazione amministrativa” aiuta a spenderli bene
Finanziamenti
Da BEI e Banca Sella 200 milioni di euro per sostenere l’innovazione di PMI e Mid-cap italiane
Analisi
Politiche di coesione Ue, il bilancio: cosa ci dice la relazione 2024
Politiche UE
Innovazione locale con i fondi di coesione: progetti di successo in Italia
Programmazione europ
Fondi Europei: la spinta dietro ai Tecnopoli dell’Emilia-Romagna. L’esempio del Tecnopolo di Modena
Interventi
Riccardo Monaco e le politiche di coesione per il Sud
Iniziative
Implementare correttamente i costi standard, l'esperienza AdG
Finanziamenti
Decarbonizzazione, 4,8 miliardi di euro per progetti cleantech
Formazione
Le politiche di Coesione UE, un corso gratuito online per professionisti e giornalisti
Interviste
L’ecosistema della ricerca e dell’innovazione dell’Emilia-Romagna
Interviste
La ricerca e l'innovazione in Campania: l'ecosistema digitale
Iniziative
Settimana europea delle regioni e città: un passo avanti verso la coesione
Iniziative
Al via il progetto COINS
Eventi
Un nuovo sguardo sulla politica di coesione dell'UE
Iniziative
EuroPCom 2024: innovazione e strategia nella comunicazione pubblica europea
Iniziative
Parte la campagna di comunicazione COINS
Interviste
Marco De Giorgi (PCM): “Come comunicare le politiche di coesione”
Analisi
La politica di coesione europea: motore della transizione digitale in Italia
Politiche UE
Il dibattito sul futuro della Politica di Coesione
Mobilità Sostenibile
L’impatto dei fondi di coesione sul territorio: un’esperienza di monitoraggio civico
Iniziative
Digital transformation, l’Emilia-Romagna rilancia sulle comunità tematiche
Politiche ue
Fondi Coesione 2021-27: la “capacitazione amministrativa” aiuta a spenderli bene
Finanziamenti
Da BEI e Banca Sella 200 milioni di euro per sostenere l’innovazione di PMI e Mid-cap italiane
Analisi
Politiche di coesione Ue, il bilancio: cosa ci dice la relazione 2024
Politiche UE
Innovazione locale con i fondi di coesione: progetti di successo in Italia

Articoli correlati

Articolo 1 di 3