Il 23 novembre, il Parlamento Europeo ha adottato una risoluzione che definisce la Federazione Russa come Stato sponsor del terrorismo, così come aveva già fatto la Nato. L’atto chiede a istituzioni europee e Stati Membri di adottare una serie di misure volte ad intensificare la pressione su Mosca, fra cui l’inserimento di alcuni gruppi e individui, come l’organizzazione paramilitare “gruppo Wagner” ed il 141esimo Reggimento speciale motorizzato noto anche come “Kadyroviti” vicina al Presidente ceceno Ramzan Kadyrov, nell’elenco dei soggetti terroristici dell’UE.
Russia-Ucraina, verso attacchi cyber più devastanti: ecco perché
Il documento (2022-2896 – RSP), pubblicato sul sito web del Parlamento, è tuttavia rimasto irraggiungibile per diverse ore a causa di un attacco DDoS rivendicato nei minuti successivi alla conclusione della votazione da parte del gruppo APT Killnet.
Il collettivo, che si definisce un “esercito di partigiani cyber” decentralizzato, risulta attivo sulla scena della cyberwarfare fin dalle fasi iniziali del conflitto russo-ucraino. Nato come gruppo hack-for-hire per la fornitura di servizi di DDoS e defacement (modifica illecita delle pagine di un sito web bersaglio), Killnet ha rapidamente acquisito notorietà grazie ai propri attacchi contro istituzioni e soggetti privati individuati come nemici dello Stato russo.
A febbraio 2022 risale quella che è ritenuta la prima campagna DDoS attribuita a Killnet: una serie di intromissioni ai danni di 26 siti web governativi in Ucraina, incluso quello del Presidente. A questa prima azione hanno fatto seguito molte altre, dirette a colpire gli Stati che hanno espresso il loro sostegno all’Ucraina nel corso dei mesi successivi. Nel marzo il gruppo ha attaccato il sito del Bradley International Airport nel Connecticut, in risposta all’invio di armi statunitensi a Kiev.
Tra marzo e aprile, Killnet ha quindi rivendicato una sequenza di attacchi a siti web governativi e privati riconducibili sia a Paesi NATO che a organizzazioni europee e internazionali. Tra gli obiettivi colpiti, vi sono stati Repubblica Ceca, Estonia, Germania, Polonia, Regno Unito, Stati Uniti, il sito delle Nazioni Unite, dell’OSCE e del Centro di Eccellenza per la Difesa Cibernetica Collettiva della NATO in Estonia.
Tra aprile e settembre si sono registrati ulteriori attacchi a siti governativi, in particolare a quelli di Romania, Italia e Giappone, e ad aziende private in Lituania e Norvegia, intensificatisi dopo l’annuncio del 16 maggio con cui Killnet ha dichiarato guerra a 10 Stati (Ucraina, Stati Uniti, Regno Unito, Germania, Italia, Polonia, Romania, Estonia, Lettonia, Lituania) percepiti come ostili dalla Federazione Russa.
Sulle relazioni tra hacktivisti filo-russi ed enti governativi, Mosca manterrebbe una posizione vaga. Sebbene entrambe le parti smentiscano legami diretti, non è raro che avvengano scambi di informazioni tra funzionari governativi e membri dei gruppi hacker, come nel caso di XakNet. Questi, pur agendo quasi sempre in conformità agli interessi governativi, sembrano disporre di autonomia operativa, permettendo al Cremlino di mantenere la plausible deniability rispetto a qualsiasi attacco informatico.
L’escalation di azioni cyber da parte degli Stati nazionali
Oltre alle azioni condotte da gruppi legati al Cremlino, è stato registrato a livello globale un generale incremento di azioni cibernetiche da parte di Stati nazionali.
Secondo quanto riportato nel Microsoft Digital Defense Report 2022, comprendente il periodo di tempo che va da luglio 2021 a giugno 2022, i vari attori malevoli avrebbero iniziato a utilizzare i progressi dell’automazione, come le infrastrutture cloud e le tecnologie di accesso remoto, per estendere i loro attacchi a una serie più ampia di obiettivi.
L’Iran dietro campagne di spionaggio contro infrastrutture critiche Ue e Usa
Uno dei principali attori che avrebbe accresciuto le sue attività nel cyberspazio è Teheran. Dalla salita al potere di Ebrahim Raisi nel giugno 2021, i gruppi filo-iraniani avrebbero ripreso i cyberattacchi contro obiettivi israeliani a un ritmo più sostenuto rispetto all’anno precedente. Queste azioni sarebbero perlopiù ransomware e hack-and-leak e sarebbero state condotte a ritmo costante a partire da settembre 2021. Ciò suggerirebbe che tali azioni potrebbero essere parte di una campagna di ritorsione contro Tel Aviv. I gruppi dietro questi attacchi sarebbero collegati al Corpo delle Guardie della Rivoluzione Islamica (IRGC), nello specifico DEV-0198, DEV-0343 e Phosphorus.
Quest’ultimo sarebbe altresì autore di campagne di spionaggio contro infrastrutture critiche europee e statunitensi e di un tentativo di attacco in occasione del Munich Security Conference and the Think 20 (T20) Summit, tenutosi in Arabia Saudita nel settembre 2021.
L’Iran opererebbe in coordinamento anche con un gruppo libanese, noto come Polonium, il quale avrebbe preso di mira, tra febbraio e maggio 2022, circa 20 società israeliane operanti nel settore dell’informatica e della difesa.
Corea del Nord
Un altro Stato molto attivo nella cyber-warfare sarebbe la Corea del Nord. In particolare, in base a quanto rilevato dal Microsoft Security Threat Intelligence e dal LinkedIn Threat Prevention and Defense, il collettivo nordcoreano Zinc avrebbe messo in atto varie tattiche per penetrare imprese operanti del settore della difesa e dello spazio in India, Stati Uniti, Regno Unito e Russia, a partire da giugno 2022. Il gruppo sarebbe stato capace di creare profili falsi su LinkedIn e altri social media professionali, dove i suoi hacker avrebbero pubblicato diverse offerte di lavoro mendaci. Tramite questi profili, sarebbero stati inviati link o allegati dannosi alle vittime tramite messaggi diretti sui social media o via e-mail.
Nel mese di settembre, Cisco Talos ha rivelato che l’APT nordcoreano Lazarus avrebbe diretto attacchi tra febbraio e luglio 2022 contro alcuni fornitori di energia canadesi, giapponesi e statunitensi. L’obiettivo principale sarebbe stato quello di stabilire un accesso a lungo termine alle reti per condurre operazioni di spionaggio.
La Cina
Anche gli APT legati a Pechino starebbero ampliando le proprie operazioni con lo scopo di promuovere gli obiettivi strategici militari, economici e diplomatici del Paese, con l’obiettivo di raggiungere un vantaggio competitivo nei confronti dei suoi rivali. Nel gennaio 2022, Microsoft ha osservato che il gruppo Radium avrebbe preso di mira un’azienda energetica vietnamita e un’agenzia governativa indonesiana. Queste attività sarebbero allineate con gli obiettivi strategici della Cina nel Mar Cinese Meridionale.
I gruppi vicini alla Cina avrebbero altresì condotto campagne di spionaggio contro gli oppositori del Governo centrale, come nel caso del gruppo TA413 il quale avrebbe condotto operazioni di sorveglianza contro organizzazioni indipendentiste tibetane in esilio.
Conclusioni
Nel quadro delle crescenti tensioni internazionali, soprattutto dopo lo scoppio della guerra in Ucraina, vari esperti di sicurezza informatica hanno messo in guardia da una possibile escalation bellica, principalmente russa, nel dominio cibernetico. Secondo quanto espresso a Cybernews da Irina Tsukerman, analista geopolitica specializzata in cybersecurity, al momento Washington non avrebbe attuato contromisure rispetto ai cyberattacchi condotti Mosca sia in Ucraina che in Europa, poiché riterrebbe che la guerra della Russia in Ucraina non danneggi direttamente i suoi interessi. La situazione, secondo quanto evidenziato da Tsukerman, potrebbe cambiare qualora il Cremlino decidesse di cambiare strategia.
Inoltre, in base all’attuale dottrina nucleare degli Stati Uniti sviluppata durante l’amministrazione Trump, il Presidente avrebbe l’opzione militare di lanciare armi nucleari contro un Paese qualora fosse accertata la sua responsabilità in un massiccio attacco informatico.
Per ora, tuttavia, gli Stati Uniti avrebbero minimizzato la minaccia informatica. Il presunto attacco russo al Colonial Pipeline non ha portato a un contrattacco e gli Stati Uniti hanno attribuito la responsabilità al gruppo russo di criminalità informatica DarkSide.
Secondo Mark Galeotti, professore onorario presso la UCL School of Slavonic & East European Studies di Londra, entrambo gli schieramenti avrebbero condotto una campagna di sondaggio dei punti deboli dell’avversario, alla ricerca di exploit da sfruttare nel futuro. A differenza degli armamenti tradizionali, quelli informatici sono di difficile studio finché non vengono lanciati contro un bersaglio. Questo implicherebbe, continua Galeotti, che nessuna delle due parti abbia una percezione realistica delle reali capacità dell’altra. Allo stesso tempo, data le difficoltà di attribuzione, gli attacchi cyber stanno assumendo un ruolo sempre più rilevante all’interno delle relazioni geopolitiche sia come armi di offesa e spionaggio che come strumenti per retribuire risorse economiche.
