Nei giorni scorsi ha suscitato molta attenzione il rapporto Microsoft[1] sui cyber attacchi in Ucraina. In effetti si tratta di un rapporto ricco di dati su cyberattacchi nel periodo dal 23 febbraio al 8 aprile. Il 23 febbraio è il giorno precedente all’invasione russa dell’Ucraina ed in cui sono stati lanciati i primi attacchi. Insieme ad una importante quantità di dati, il rapporto contiene una prima analisi di quanto avvenuto che appare però parziale e poco soddisfacente come cercherò di evidenziare nel seguito.
Una premessa generale è che ogni analisi della situazione è necessariamente parziale e potenzialmente errata visto che si basa sulle informazioni ed i dati pubblici sugli attacchi. Oltre a quelli pubblici vi sono dati che sono noti ma non pubblici ed altri che potrebbero essere non ancora noti perché gli attacchi corrispondenti non sono ancora stati scoperti, quelli che qualcuno chiamava “unknown unknown” le cose che non sappiamo e nemmeno sappiamo di non sapere. Ogni analisi potrebbe rivelarsi del tutto sbagliata quando qualche informazione attualmente unknown diventa known.
Conflitto russo-ucraino: i futuri rischi cyber per l’Italia e i paesi alleati
I limiti del rapporto
Partiamo da un fatto poco evidenziato e cioè che abbiamo una ditta civile che produce un report su attività militari. Sappiamo da tempo che la difesa di infrastrutture critiche richiede una partnership tra aziende civili, forze di polizia, servizi di intelligence e quant’altro ma il fatto che un report su attacchi militari viene rilasciato da un’azienda in assenza di altre informazioni da altre fonti illustra bene il contesto attuale dove aziende civili che operano su scala globale si affiancano e talvolta sostituiscono organi statali.
Se, dal lato russo, gli attaccanti sono stati il GRU, il servizio informazioni delle forze armate a cui fa capo il mitico gruppo IRIDIUM o Sandworm, il SVR, il servizio di intelligence internazionale ed il FSB, il servizio di sicurezza interno russo, dall’altro abbiamo un gruppo di aziende e, nel caso in esame, la Microsoft. Ovviamente, le varie azioni di difesa dell’Ucraina sfruttano informazioni da tutti i servizi di intelligence occidentali ma, in questa fase, la maggior parte dei dati su attacchi cyber, wiper e malware proviene da rapporti e comunicazioni di aziende.
L’analisi di cosa è successo prima degli attacchi
Un punto estremamente interessante del rapporto Microsoft è l’analisi di quanto è avvenuto prima degli attacchi. Il rapporto evidenzia come le azioni preparative dei cyber attacchi siano iniziate un anno prima dell’invasione. In questo anno i vari gruppi dei tre servizi russi hanno lanciato attacchi di phishing per ottenere credenziali ed installare malware per implementare l’accesso iniziale ai vari sistemi target di interesse ed acquisire informazioni su questi sistemi. Inoltre, sono stati eseguiti attacchi di tipo supply chain a dei fornitori di software per i sistemi target. Questi attacchi hanno inserito malware in alcuni moduli software ed il malware è stato poi sfruttato dagli attaccanti quando i moduli sono stati inseriti su uno o più sistemi target.
L’utilizzo di attacchi di tipo supply chain risale ai tempi di NotPetya ma essi stanno diventando sempre frequenti negli ultimi mesi. Questa strategia di attacco ricorda l’importanza di proteggere non solo le infrastrutture critiche, uno dei primi bersagli in una cyber war, ma anche i fornitori di software per queste infrastrutture. Attribuire ad un grande numero di infrastrutture l’aggettivo critiche non risolverà molto se, contemporaneamente, non vengono adeguatamente protetti i fornitori del software che tali infrastrutture utilizzano. In altri termini, non possiamo sperare di garantire che alcuni individui rimangano sani in un ecosistema dove interagiscono con virus e quant’altro. La cyber igiene dovrebbe valere anche per le infrastrutture critiche.
Le motivazioni degli attacchi
Un’analisi più dettagliata dei dati del rapporto evidenzia come spesso esso attribuisca ad alcuni attacchi delle motivazioni ma senza spiegare le ragioni di questa attribuzione. Ad esempio, secondo il rapporto la ragione dell’attacco ai sistemi utilizzati da enti pubblici e ministeri ucraini è quella di seminare confusione e minare la fiducia degli ucraini nel loro governo. È evidente che la resistenza degli ucraini rivela che da questo punto di vista gli attacchi sono completamente falliti ma il rapporto non commenta le ragioni del fallimento.
Inoltre, il rapporto cerca di individuare una qualche relazione tra l’utilizzo di cyber attacchi e l’utilizzo di quelli fisici e cinetici ma ammette che non è possibile correlare i due mezzi di attacco ed individuare se e come essi vengano integrati in una strategia coerente. L’unica certezza è che se classifichiamo il livello degli attacchi sia cinetici che informatici come alto o basso, nella maggior parte del paese sia il livello degli attacchi cinetici che quello degli attacchi informatici sono bassi.
Ognuna delle tre rimanenti combinazioni dei due livelli di attacco, si presenta in pochi casi e quello più frequente è quello in cui il livello di attacchi cinetici è alto mentre quello di attacchi informatici è basso. Secondo un rapporto del centro studi sulla sicurezza, CSS[2], del ETH di Zurigo dati come questo indicano che la Russia non sta adottando quella che i russi stessi indicano come strategia di guerra grigia, aka dottina Gerasimov, in cui gli attacchi informatici sostituiscono in qualche modo quelli cinetici. Siamo invece di fronte ad una strategia di guerra tradizionale che utilizza anche attacchi informatici, dove e quando li ritiene utili.
Il numero delle azioni sulle reti informatiche
Un punto di interesse è quello che riguarda il numero delle azioni sulle reti informatiche che sono state eseguite da attaccanti e rilevate. Complessivamente, il rapporto parla di 237 azioni che classifica in tre tipi: azioni preparatorie o per predisporre gli strumenti, azioni sulle reti e azioni sui bersagli.
Non si tratta quindi di 237 attacchi a bersagli diversi, ma di azioni che fanno parte di catene di attacco, cioè di sequenze di azioni che si completano in azioni su un numero, minore, di bersagli. L’utilizzo delle catene di attacco è necessaria perché la complessità delle infrastrutture informatiche richiede di eseguire più passi, azioni nel rapporto, per raggiungere un obiettivo. I dati disponibili non permettono di capire come queste azioni possano essere raggruppate in catene ed individuare il numero di bersagli, o obiettivi, diversi delle catene. In parte ciò è dovuto anche ad una ambiguità della classificazione usata che, come detto, distingue tra azioni sulle reti,“action on networks”, e azioni sui bersagli, “action on targets (exfiltration/distruction)”.
Il problema è che spesso anche le azioni di una catena di attacco richiedono la manipolazione e l’esfiltrazione di dati sulle reti stesse. Ammesso che vi sia una sola azione sul bersaglio per ogni catena abbiamo complessivamente 54 catene e quindi altrettanti obiettivi ma il rapporto non permette di capire perché il rapporto tra il numero di passi, cioè di azioni preparatorie e sulle reti, e le azioni sui bersagli era di circa 1,5 prima dell’invasione mentre dopo l’invasione è diventato superiore a 4. Cioè dopo l’invasione è quasi triplicata la lunghezza delle catene di attacco. La spiegazione più banale, ma sicuramente non l’unica, è che dopo l’invasione la difesa sia migliorata e quindi gli attaccanti debbano eseguire più passi di preparazione per raggiungere ogni obiettivo. La spiegazione più pessimistica assume che il numero di catene sia più alto perché alcune azioni sui bersagli non sono ancora state rilevate.
L’analisi degli attacchi o incidenti distruttivi
Un altro punto discutibile riguarda l’analisi di quelli che il rapporto chiama attacchi o incidenti distruttivi. Secondo il rapporto sono stati tentati fino ad ora 37 attacchi distruttivi, arrotondati a 40 per ragioni di marketing nei vari comunicati. Gli attacchi non vengono contati per azioni ma per bersagli, quindi vi sono stati 37 bersagli di attacchi distruttivi. Di questi attacchi distruttivi, 22 sono stati tentati nella prima settimana di guerra e gli altri nelle settimane successive, 3 a settimana in media e 6 al massimo.
E’ evidente il crollo del numero di attacchi nel tempo. Inoltre, è discutibile l’uso del termine distruttivo. 35 attacchi sono legati all’utilizzo di wiper per la cancellazione di informazioni e solo gli ultimi due attacchi sono legati a malware, Industroyer2 e CaddyWiper, che hanno come bersaglio infrastrutture critiche. Ritengo che il termine di attacco distruttivo sia giustificato solo per questi ultimi malware.
Se è vero che un wiper può danneggiare in modo significativo un sistema informativo, esso non ha comunque effetti fisici ed il suo impatto viene fortemente ridotto quando esistono da backup aggiornati. È difficile, almeno per me, immaginare che dopo l’esperienza di NotPetya e con tutti i segnali di un futuro conflitto non siano stati predisposti dei backup.
Da interpretare, comunque, il crollo nel numero degli attacchi dopo la prima settimana e l’apparizione di malware per infrastrutture critiche nell’ultima settimana. Questo apparire di malware veramente distruttivi, oltre a Industroyer2 e CaddyWiper abbiamo anche PiperDream, potrebbe indicare un cambio della strategia russa. Una possibile spiegazione della forte riduzione del numero di attacchi, ed in particolare della mancanza di attacchi nella seconda settimana dopo l’invasione, può essere legata alla strategia iniziale russa che prevedeva un facile successo dell’invasione in breve tempo con la sostituzione del governo ucraino democraticamente eletto. In queste condizioni, non sarebbe stato intelligente distruggere infrastrutture critiche che si prevedeva di controllare dopo poco tempo. Un incremento dei tempi della invasione giustificherebbe attacchi distruttivi alle infrastrutture informatiche.
Attacchi a società di informazione
Infine, il rapporto segnala i molti attacchi a società di informazione e legate al mondo dei media ed anche ad una rete di aziende agricole e ad una ditta di logistica. Ciò potrebbe indicare un tentativo di interrompere catene di distribuzione alimentari, ma è difficile estrarre tendenze da un singolo attacco.
Conclusioni
Per il futuro, il rapporto non esclude un inasprimento degli attacchi, in particolare per l’Ucraina è prevista un aumento di attacchi ad infrastrutture critiche ed in particolare a quelle per la comunicazione e ad ISP. Questa previsione è basata anche sui tentativi di alcuni gruppi, in particolare quelli del GRU, che cercano di accedere ad infrastrutture di questo tipo.
Ricordiamo che lo scorso mese il governo ucraino ha comunicato di aver neutralizzato un cyber attacco che aveva come bersaglio l’infrastruttura di Ukrtelecom, il più grande internet provider del paese. Inoltre, è anche previsto un aumento del numero di attacchi che utilizzeranno vulnerabilità 0-day ed N-day ovvero vulnerabilità scoperte di recente e non ancora patchate nei sistemi target.
L’inasprimento degli attacchi potrebbe anche portare ad una diffusione sia degli attacchi che del malware su scala europea e mondiale. Scontata a questo punto la raccomandazione a tutti di prepararsi a questo possibile inasprimento migliorando la difesa dei sistemi informativi.
I russi buttano giù reti mobili e internet e le sostituiscono con reti controllate da loro
Un’area dell’Ucraina meridionale ha perso il servizio internet e di telefonia mobile sabato, un’interruzione che il governo ucraino ha attribuito agli attacchi russi, a quanto riporta il Wall street journal.
Il servizio statale di comunicazione speciale e protezione dell’informazione ha detto che il servizio nella regione di Kherson e una parte della regione di Zaporizhzhia ha subito interruzioni sabato, tagliando fuori i fornitori di cellulari e banda larga dal mondo esterno. I rappresentanti di diversi operatori di rete ucraini hanno confermato che i tre principali operatori di telefonia mobile della zona non potevano più raggiungere i clienti nelle regioni colpite.
“Sappiamo al momento che la disconnessione è causata da rotture di linee alle dorsali in fibra ottica e da un’interruzione di corrente con le attrezzature degli operatori di servizi in queste regioni”, ha detto l’agenzia in un comunicato. Ha anche esortato gli ucraini nei territori occupati a spostarsi in altre aree il più presto possibile.
I dati pubblici del servizio Internet Outage Detection and Analysis della Georgia Tech hanno mostrato che l’accesso globale agli indirizzi di rete dell’area di Kherson è caduto intorno alla sera di sabato, ora locale. Il servizio non si era ancora ripreso alla fine di domenica.
Un portavoce del fornitore nazionale di banda larga Ukrtelecom ha detto che la sua copertura della regione di Kherson, che aveva oscillato intorno all’85% dei siti locali dopo l’invasione, era inesistente domenica tardi.
Non era chiaro quando il servizio wireless e internet sarebbero tornati nel sud occupato e sotto la supervisione di chi. I residenti di altre regioni ucraine hanno visto gli operatori di rete sostenuti dalla Russia sostituire gradualmente gli operatori storici nazionali.
Due operatori di telefonia mobile sono spuntati a Donetsk e Luhansk dopo che i soldati sostenuti dalla Russia hanno preso parti di quei territori nel 2014, per esempio. I clienti delle aziende, che non sono riconosciuti dai regolatori ucraini, generalmente non possono comunicare con i numeri di telefono al di fuori delle loro aree di servizio locali e la Russia, secondo la società di sicurezza della rete AdaptiveMobileSecurity.
Note
- https://query.prod.cms.rt.microsoft.com/cms/api/am/binary/RE4Vwwd ↑
- The war in Uckraine: first lessons, www.css.ethz.ch/cssanalyses ↑
