A seguito dell’invasione dell’Ucraina, c’è stato un hackeraggio (hackativism) senza precedenti di sistemi e dispositivi russi, con leaks di documenti appartenenti a diversi target. Questi attacchi cyber, che hanno l’obiettivo di prendere d’assalto società ed enti governativi russi, provengono da gruppi di hacker pro-ucraini, molti ancora non noti agli esperti di cybersicurezza.
Attacchi cyber della Russia, l’Italia si difende ma attenzione a che succede ora
Com’è composta l’armata hacker filoucraina
I conflitti cyber tra le nazioni sono solitamente combattuti nell’ombra, con soltanto pochi dettagli rilasciati al pubblico. Per questo, il governo russo ha compiuto un gesto inusuale con il comunicato del 29 marzo scorso, in cui ha dichiarato che gli Stati Uniti erano dietro ad una guerra cyber contro la Russia, caratterizzata da operazioni da parte di hacker anonimi sostenuti dal Governo statunitense.
La retorica di Mosca è condannare un movimento di hacker volontari internazionali che stanno colpendo ininterrottamente la Russia.
Dall’inizio della guerra, lo sforzo del governo ucraino non è mai stato forte abbastanza da respingere le numerose minacce provenienti da “threat actor” collegati alla Russia. Infatti, nonostante il presidente Volodymyr Zelensky abbia emanato un decreto per la costituzione di una forza armata cyber, quest’ultima ancora non è stata istituita.
Proprio per questo motivo, il 26 febbraio, con il tentativo di resistere alle continue aggressioni, il vice primo Ministro ucraino Mykhailo Fedorov ha annunciato su Twitter la creazione di un esercito IT, composto da informatici volontari.
Grazie a questa iniziativa, e al supporto statunitense, l’armata di hacker sta riuscendo a difendere l’Ucraina contro le aggressioni russe. L’armata è composta da sviluppatori, esperti d’informatica, designer e copywriter, sia ucraini che internazionali, come il collettivo di hacker Anonymous, che ha promesso il suo sostegno a Kyiv. L’obiettivo principale del gruppo è di aggirare la censura in Russia sulle notizie del conflitto, hackerando siti web governativi e bancari russi.
L’esercito informatico potrebbe arrivare a contare più di 400.000 persone, sia all’interno che all’esterno del Paese, facendo molto di più che disattivare o eliminare siti web russi, secondo quanto riferisce Viktor Zhora, Responsabile della sicurezza informatica dell’Ucraina.[2]
Nell’immediato, questo gruppo, senza un alto livello di organizzazione, si è occupato prevalentemente della gestione improvvisa delle raccolte di fondi attraverso criptovalute e della predisposizione di piani di emergenza per le comunicazioni all’interno del Paese.
La tipologia degli attacchi e gli obiettivi principali
Il 20 aprile, sul canale ufficiale di Telegram dell’armata IT ucraina, è stato annunciato un attacco agli operatori di dati fiscali. In allegato, era presente una lista di società finanziarie russe e bielorusse, completa di informazioni sulla configurazione dei loro siti web. Nel giro di 24 ore, numerosi di quei siti risultavano essere offline. Ogni giorno, sul canale Telegram, emergono elenchi di target, i cui siti sono resi inaccessibili principalmente attraverso attacchi denial of service (DDoS).
Oltre agli attacchi DDoS, gli esperti di cybersicurezza hanno individuato anche alcuni attacchi ransomware, destinati a prendere di mira entità russe, come i servizi di pagamento online, i dipartimenti governativi e le compagnie aeree, oltre ad azioni di defacement, per cui il sito attaccato mostra una pagina compromessa.
Fra gli obiettivi sensibili, sono presenti anche grandi banche come Sberbank e il produttore di petrolio Lukoil. Altri messaggi inviati su Telegram richiedevano ai volontari di raccogliere resoconti sui social media circa i parenti stretti degli oligarchi russi e i numeri di telefono delle élite russe, comprese celebrità e opinion leader. Il 27 febbraio, in aggiunta, è stato richiesto ai volontari di prendere di colpire i siti web in Bielorussia.
La stima dell’intera portata di questi attacchi è quasi impossibile, in quanto è improbabile che molte tra le società attaccate dichiarino di essere state violate. Da un’analisi di Kaspersky è emerso che, dopo le prime fasi del conflitto, il numero di attacchi DDoS nel mondo è ritornato a livelli normali: tuttavia, la durata degli attacchi è aumentata, arrivando a raggiungere tempi molto lunghi, anche superando le diverse ore.
Il viceministro ucraino per la trasformazione digitale Oleksandr Bornyakov ha dichiarato che non vi è al momento comunicazione one-to-one: obiettivi e compiti vengono lanciati sui canali-ritrovo e gli hacker eseguono.
Il 3 marzo 2022, inoltre, è stata annunciata una nuova serie di obiettivi, tra cui la rete ferroviaria bielorussa e il sistema di navigazione satellitare locale della Russia Glonass, un’alternativa alla rete di navigazione satellitare Global Positioning System (GPS).
Al momento, dunque, il gruppo presente sul canale Telegram è costituito da persone attive sia a livello statale che non, e per tale motivo non è inquadrato nelle forze della Difesa. Ecco perché il “cyber-esercito” potrebbe anche chiedere agli hacker di provare a identificare le vulnerabilità di alcuni siti russi e inviare tali informazioni a specialisti in grado di eseguire azioni intrusive più sofisticate, come il furto o la distruzione di dati.
Il cyberattacco del 9 maggio
Il 9 maggio è avvenuto l’ultimo cyberattacco ucraino che ha colpito la Russia, durante la Giornata della vittoria russa sulla Germania nazista. Nell’attacco, avvenuto poco prima del discorso di Putin alla nazione, sono state colpite le piattaforme locali presenti nelle Smart TV e altri servizi online.
Anche la piattaforma video RuTube, che in Russia rappresenta un’alternativa a YouTube con i suoi contenuti provenienti dalle tv di Stato e da canali fortemente influenzati dal Cremlino, è stata colpita da un attacco. La piattaforma, disponibile anche per gli utenti occidentali, risulta ora inaccessibile. Chi prova a collegarsi, riceve il messaggio: “Il sito è stato attaccato. Al momento la situazione è sotto controllo. I dati dell’utente sono stati salvati. Sono in corso i lavori per ripristinare l’accesso alla piattaforma”. Lo stesso giorno, invece, chi in Russia ha acceso la tv tradizionale e ha consultato orari e programmi delle emittenti russe, ha visto scorrere sullo schermo un solo messaggio: “Sulle tue mani c’è il sangue di migliaia di ucraini e di bambini assassinati. Le tv e le autorità ti stanno mentendo. No alla guerra”.
La modifica ha interessato sia la pagina della guida elettronica, sia le informazioni che venivano visualizzate mentre una determinata trasmissione era in corso. Il messaggio degli hacker è stato visualizzato in sovrimpressione anche durante i cartoni animati per bambini, come mostrano alcuni screenshot diffusi sui social network.
L’attacco hacker non è stato rivendicato anche se operazioni di questo genere, solitamente, vengono effettuate dalla IT Army.
