Gli attuali scenari di guerra, in Ucraina e a Gaza, oltre agli esempi passati della guerra civile in Siria e della global war on terror, rendono sempre più evidente il rischio cyber per imprese e istituzioni italiane ed europee.
Nel corso degli ultimi quindici anni, questi conflitti e molti altri hanno dipinto un quadro sempre più netto della dimensione digitale come parte integrante delle operazioni militari, adottata tanto da forze regolari quanto da gruppi terroristici. L’andamento geopolitico attuale indica un persistente aggravarsi delle tensioni geopolitiche e, conseguentemente, è plausibile attendersi un costante aumento sia nell’intensità sia nel numero assoluto degli attacchi cyber.
La minaccia della guerra ibrida
Per affrontare questa costante sfida è importante conoscere le principali strategie e tattiche impiegate dagli attori internazionali che si presentano più o meno palesemente come una minaccia per l’Italia e per l’UE. Un concetto di rilevanza cruciale è rappresentato dalla guerra ibrida, un approccio strategico di carattere politico-militare che fa ampio affidamento sullo scontro cyber. Applicato per la prima volta da diversi soggetti politici nei primi anni 2000, è poi stato codificato nella teoria militare della “New Generation Warfare” del generale russo Valerij Gerasimov.
Esso consiste nel ripensamento delle forme e dei metodi delle operazioni di combattimento integrando una serie di strumenti non-militari nella gestione di un conflitto. Tra questi spicca come pilastro fondamentale l’uso di attacchi cibernetici, mezzo considerato fondamentale per pareggiare la disparità di risorse tra l’”occidente” e potenze regionali come Russia, Iran e Repubblica Popolare Cinese.
Gli avvenimenti degli ultimi due anni evidenziano come il ricorso alla guerra ibrida e, nello specifico, a mezzi di attacco e contrattacco cyber siano ormai una parte fondamentale di ogni conflitto. Nell’invasione russa dell’Ucraina come nella recente invasione israeliana di Gaza, attacchi informatici ad aziende, istituzioni e infrastrutture critiche sono parte integrante dell’arsenale offensivo delle forze combattenti coinvolte.
Attacchi informatici fluidi: anche l’Italia nel mirino
La fluidità degli attacchi informatici e la difficoltà di risalire a un responsabile mandante dell’azione rendono vulnerabili non solo i soggetti direttamente impegnati nel conflitto, ma anche Paesi o entità terze. Per questo motivo, i bersagli di una guerra non sono più solo quelli appartenenti direttamente al proprio avversario, ma anche gli asset strategici e le infrastrutture critiche degli alleati dei propri nemici, non necessariamente impegnati in uno scontro fisico.
Per questo motivo anche il nostro paese, in quanto alleato dell’Ucraina e di Israele, è spesso oggetto di attacchi cyber. Secondo l’ultimo rapporto Clusit (Associazione Italiana per la Sicurezza Informatica), nel primo semestre 2023 il trenta per cento degli attacchi cyber subiti nel nostro Paese sono riconducibili a hacktivisti filorussi. Questi si sono concentrati sul lancio di attacchi detti “Ddos”, che servono a rendere indisponibile l’accesso degli utenti a servizi per ore o giorni, senza però fare danni a file o infrastrutture. Il principale oggetto di questi attacchi sono stati ministeri, banche e aziende di trasporto pubblico.
Più recentemente, un gruppo di hacktivisti pro-palestina chiamato Mysterious Team Bangladesh ha lanciato attacchi Ddos contro tre aeroporti minori italiani, oltre a istituzioni come l’Aeronautica Militare. Questa operazione non ha fatto registrare un impatto significativo, avendo solo rallentato momentaneamente i servizi, ma rende evidente come anche solo un’azione dimostrativa possa avere delle conseguenze considerevoli.
Non sono stati colpiti solo istituzioni o servizi pubblici. Non si è salvato nemmeno ChatGpt, il noto servizio americano di intelligenza artificiale, che a novembre è stato bloccato per alcune ore, sempre per mezzo di Ddos di un gruppo hacker filorusso.
In questo contesto di guerra ibrida, gli attacchi più comuni sono nell’ambito della propaganda, con danni limitati a servizi e infrastrutture ma comunque potenzialmente alti per la reputazione di aziende e Governi, utili per espandere la propria influenza all’interno e all’esterno dei propri confini. Tuttavia, soggetti come Russia e Iran si sono cimentati recentemente anche in attacchi di grande impatto operativo e non solo dimostrativo.
Le capacità cyber ibride impiegate dalla Russia
Ad esempio, nel teatro della guerra tra Russia e Ucraina, emergono con chiarezza le ampie dimensioni delle capacità cyber ibride impiegate dalla Russia. Nel corso di questo conflitto, le azioni cyber condotte dallo stato russo si coordinano sinergicamente con le operazioni militari sul campo.
Almeno sei gruppi Advanced Persistent Threat russi, cioè unità specializzate in attacchi mirati e persistenti portati avanti grazie a una grande expertise tecnica e grandi risorse, hanno condotto attacchi sia distruttivi che di spionaggio, mentre le forze militari russe hanno agito attraverso azioni terrestri, aeree e navali. Non è ancora del tutto chiaro se tali gruppi e le forze militari operino seguendo obiettivi comuni in modo indipendente o se invece ci sia una coordinazione attiva tra di loro. Tuttavia, sia le azioni cyber che quelle cinetiche mirano a interrompere o compromettere le funzioni sia governative che militari dell’Ucraina, minando altresì la fiducia dei cittadini nelle istituzioni.
Inoltre, dal momento dell’inizio delle ostilità, il Microsoft Threat Intelligence Center ha rilevato ben 128 intrusioni russe in 42 stati, escludendo l’Ucraina. Tra le vittime, la metà è rappresentata da agenzie governative, presumibilmente prese di mira per il loro sostegno, diretto o indiretto, all’Ucraina. Un ulteriore 12% coinvolge organizzazioni non governative, in gran parte centri di ricerca sulla politica estera o gruppi umanitari che operano nell’assistenza alla popolazione colpita e nel supporto ai rifugiati. La restante percentuale comprende aziende nel campo dell’informatica, dell’energia e altri settori di rilevanza critica in ambito difensivo ed economico.
L’attività cyber iraniana
Per quanto riguarda le forze iraniane, invece, secondo un’importante società israelo-americana specializzata in cybersicurezza, gli hacker di Teheran stanno attualmente orchestrando una sofisticata campagna di spionaggio mirata ai propri rivali nell’intero Medio Oriente, tra cui Israele e l’Arabia Saudita, prendendo di mira le loro agenzie di difesa e di intelligence. La profondità e l’ambiziosità di un attacco simile evidenzia come gli attacchi informatici provenienti dall’Iran siano ora diventati una rilevante arma nella sfera delle guerre nell’ombra. La campagna in corso, un’azione silenziosa ma costante, rappresenta una sorta di controffensiva strategica da parte dell’Iran in una lunga e sfumata guerra digitale, protrattasi per oltre un decennio, contro nazioni come Israele, in cui Teheran ha precedentemente operato in una posizione di svantaggio. È emblematica la crescita rapida e sorprendente delle capacità iraniane nel campo della sicurezza informatica, evidenziando la determinazione di penetrare nelle reti dei rivali regionali.
Conclusioni
Questo incremento delle capacità offensive dei paesi che si pongono come ostili nei confronti dell’Italia e dell’UE deve far riflettere sulla necessità di una forte consapevolezza a livello istituzionale e privato di tutelarsi con conoscenza e difese operative. Conoscere lo stato attuale della geopolitica serve a far suonare le prime campanelle d’allarme, ma essere coscienti della composizione organizzativa e dei moventi dei nostri avversari politici permette di perfezionare una difesa mirata e più efficace.
