Il report Microsoft

Attacchi cyber, ecco le prime lezioni da trarre dalla guerra in Ucraina

Aziende che combattono oltre a fornire strumenti per combattere, IT Army al limite della legalità, minacce ibride e attacchi advanced persistent manipulator. Sono diverse le novità e le lezioni che si possono trarre sul conflitto in corso da una lettura “trasversale” del recente report Microsoft

Pubblicato il 27 Giu 2022

Fabrizio Baiardi

Professore Ordinario di Informatica, Responsabile gruppo ICT risk assessment and management, Università di Pisa

cyberwar

Nei giorni scorsi Microsoft ha pubblicato un rapporto[1] con quelle che a suo giudizio sono le prime lezioni che possiamo trarre dall’invasione russa dell’Ucraina dal lato cyber. Un rapporto indubbiamente interessante ma che mescola considerazioni strategiche con altre più tipicamente commerciali sull’efficacia dei vari prodotti Microsoft utilizzati dai difensori ucraini.

Proviamo allora a darne una lettura trasversale e personale nel tentativo di distinguere tra le lezioni imparate e le altre considerazioni.

Ucraina, è anche una guerra “cyber”: ecco tutti i fronti aperti

A mio giudizio, la considerazione più interessante e che ne genera molte altre è un po’ nascosta nella parte finale e può essere così tradotta: “Se la guerra in terra, cielo e mare è un dominio degli stati, il dominio cyber è proprietà anche delle aziende. Ciò rende la guerra in Ucraina diversa dalla maggior parte delle guerre del passato”.

Il coinvolgimento di aziende informatiche nella guerra

Premesso che le stesse cose venivano dette alla fine della guerra del Golfo nel 1991, la frase conferma quello che da tempo era evidente ovvero il pesante coinvolgimento di aziende informatiche nella guerra e quindi abbiamo per la prima volta aziende che combattono oltre a fornire strumenti per combattere. L’evidenza di questo coinvolgimento di aziende nasceva dal fatto che quasi tutte le notizie su attacchi in atto, strumenti utilizzati, successi e fallimenti di invasori ed invasi proveniva da report e whitepaper pubblicati dalle aziende piuttosto che da notizie di uffici ed organi statali.

D’altra parte, come evidenziato da altri testi ed articoli pubblicati di recente, molti stati non possono creare e mantenere una propria organizzazione dedicata in permanenza alle operazioni cyber delle dimensioni e della complessità richieste da una guerra come quella in atto. Sorge da qui la necessità di coinvolgere istituzioni private che dispongono delle risorse necessarie. Probabilmente, in futuro questa integrazione pubblico/privato renderà sempre più labili le differenze tra attaccanti sponsorizzati da uno stato ed altri attaccanti.

L’IT Army ucraino

Un altro esempio, non citato nel rapporto, è quello dell’IT Army ucraino un qualcosa creato mediante Telegram che non è pubblico, non è privato non è civile o militare e non è nemmeno chiaro se sia del tutto legale. Comunque esso è un attore del conflitto in atto[2] nell’ambito del quale esegue azioni offensive che vanno dai DDOS agli attacchi a specifici sistemi russi e in cui produce anche nuovi strumenti informatici.

La difesa funziona (e il cloud pure)

Una seconda lezione sottolineata dal rapporto è che la difesa funziona. Le statistiche sugli attacchi ai sistemi ucraini ma anche all’estero confermano che è possibile aumentare la robustezza dei sistemi informativi e renderli meno permeabili agli attaccanti. Se consideriamo la sofisticazione degli attaccanti e gli strumenti a loro disposizione, questa è indubbiamente una ottima notizia che conferma che spesso il successo degli attacchi è dovuto alla scarsa attenzione dei gestori dei sistemi piuttosto che al potere degli attaccanti. Un punto interessante è che la robustezza dimostrata dai sistemi attaccati per quanto riguarda attacchi distruttivi sia fisici che via wiper è dovuta alla loro migrazione su cloud. La flessibilità e l’elasticità delle architetture cloud è ovviamente molto importante per tollerare attacchi distruttivi che provochino la perdita di parte delle risorse logiche e fisiche dei sistemi di calcolo.

Un’architettura cloud è per sua natura distribuita su una vasta area geografica ed è quindi difficile attaccarla come può essere attaccato un centro di calcolo centralizzato che concentri le risorse per supportare un grande numero di utenti. Ovviamente, non è necessario che il cloud sia allocato in un paese estero come pare suggerire il rapporto, anche se questo può ovviamente aumentare la robustezza complessiva nel caso l’invasore non sia interessato a coinvolgere nel conflitto anche il paese che ospita il cloud. Diciamo che nel caso di un paese dell’Unione Europea, un cloud che spazi su più paesi dell’Unione può offrire la resilienza e la robustezza massima senza una perdita significativa di sovranità.

Il coordinamento tra attacchi cyber ed attacchi fisici

Il rapporto non discute un punto estremamente interessante. Le relazioni tra il successo dei difensori e le operazioni di defence forward che avrebbero eseguito gli US come comunicato dal generale Nakasone, direttore NSA. Questo tema meriterebbe sicuramente un approfondimento per capire quanto la situazione in Ucraina sia riproducibile in altri contesti.

Altre lezioni interessanti riguardano il coordinamento tra attacchi cyber ed attacchi fisici. Molti degli attacchi fisici sono stati preceduti da attacchi cyber alle infrastrutture di command & control delle stesse aree a conferma dello stretto coordinamento tra i vari gruppi di attaccanti.

Gli attacchi della Russia fuori dall’Ucraina

La nascita di una coalizione di nazioni, NGO ed aziende a difesa dell’Ucraina ha portato la Russia ad eseguire attacchi anche al di fuori dell’Ucraina, in particolare Microsoft ha rilevato 128 attacchi in 48 paesi diversi. Questi numeri sono molto inferiori a quelli segnalati da altre fonti. Ad esempio, il CyberPeace Institute di Ginevra segnala globalmente più di 200 attacchi. Un numero molto più alto di quello di Microsoft anche una volta sottratti gli attacchi a sistemi russi. Tra i paesi oggetto degli attacchi state sponsored segnalati da Microsoft, non appare il nostro che forse è stato lasciato ai gruppi criminali specializzati in ransomware. Gli attacchi al di fuori di Russia e Ucraina hanno avuto un successo in meno del 30% dei casi ma, prudentemente, il rapporto ricorda che questo dato potrebbe essere sottostimato per la visibilità parziale che Microsoft ha dei sistemi attaccati visto che non tutti sono ospitati su cloud. I dati sugli attacchi russi evidenziano come vi sia stata una attenta limitazione dei bersagli e delle politiche di diffusione di wiper e malware a domini interni dell’Ucraina.

Questa limitazione è ovviamente correlata all’art.5 del trattato NATO perché la diffusione di wiper ad altri stati si configurerebbe come attacco informatico e scatenerebbe l’obbligo della solidarietà e della difesa reciproca. Quindi la Russia ha posto molta attenzione ad evitare il ripetersi di diffusione incontrollata di malware come avvenuto, ad esempio, per NotPetya. Come confermato da altri studi[3] apparsi quasi contemporaneamente, questo limita necessariamente gli impatti che l’attaccante è in grado di ottenere ma è evidentemente necessario per impedire una diffusione incontrollata del conflitto. Non è facile quindi formulare previsioni su attacchi cyber nel caso di un conflitto che veda un maggior numero di nazioni coinvolte.

Guerra, minacce ibride e attacchi advanced persistent manipulator

L’ultima lezione è forse la più affascinante e riporta in gioco guerra e minacce ibride per la NATO o grigie per la Russia. Queste minacce operano mediante la diffusione di notizie false per dividere l’opinione pubblica ucraina e degli stati alleati e favorire la diffusione di notizie antigovernative attraverso piattaforme, mezzi di comunicazione e social network. L’aspetto evidenziato dal rapporto è l’integrazione di vecchie e nuove strategie da parte russa ed in particolare quello di operare delle minacce in modo permanente ragione per cui queste minacce vengono indicate come APM, advanced persistent manipulator.

Il rapporto utilizza il termine permanente per le strategie di questi APM perché essi non operano in modo puntuale, diffondendo una specifica notizia ma creano a priori quella che viene indicata come una narrazione in cui la specifica notizia si va ad inserire in modo coerente. Un esempio è quello della esistenza di laboratori per la produzione di armi biologiche in Ucraina. Questa narrazione era stata predisposta in precedenza, in particolare nel novembre 2021, ed è stata poi utilizzata per giustificare attacchi russi ad infrastrutture civili ed ospedali ucraini dopo febbraio 2022. Il termine APM si spiega perché questo comportamento è simile a quello di un APT che installi un malware in un sistema da attivare se e quando utile.

APM e polarizzazione della pubblica opinione

Come è molto facile verificare nel nostro paese, le tecniche usate da questi gruppi in Ucraina sono molto simili a quelle che gli stessi gruppi, o APM nella nuova terminologia, hanno usato in passato per spargere fake news sui vaccini Covid-19. Ad esempio, è interessante notare che gli APM diffondevano su forum russi notizie a favore della vaccinazione mentre contemporaneamente pubblicavano su quelli occidentali notizie sulla scarsa efficacia e sui danni del vaccino. Narrazioni queste ultime a cui poi è facile collegare news su laboratori biologici e simili. Gli APM riescono a sfruttare molto bene il carattere aperto e democratico della società occidentale e la polarizzazione della pubblica opinione caratteristica dei nostri tempi. Per questo hanno avuto molto successo, forse superiore a quello degli attacchi tradizionali e cyber, almeno se misuriamo il successo con il numero di pagine visitate dei siti che diffondono queste notizie. Il numero di visite è cresciuto in modo esponenziale nel momento sulle vecchie narrazioni si sono innestate nuove notizie. Ovviamente, il numero di visite ad una pagina non è necessariamente indice di accettazione dei contenuti o di credibilità della pagina ma indica in una qualche misura la capacità di penetrare nell’opinione pubblica e diffondere notizie divise su specifici temi.

Un possibile rimedio ai significativi successi degli APM può essere solo una strategia di difesa centrata su un approccio integrato tra misure tecnologiche e sociali. In particolare, se sul lato tecnologico sono stati fatti passi in avanti ed ottenuti successi nella difesa delle infrastrutture informatiche, è evidente la necessità di soluzioni tecnologiche, formative ed educative per creare una capacità diffusa dell’opinione pubblica di individuare e reagire alle narrazioni persistenti degli APM. Focalizzarsi solo su misure tecnologiche per il riconoscimento di bot o fake news o su DDOS contro i siti degli APM può essere un grave errore viste anche le difficoltà di spiegare alcuni dei risultati che alcune tecniche di rilevazione producono. Per aumentare ulteriormente la complessità della soluzione, essa deve poter operare in una dimensione non solo nazionale ma europea. Programma ambizioso e con tempi necessariamente lunghi se non lunghissimi.

Note

  1. Defending Ukraine: Early Lessons from the Cyber War, 22 giugno 2022
  2. Stefan Soesanto The IT Army of Ukraine Structure, Tasking, and Ecosystem Zürich, June 2022 Center for Security Studies (CSS), ETH Zürich
  3. Lennart Maschmeyer; The Subversive Trilemma: Why Cyber Operations Fall Short of Expectations. International Security 2021; 46 (2): 51–90.

Valuta la qualità di questo articolo

La tua opinione è importante per noi!

Argomenti

Canali

EU Stories - La coesione innova l'Italia

Tutti
Iniziative
Video
Analisi
Iniziative
Parte la campagna di comunicazione COINS
Interviste
Marco De Giorgi (PCM): “Come comunicare le politiche di coesione”
Analisi
La politica di coesione europea: motore della transizione digitale in Italia
Politiche UE
Il dibattito sul futuro della Politica di Coesione
Mobilità Sostenibile
L’impatto dei fondi di coesione sul territorio: un’esperienza di monitoraggio civico
Iniziative
Digital transformation, l’Emilia-Romagna rilancia sulle comunità tematiche
Politiche ue
Fondi Coesione 2021-27: la “capacitazione amministrativa” aiuta a spenderli bene
Finanziamenti
Da BEI e Banca Sella 200 milioni di euro per sostenere l’innovazione di PMI e Mid-cap italiane
Analisi
Politiche di coesione Ue, il bilancio: cosa ci dice la relazione 2024
Politiche UE
Innovazione locale con i fondi di coesione: progetti di successo in Italia
Iniziative
Parte la campagna di comunicazione COINS
Interviste
Marco De Giorgi (PCM): “Come comunicare le politiche di coesione”
Analisi
La politica di coesione europea: motore della transizione digitale in Italia
Politiche UE
Il dibattito sul futuro della Politica di Coesione
Mobilità Sostenibile
L’impatto dei fondi di coesione sul territorio: un’esperienza di monitoraggio civico
Iniziative
Digital transformation, l’Emilia-Romagna rilancia sulle comunità tematiche
Politiche ue
Fondi Coesione 2021-27: la “capacitazione amministrativa” aiuta a spenderli bene
Finanziamenti
Da BEI e Banca Sella 200 milioni di euro per sostenere l’innovazione di PMI e Mid-cap italiane
Analisi
Politiche di coesione Ue, il bilancio: cosa ci dice la relazione 2024
Politiche UE
Innovazione locale con i fondi di coesione: progetti di successo in Italia

Articoli correlati

Prossimo

Avvocato civilista, la cassetta degli attrezzi digitali: cosa serve a uno studio legale