Nello specifico della guerra cyber, che cosa ci insegna la crisi in corso, con la sua preparazione e il suo sviluppo temporale che hanno occupato un intervallo assai più ampio di quello delle operazioni militari vere e proprie?
Forse sopravvalutati sul piano della loro decisività nell’ambito di un conflitto armato, i cyber attacchi stanno invece dimostrando di avere un impatto maggiore su quello della coesione sociale e del condizionamento dell’opinione pubblica.
Ma andiamo per gradi, partendo da una ricognizione delle risorse dell’arsenale cyber russo.
Attacchi cyber della Russia, l’Italia si difende ma attenzione a che succede ora
L’arsenale russo
La Russia ha una consolidata dotazione di centri e strumenti per la guerra cyber. La sua invasione dell’Ucraina aveva suscitato previsioni di un impegno intenso delle risorse cyber, sia contro la stessa Ucraina sia contro i paesi che hanno affiancato il paese invaso e segnatamente quelli del Patto Atlantico. Questo impegno c’è stato, a conferma di una serie di precedenti attacchi riconducibili alla strategia russa di saggiare le capacità di reazione dell’avversario, di sostenere la propria politica, di indebolire la resistenza e resilienza dell’avversario.
I risultati modesti e le perdite sostenute nella prima fase della guerra sollevano questioni non solo sulle molto dibattute inefficienze nella preparazione tecnica, nella logistica, nella motivazione dell’armata putiniana, ma pongono anche la questione dell’efficacia dell’intelligence, delle comunicazioni e delle capacità di interferire con l’apparato informativo degli avversari.
Ma quali sono, intanto, le risorse dell’arsenale cyber russo?
Nel Riquadro 1 abbiamo elaborato una mappa dei centri governativi che svolgono le attività cyber per conto o su sollecitazione del potere.
Nel Riquadro 2 abbiamo elaborato la mappa dei fiancheggiatori, compresi i gruppi criminali responsabili di attacchi, spesso per estorsioni o furto di dati e credenziali di accesso[1].
Riquadro 1. Agenzie del governo russo che svolgono attività cyber
Nella figura 1 riportiamo il grafico di Microsoft, sugli attacchi (non provenienti da un paese specifico) segnalati dal luglio 2020 al giugno 2021, dove si vede che, in piena pandemia, sicuramente la Russia aveva già intensificato le sue attività contro l’Ucraina, divenuta il secondo più importante obiettivo dopo gli Stati Uniti, più attaccata del Regno Unito, del Giappone e della Germania messi insieme[2].
L’escalation della cyber-offensiva russa
Questo dispiegamento di risorse e la notevole attività cyber da parte russa hanno preparato il terreno all’invasione dell’Ucraina con largo anticipo. Prima ancora che muovessero i primi reparti nelle famigerate “esercitazioni” di Putin ai confini dell’Ucraina, il governo, le infrastrutture critiche, le aziende tecnologiche, della difesa e i servizi di quel Paese e dei Paesi Nato erano già stati esposti ad una serie di attacchi da parte delle agenzie del governo e di gruppi fiancheggiatori.
All’inizio del 2021 Nobelium e DEV-0257 avviano campagne di phishing contro le attività diplomatiche di ricerca e attivazione del sostegno internazionale da parte dell’Ucraina e di furto di e-mail e accesso alle reti militari del Paese.
Poi, l’obiettivo si sposta sulle aziende IT fornitrici dell’Ucraina e dei partner NATO, coinvolte nel funzionamento e nella manutenzione delle reti di comunicazione del Paese e dei sistemi di trasporto.
Ad agosto del 2021, Actinium lancia attacchi phishing contro membri di organizzazioni umanitarie ed esperti militari stranieri, mentre STRONTIUM cerca di compromettere alcune organizzazioni della difesa ucraina.
Alla fine del 2021, attori ritenuti legati alla Russia si sono infiltrati nelle reti dell’energia e nelle reti delle aziende IT, con l’obiettivo di predisporre attacchi distruttivi successivi (DEV-0586 e Kitsoft a gennaio 2022)[3].
A gennaio 2022 l’attacco WhisperGate ha alterato i siti web delle autorità di governo ucraino, secondo lo schema già praticato nel 2017 con l’attacco NotPetya.
Il 24 febbraio un attacco cyber riconducibile alla Russia ha colpito i servizi internet satellitari gestiti dall’azienda americana Viasat. L’inizio dell’attacco è avvenuto un’ora prima dell’inizio dell’invasione dell’Ucraina. Sembrava che fossero le infrastrutture di informazione militari ucraine il solo obiettivo, ma l’impatto è stato assai maggiore, coinvolgendo utenze commerciali e personali: “sono stati danneggiati centinaia di migliaia di terminali, resi inoperabili e non riparabili”[4]. Sono state colpite anche centrali eoliche del Centro Europa e i servizi internet satellitari fino alle isole del Mediterraneo.
Dopo l’avvio dell’invasione molti hacker russi hanno compromesso le attività di molte organizzazioni, da quelle dell’energia, ai media, al governo.
Il ruolo delle armi cyber
Si è molto discusso sulla teoria della guerra ibrida del generale russo Gerasimov dopo la prima guerra Russo-Ucraina del 2014, anche se autorevoli commentatori indicano nell’ex-primo ministro Yevgeny Primakov l’essenza della dottrina politico-militare russa, perseguita con costanza dallo stesso Putin[5].
Abbiamo visto, d’altra parte, uno spiegamento di risorse e un crescendo di attività cyber che hanno preceduto, preparato, accompagnato e rafforzato l’attacco militare classico.
Ma quale insegnamento hanno portato i primi mesi della seconda guerra russo-ucraina?
Sul piano strategico complessivo sono emerse forti impreparazioni logistiche, tecniche e militari nella condotta convenzionale della guerra da parte russa. Sono state attuate correzioni strategiche e tattiche rilevanti e sono stati sostituiti molti alti comandi, non solo per le rilevanti perdite, ma con l’obiettivo, in parte raggiunto, di conquistare almeno le regioni sud-orientali, oggetto della prima guerra russo-ucraina del 2014.
Emergono forti preoccupazioni per la difesa convenzionale da parte della NATO, che era rimasta un po’ nel dimenticatoio, ritenendo che una guerra convenzionale in Europa fosse ormai un anacronismo. Ma l’antico tema del coordinamento di forze provenienti da diversi eserciti che parlano diverse lingue, torna a galla e costituisce un elemento di ulteriore debolezza, che si aggiunge al limitato dispiegamento di mezzi tradizionali sul terreno.
Gli errori russi e le debolezze intrinseche della reazione occidentale sono naturalmente al vaglio attento dei decisori a Pechino, dove l’obiettivo della riunificazione della Cina, con l’annessione di Taiwan, costituisce l’obiettivo principale dell’azione politica del Partito e del governo[6].
Cyber war, la lezione della crisi in corso
La puntuale valutazione critica condotta dal Centro per gli Studi Strategici e Internazionali (CSIS) ci consente di tracciare un primo bilancio provvisorio.
Il maggior successo russo sul piano degli attacchi cyber è stato il blocco delle comunicazioni internet del sistema satellitare Viasat. Esso era probabilmente parte di un piano a vasto raggio che è venuto meno e gli stessi impatti sulle comunicazioni ucraine sono risultati contenuti da un pronto intervento di ripristino, realizzato anche con il supporto dall’esterno.
Gli attacchi cyber nei conflitti moderni devono essere combinati con la guerra elettronica, le campagne di disinformazione, gli attacchi contro i satelliti, i bombardamenti di precisione. I danni maggiori sono connessi a questa ultima tattica volta a colpire e sono la demolizione/interruzione dei servizi finanziari, di trasporto, dell’energia e del governo per compromettere le capacità di decisione del nemico e per creare malessere sociale.
Ma, secondo il report del CSIS, “Forse si offenderà la comunità cyber se diciamo che gli attacchi cyber sono sopravvalutati. Mentre sono di valore inestimabile per lo spionaggio e il crimine, sono lungi dall’essere decisivi in un conflitto armato…danni ‘logici’ derivanti da attacchi ai dati e al software sono frequenti, ma essi normalmente non attribuiscono un vantaggio strategico all’attaccante”[7].
Conclusioni
Più importanti sembrano gli effetti che le attività cyber possono avere sulla coesione sociale. Su questo piano, nel corso dell’attuale invasione, l’attenzione della Russia sembra si sia concentrata sulla comunicazione all’interno del proprio paese, sottovalutando la reazione sia ucraina sia dei paesi europei. Ma questi ultimi non devono a loro volta sottovalutare l’efficacia che i regimi autoritari, come la Russia e la Cina, possono raggiungere nel condizionare la propria opinione pubblica, inibendo l’accesso ai media e alle fonti informative indipendenti. Qui, l’impatto della “balcanizzazione” di internet è un dato acquisito, con l’effetto di accrescere il controllo sull’opinione pubblica interna e di alimentare la disinformazione nella popolazione dei paesi ostili.
Tra le azioni standard della Russia, va ricordata quella di colpire i database o le email e poi lasciarle percolare per causare i maggiori danni possibili alla credibilità dell’avversario. Ma questa tecnica non ha funzionato con l’invasione dell’Ucraina. Una spiegazione possibile è che nonostante la sua lunga esperienza nella disinformazione, la Russia ha faticato a respingere una resistenza determinata e ostinata, che ha incontrato la solidarietà esplicita da parte dei paesi occidentali ed in particolare da parte dei paesi confinanti con l’Ucraina.
La prima fase del conflitto porterà ad ulteriori approfondimenti sul ruolo del cyber warfare e sull’esigenza di coordinare le attività dei diversi strumenti di attacco, quelli tradizionali e quelli cyber. Ciò che possiamo considerare acquisito è il ruolo nuovo e diverso dell’intelligence, nel suo complesso. Essa non è più una attività strettamente riservata e protetta della diffusione delle informazioni di cui è in possesso.
Fin dall’inizio della guerra i servizi americani hanno rintuzzato la propaganda fallace della Russia con l’evidenza delle informazioni riservate. Una novità che si è affiancata all’altra: la trasparenza sugli accadimenti nei teatri di guerra che, nonostante l’attività di disinformazione, le reti sociali hanno assicurato ad un’opinione pubblica mondiale e ai media.
Note
- ) Le fonti per l’elaborazione dei riquadri sono:Cybersecurity & Infrastructure Security Agency, Alert (AA22-110A) Russian State-Sponsored and Criminal Cyber Threats to Critical Infrastructure, May 9, 2022. Nel documento si sono i riferimenti per approfondimento sulle azioni specifiche e naturalmente i consigli per la mitigazione del rischio. Questa fonte principale è stata integrata con informazioni rilvate da: Euractive, Italy target of major Russia-linked cyberattack, again, 6/15/22 e da: Microsoft – Digital Security Unit, Special Report: Ukraine. An overview of Russia’s cyberattack activity in Ukraine, April 27, 2022. ↑
- ) Microsoft, op. cit. ↑
- ) Microsoft, op. cit. ↑
- ) UK Government, Russia behind cyber attack with Europe-wide impact an hour before Ukraine invasion, May 10, 2022, in: https://www.gov.uk/government/news/russia-behind-cyber-attack-with-europe-wide-impact-an-hour-before-ukraine-invasion. ↑
- ) Eugene Rumer, The Primakov (Not Gerasimov) Doctrine in Action, Carnegie Endowment for International Peace, June 5, 2019. ↑
- ) John B. Gilliam, Ryan C. Van Wie, Interim Security Insights and Implications from the First Two Months of the Russia-Ukraine War, Brookings Foreingn Policy, May 2022. ↑
- ) James A. Lewis, Cyber War and Ukraine, Center for Strategic and International Studies, June 2022, p. 2. ↑
