Il 15 marzo 2023 il Microsoft Threat Intelligence Team, che monitora le reti ucraine, ha avvertito che il GRU – uno degli organismi che compongono i servizi segreti russi – si stava “preparando per una nuova campagna distruttiva“, compresa la ricognizione contro obiettivi importanti.
L’impiego del malware “wiper”, che distrugge i dati, sottolinea il rapporto, “ricorda i primi giorni dell’invasione”. Secondo quanto emerso, tra gennaio e metà febbraio 2023, gli hacker che lavorano per i tre principali servizi segreti russi hanno cercato di penetrare obiettivi governativi e militari in 17 paesi europei, con l’obiettivo di condurre attività di spionaggio e di distruzione di dati sensibili.
Cyberwar e disinformazione russa, la Ue al contrattacco: ecco la strategia
L’evoluzione della campagna di cyberwarfare
L’offensiva informatica della Russia durante il 2022 è stata costante ma poco incisiva. Tuttavia, data l’ampiezza degli attacchi perpetrati dagli hacker russi e/o filorussi, può essere considerata la campagna di cyber warfare alle reti informatiche più grande di sempre. L’Ucraina, ben preparata e sostenuta da aziende tecnologiche e paesi alleati, è riuscita a sostenere molti di questi colpi, mantenendo le comunicazioni e i servizi governativi cruciali online contro ogni aspettativa. Ciononostante, la guerra informatica, come quella fisica, si sta evolvendo.
Le forze cibernetiche russe si sono adattate al nuovo scenario, che vede una rete informatica ucraina sostenuta dalle risorse dei paesi alleati, come affermato da Dan Black, che ha prestato servizio nella sezione di analisi delle minacce informatiche della Nato fino a dicembre 2022 e ora lavora per Mandiant, un’azienda di sicurezza informatica. Di fatto, durante l’offensiva in Ucraina orientale tra aprile e luglio 2022, la Russia avrebbe ampliato le sue operazioni informatiche in Polonia e nell’Europa orientale per raccogliere informazioni sulle spedizioni di armi in ucraina.
Gli attacchi informatici in Europa nel corso del 2022
Il rapporto di febbraio 2023 dell’unità Cyber Threat Intelligence di Thales riporta un’analisi dettagliata circa gli attacchi informatici perpetrati in Europa nel corso del 2022.
Il terzo trimestre del 2022 ha segnato un punto di svolta negli attacchi informatici legati al conflitto in Ucraina, con una chiara transizione da una guerra informatica incentrata su Ucraina e Russia a una guerra informatica ibrida ad alta intensità in tutta Europa. La guerra informatica sta prendendo di mira in particolare la Polonia e i Paesi baltici e nordici, con una crescente attenzione alle infrastrutture critiche nazionali in settori quali l’aviazione, l’energia, la sanità, le banche e i servizi pubblici. Inoltre, in questo periodo è stato registrato un aumento esponenziale di attacchi DDoS, a differenza del primo trimestre del 2022, che ha visto una serie di attacchi di vario tipo, suddivisi più o meno equamente tra fughe e furti di dati, attacchi DDoS, spionaggio, campagne di influenza, intrusioni, ransomware, phishing, wiper e attacchi infostealer.
Gli aggressori informatici hanno poi privilegiato gli attacchi DDoS (75%) contro aziende e governi. Questa vessazione sistematica ha spesso un basso impatto sulla integrità dei dati, ma ha l’effetto principale di creare tensione e instabilità tra i team di sicurezza informatica e di pressione sugli apparati governativi. Il loro obiettivo non è quello di avere un grande impatto operativo, ma destabilizzare e intimorire i paesi e/o le aziende che sostengono l’Ucraina. Tali attacchi fanno parte della strategia russa di impegnarsi nella guerra dell’informazione come meccanismo di logoramento delle organizzazioni pubbliche e private
Di tutti gli attacchi informatici segnalati in tutto il mondo dall’inizio del conflitto, il 61% è stato perpetrato da gruppi di hacktivisti filo-russi, in particolare da Anonymous Russia, KillNet e Russian Hackers Teams; tali gruppi hanno incrementato le loro attività con l’inizio del conflitto per rispecchiare gli sforzi degli hacktivisti dell’esercito informatico ucraino. Questi gruppi di hacktivisti civili indipendenti sono emersi come una nuova componente del conflitto. Possono essere assimilati a un gruppo di criminali informatici APT con obiettivi e interessi politici specifici, che agiscono secondo obbiettivi precisi ma non sono direttamente sponsorizzati da alcun governo.
Conclusioni
Secondo il Team di Microsoft, con il progredire della guerra sono emerse diverse altre tendenze nelle operazioni informatiche di influenza russa, tra cui:
- in primo luogo, gli attori APT russi stanno cercando di armare il fact-checking per diffondere narrazioni allineate al Cremlino;
- in secondo luogo, tutti gli attori filorussi online diffondono costantemente informazioni presumibilmente trapelate per colpire figure politiche e governi che sostengono Kiev;
- in terzo luogo, il governo russo e le entità affiliate coordinano regolarmente tour della stampa estera in tutta l’Ucraina occupata per raccogliere informazioni mediatiche internazionali da voci simpatetiche e raggiungere obiettivi di messaggistica più ampi;
- infine, oltre alle operazioni mirate alla Moldavia, la Russia continua a condurre operazioni di influenza multiforme nella periferia dell’Ucraina e in Europa per ampliare le divisioni sociali, screditare la leadership che sostiene l’Ucraina e promuovere le reti filorusse in quei Paesi.
