La guerra russo-ucraina ha visto nell’ultimo mese una serie di operazioni cyber, condotte dalla Russia ai danni dell’Ucraina, quali attacchi DDoS, campagne di disinformazione e attività distruttive di sabotaggio con malware. Ma l’Occidente non sta fermo: sta rispondendo con mosse difensive e anche contro-offensive, anche se di natura diversa rispetto a quelle russe.
Come la guerra sta cambiando internet: big tech fronte del conflitto
Le tattiche della guerra ibrida digitale e cyber
Da tempo tali tipi di tattiche sono utilizzate dalla Difesa e dai servizi di intelligence russi per portare avanti operazioni ibride, utilizzate nel loro complesso come meccanismo di una più ampia strategia, poi sviluppata come un insieme di principi militari, “Voina novogo pokoleniia” in russo, New Generation Warfare (NGW) in inglese, per i russi riassumibile nella Dottrina Gerasimov, che mira alla sconfitta dell’avversario enfatizzando l’uso integrato ed olistico di strumenti di influenza militari e non, di hard e soft power, per enfatizzare l’effetto coercitivo.
“Il valore della scienza sta nella lungimiranza. Nuove sfide richiedono un ripensamento delle forme e dei metodi delle operazioni di combattimento”, così era intitolato l’articolo che, nel 2013, riportava l’intervento del Capo di Stato Maggiore russo, Generale Valerij Vasil’evič Gerasimov, tenuto ad una conferenza all’Accademia di Scienza Militare di Mosca.
Il contenuto di quell’intervento esponeva la necessità, per le forze armate russe, di rivedere i propri metodi di combattimento e di adattare i propri mezzi alle nuove sfide che le attendevano.
HermeticWiper attacca l’Ucraina, allarme anche in Italia: come difendersi
Il pensiero del Generale prendeva in considerazione le conseguenze delle Primavere arabe, nate e poi sviluppatesi secondo modalità di sovversione sociopolitica attraverso strumenti e modalità interoperative e intersettoriali. Date le loro conseguenze parimenti distruttive sul piano economico, politico e sociale, tali rivoluzioni possono essere paragonate a delle vere e proprie guerre. Secondo Gerasimov, la nuova guerra assumerebbe proprio queste caratteristiche, ossia guerre non dichiarate, nelle quali la distinzione tra belligeranza e pace risulti sempre più labile ma, soprattutto, in cui il ruolo degli strumenti e mezzi non militari raggiungerebbe un’importanza e un’efficacia ancor maggiore di quelli strettamente militari. L’insieme delle leve economiche, politiche, diplomatiche, umanitarie e in particolare, applicato al caso russo-ucraino, cibernetiche e informative, è destinato così ad essere impiegato congiuntamente al potenziale di protesta della popolazione.
Quanto detto si può tradurre in una gamma di azioni che variano dagli attacchi cibernetici alle campagne di contro-informazione, dai richiami costanti al nucleare, alle operazioni sotto copertura, fino, in extrema ratio, a giustificare veri e propri interventi militari come azioni intraprese per il mantenimento della pace.
Ed è proprio quanto si è assistito nelle settimane che hanno preceduto il discorso del Presidente russo Vladimir Putin, nel quale annunciava l’invasione dell’Ucraina.
Gli attacchi cyber che hanno colpito infrastrutture critiche e centri di potere ucraino sono parte della varietà di azioni portate avanti nel dominio cibernetico e informativo da parte della Russia.
Il ruolo della disinformazione
La guerra d’informazione del Cremlino ha posto le basi e adesso prosegue di pari passo all’escalation militare in corso. Nel mese che ha preceduto gli scontri, gennaio, StratComm, la task force europea che studia la disinformazione condividendo i risultati su EUvsDisinfo, ha registrato una notevole ondata di disinformazione, soprattutto in termini di qualità. Ciò che stupisce, è l’elevato livello di coordinazione proveniente da fonti apparentemente differenti e poste su piani diversi ma riconducibili direttamente o indirettamente alla sfera di influenza pro-Cremlino.
In tal senso, la Russia esprime la propria strategia aggressiva potendo contare su una considerevole capacità asimmetrica rappresentata dalle numerose entità che gravitano intorno all’interesse russo e/o direttamente all’intelligence e alle istituzioni militari di Mosca.
Ad esempio, la Unit 74455, denominata anche Sandworm Team, si ritiene sia una delle principali minacce attualmente operanti nel teatro ucraino. Questo gruppo, unitamente a APT28, Fancy Bear, il cui bersaglio principale sono i Paesi Nato, viene spesso accostato all’Intelligence militare russa (GRU).
Parimenti è il caso della Hacker Crew APT29, Cozy Bear, connessa talvolta al Servizio di Sicurezza Nazionale e controspionaggio (FSB) e all’Intelligence esterna (SVR).
In questo modo tali operazioni di disinformazione vengono veicolate e sostenute dai social e dalle piattaforme decentralizzate online che compongono l’ecosistema “cybersociale”, andando così a costruire e rinforzare determinate e “pilotate” interpretazioni degli scenari, come nel nostro caso quello ucraino attraverso il quale evidenziare la fragilità della leadership ucraina con l’obiettivo di minare l’orientamento politico. Al tempo stesso, sul lato interno, la popolazione russa è costantemente bersaglio dell’interpretazione che legittimerebbe le azioni belliche.
L’Italia rischia ritorsioni dalla Russia: si prepari a una cyberwar
Attacchi cyber
Congiuntamente alle operazioni di disinformazione diffuse utilizzando social e piattaforme informatiche, si è assistito a veri e propri attacchi cyber che hanno preso di mira infrastrutture critiche, banche e centri di potere ucraino, i cui responsabili si ritiene possano essere i medesimi.
Già il 13 gennaio era stato rilevato un malware con il nome di WhisperGate che aveva coinvolto alcune istituzioni governative ucraine.
Ad inizio febbraio invece, alcuni ricercatori di sicurezza hanno rilevato un’operazione di attacco da parte del collettivo russo Gamaredon, anche conosciuto come Armageddon o Shuckworm, contro altre entità ucraine.
Per comprendere maggiormente quanto queste “misure attive”, l’insieme cioè delle azioni offensive che attraverso l’inganno, il sotterfugio e il sabotaggio permettono di bloccare l’attività nemica ad uno stadio iniziale, siano strettamente ed intrinsecamente allacciate, si esamini l’attacco smascherato il 7 febbraio. Il servizio di sicurezza dell’Ucraina (SBU), cioè la principale agenzia di sicurezza del governo nei settori dell’attività di controspionaggio e della lotta al terrorismo, ha riportato di aver smantellato una rete legata ai servizi di sicurezza russi che aveva come compito la creazione di account illeciti su social network. Tali account sono stati effettivamente utilizzati per condurre attività di disinformazione volte a minare la situazione interna ucraina.
Fonti di intelligence citate dal Washington Post sostengono che gli hacker che lavorano per il Servizio di sicurezza russo, o FSB, e la sua agenzia di spionaggio militare, il GRU, sono stati individuati all’interno dei sistemi informatici dei servizi essenziali ucraini. Tale evidenza è stata confermata anche da Oleksandr Danylyuk, ex Segretario del Consiglio di sicurezza e difesa nazionale ucraino, sulle pagine di Politico.
A metà febbraio un attacco di tipo DDoS (Distributed Denial-of-Service), ha reso inutilizzabile il sito del Ministero della Difesa, di alcune banche sia pubbliche che private e della Banca Nazione dell’Ucraina. Tali attacchi, limitatamente a quelli contro il settore finanziario, sono stati attributi dal governo degli Stati Uniti e Gran Bretagna al Main Intelligence Directorate of the General Staff of the Armed Forces of the Russian Federation (GRU).
Ad essere bersaglio di attacchi DDoS sono stati, una settimana più tardi, anche i portali web di alcuni organi del governo ucraino, in particolare quello del Parlamento Nazionale, il Consiglio dei ministri e il Ministro degli Affari Esteri.
Il 24 febbraio è stato identificato il malware noto come HermeticWiper, il primo malware ufficiale della guerra Russo-Ucraina, dalle funzionalità devastanti, coinvolto in attacchi mirati verso obiettivi strategici del Paese.
La peculiarità di questo malware “consiste nel distruggere intenzionalmente i dati presenti su un dispositivo al fine di renderli irrecuperabili, minando il corretto funzionamento del sistema operativo in esecuzione”.
Secondo ESET, che lo ha rilevato, il malware sarebbe già presente su centinaia di dispositivi collegati alle reti ucraine.
Inoltre, il National Cyber Security Center de Regno Unito (NCSC), congiuntamente con il CISA, FBI e NSA, ha rilevato un nuovo malware, denominato Cyclops Blink, associato al Threat Actor russo conosciuto come Sandworm (alias Voodoo Bear).
Tale attacco non sembra essere però legato all’attuale situazione in Ucraina. Tuttavia, data la sua presunta fonte, potrebbe dimostrarsi una valida informazione per prevenire futuri attacchi che potrebbero ancora essere sferrati durante il conflitto.
Nella stessa giornata del 24 febbraio, è stato pubblicato l’annuncio di un leak di dati, rilevati poi nel dark web, che coinvolge circa 50 siti web governativi contenenti dati pubblici e privati.
La risposta dell’Occidente
A causa dell’incremento e della gravità degli attacchi perpetrati a seguito dell’inasprimento del conflitto, diversi Stati coinvolti direttamente o indirettamente nelle belligeranze hanno adottato misure atte a fronteggiare attacchi cibernetici alle loro reti e sistemi ed elevando le loro difese cyber, ritenendo ragionevole che nel prossimo futuro possano verificarsi attività di spionaggio e/o distruttive nei confronti di aziende che operano nel settore finanziario ed energetico.
La difesa
È quanto fatto, ad esempio, dalla nostra Agenzia per la Cybersicurezza Nazionale (ACN) tramite lo CSIRT che, già nella giornata del 14 febbraio, segnalava “ll significativo rischio cyber derivante da possibili impatti collaterali a carico di infrastrutture ICT interconnesse con il cyberspazio ucraino, con particolare riferimento ad enti, organizzazioni ed aziende che intrattengono rapporti con soggetti ucraini e con i quali siano in essere interconnessioni telematiche (e.g., connessioni B2B, utenze presso reti ucraine e viceversa, condivisione di repository o piattaforme collaborative)”, raccomandandosi di innalzare il livello di attenzione adottando in via prioritaria le azioni di mitigazione che riportava.
Simile alert veniva pubblicato quale integrazione del primo nella giornata del 25 febbraio a seguito dell’identificazione del malware HermeticWiper, nel quale veniva nuovamente suggerito di seguire le raccomandazioni disposte allegando gli Indicatori di Compromissione (IoC).
Si veda invece quanto sostenuto dal Ministro della Difesa lituano, sceso in campo insieme alla Croazia, Polonia, Estonia, Romania e Paesi Bassi che, rispondendo alla richiesta di sostegno proveniente dall’Ucraina, hanno attivato un Cyber Rapid Response Team (Crrt) dando seguito a quanto sostenuto a gennaio dall’Alto rappresentante dell’Unione per gli affari esteri e la politica di sicurezza, Josep Borrell.
L’offesa
Questi Paesi forniranno esperti di sicurezza informatica sia in loco che a distanza, per prevenire le minacce informatiche che potrebbero scaturire dal conflitto. Anche il Regno Unito, tramite il ministro della Difesa, ha dichiarato che gli esperti informatici britannici stanno lavorando con l’Ucraina per proteggersi dalla minaccia cyber russa.
L’Ucraina, dal canto suo, tramite l’Ukraine Cyber Troops, una divisione del Ministero della Difesa, ha portato a compimento numerose operazioni informatiche offensive contro obiettivi governativi russi. L’ultima violazione, ad esempio, è ai danni della Rosatom State Nuclear Energy Corporation, alla quale sono stati trafugati documenti e che comprende oltre 350 imprese e il complesso di armi nucleari della Russia.
Non da sottovalutare infine, è la discesa in campo da parte di Anonymous che, schierandosi a favore dell’Ucraina, in queste ultime ore ha rivendicato l’attacco ai danni dei colossi energetici russi, che segue quello al Cremlino e al Ministero della Difesa oltre a quello diretto verso il produttore di armi bielorusso Tetraedr e a vari media statali. In queste azioni sono take down, defacement a scopo di propaganda e contro-informazione. L’occidente si è avvalso finora di anonymous per l’offesa e non è chiaro quanto questo sia frutto di attivismo spontaneo e quanto i coordinamento statale.
Già si cominciano a vedere inoltre primi databreach – attacchi cyber a tutti gli effetti – ai danni di fiancheggiatori del Cremlino, indifferentemente gang cybercrime (Conti) e istituto nucleare russo.
Anonymous, il ruolo degli attacchi cyber occidentali nella guerra russo-ucraina
In conclusione
In conclusione, si può quindi desumere come la strategia portata avanti dalla Russia segua l’interpretazione della New Genearation Warfare (NGW) letta in chiave russa attraverso la Dottrina Gerasimov che, pur disponendo di apparati molto sviluppati ed effettivamente utilizzando mezzi e strumenti contemporanei di guerra ibrida si fonda sulla perenne paura e percezione da parte dei circoli politico-militari russi che la Russia si trovi costantemente sotto attacco e che sia oggetto di un accerchiamento volto a distruggere la sua entità geopolitica, legittimando perciò l’attacco come “difesa attiva”.
Appare evidente come tutte le operazioni fin ora portate avanti dalla Russia nel dominio cyber e informativo siano quindi parte di una più ampia strategia che, sulla scia della tradizione sovietica e come già visto nel 2017 con NotPetya, utilizza tali strumenti per agire sulla percezione dell’avversario cercando di alterarne le scelte strategiche e il comportamento in modo da manipolarne il processo decisionale o sfruttare a proprio vantaggio le divisioni interne che ne conseguono, indebolendolo a tal punto da realizzare l’obiettivo prefissato.
Ciò che ci si potrebbe quindi aspettare come conseguenza dell’incremento delle ostilità e dell’entrata in gioco di Anonymus fra i vari attori coinvolti, potrebbe essere un’escalation anche nel dominio cyber, in cui le operazioni da ambo i lati potrebbero sfruttare l’anonimato del gruppo hacker per portare a compimento attacchi cyber ad alto profilo, contribuendo ad aumentare maggiormente la cosiddetta “nebbia di guerra”.
Perché la gang ransomware Conti si schiera con Putin: come cambia il cybercrime
