Blog

Cyber War

(Last Updated On: 9 marzo 2022)

Lo scontro cyber tra Russia, Ucraina, Occidente: le diverse tattiche

Non solo guerra “tradizionale”, ma anche cibernetica. Lo scontro tra disinformazione e contro-disinformazione intorno alla guerra, di per sé conferma ancora una volta peso e responsabilità dei social. Inevitabile considerare il tema con Giancarlo Mauri, Professore emerito di Informatica dell’Università di Milano Bicocca. L’informazione manipolata è stata usata per giustificare la guerra, diffondendo false notizie su un genocidio “neo-nazista” nel Donbass da parte degli ucraini, ai danni dei russi. La battaglia è stata al centro dell’approccio della Casa Bianca al conflitto, fin dall’inizio. La sua mossa, senza precedenti, di rilasciare pubblicamente informazioni declassificate sui piani russi, ha frustrato i tentativi del Cremlino di un’efficace narrazione per invadere l’Ucraina.

L’apparato russo ha limitato, rallentandole, le connessioni con gli strumenti di “deep packet inspection” imposti ai provider, in particolare all’accesso a Facebook-Meta, protestando contro i blocchi presunti dei media russi. Facebook ha controllato i fatti, etichettando le notizie provenienti da fonti statali, filtrandole per arginare la disinformazione e vietando ai media statali russi di pubblicare annunci scorretti sulla sua piattaforma.

YouTube ha detto che avrebbe sospeso la capacità di diversi canali di “far moneta”, dopo che il senatore degli Stati Uniti Mark Warner aveva scritto ad Alphabet/Google, così come ad altre grandi aziende tecnologiche, esortandole a fare di più per combattere le operazioni di influenza russa. Google e Alphabet han preso misure simili per bloccare le sue piattaforme da parte dei media russi finanziati dallo stato. Anche Twitter ha adottato misure simili: l’accesso è stato limitato e ha messo in pausa la monetizzazione dei media statali russi.

I funzionari ucraini hanno invitato Apple a vietare l’accesso nemico al suo App-Store. “Abbiamo bisogno del vostro sostegno: nel 2022, la tecnologia moderna è forse la migliore risposta ai carri armati, ai lanciarazzi multipli ed ai missili”, ha scritto Mykhailo Fedorov, vice primo ministro ucraino, in una lettera all’amministratore delegato di Apple, Tim Cook. In un tweet, Cook si è dimostrato profondamente preoccupato per il conflitto e ha dichiarato che Apple stava sostenendo gli sforzi umanitari locali.

La Russia ha una lunga storia di utilizzo di questo tipo di guerra ibrida, per influenzare la popolazione (come durante le elezioni americane). Prima dell’invasione, gli ucraini hanno ricevuto messaggi di testo, sui loro telefoni, che li avvisavano che i bancomat avevano smesso di funzionare. Tutte false affermazioni, che sono state rapidamente smentite dalla forza di polizia informatica dell’Ucraina.

Le autorità russe hanno avvertito Google, FB-Meta, Apple, Twitter, TikTok e altri media, di conformarsi, entro la fine di marzo, alla legge che richiede loro di creare entità legali nel paese. La cosiddetta “legge di sbarco” rende le aziende ed i loro dipendenti più vulnerabili al sistema legale russo, alle richieste dei censori di governo, con prospettive di multe, arresti e blocco o rallentamento dei servizi internet. Le autorità stanno spingendo le aziende a censurare il materiale sfavorevole online, mantenendo solo i media pro-Cremlino senza filtri.

La legge è una mossa per contrastare i tentativi delle aziende tecnologiche di ridurre al minimo le loro presenze fisiche in Russia. Entrata in vigore il 1 gennaio, richiede ai siti web stranieri e alle piattaforme di social media che hanno più di 500 mila utenti-giorno, di registrarsi come entità legali, con un leader locale. Richiede anche alle aziende di depositare un account con “Roskomnadzor”, creando un modulo elettronico condiviso, per i cittadini russi e le autorità governative, necessario per contattare le aziende ed effettuare reclami.

Stabilire una maggiore presenza locale rende le aziende e i loro dipendenti vulnerabili alle intimidazioni da parte del governo ed alle richieste dei censori, grazie alla prospettiva di multe, arresti e del blocco o rallentamento dei servizi internet. Le autorità stanno spingendo le aziende a censurare il materiale sfavorevole online, mantenendo i media pro-Cremlino senza filtri. L’anno scorso, le autorità russe hanno minacciato di arrestare i dipendenti di Google e Apple per costringerli a rimuovere un’applicazione creata dai sostenitori di Aleksei A. Navalny, il leader dell’opposizione russo imprigionato. Le ha poste di fronte alla scelta di conservare i loro servizi in Russia, a certe condizioni, o l’andarsene del tutto.

Come si vede, big tech e Governi occidentali agiscono sinergicamente. I social, in particolare nei momenti di crisi, si trovano nella scomoda posizione di dover diventare strumenti politici a tutti gli effetti. Con grosse responsabilità. Quello della neutralità tecnologica è ormai un fantasma che non si affannano nemmeno più a evocare. La confermata responsabilità, di fatto è destinata a tradursi in atti di normalità. Non farà che incoraggiare le leggi che in Europa e Stati Uniti si stanno preparando, a questo proposito.

NGW (New Genearation Warfare). Congiuntamente alle operazioni di disinformazione, diffuse utilizzando social e piattaforme informatiche, si è assistito a veri e propri attacchi cyber che hanno preso di mira infrastrutture critiche, banche e centri di potere ucraino. Tali attacchi, limitatamente a quelli contro il settore finanziario, sono stati attribuiti dai governi degli Stati Uniti e Gran Bretagna al Main Intelligence Directorate of the General Staff of the Armed Forces of the Russian Federation (GRU).

Secondo la dottrina russa del generale Gerasimov, l’attuale guerra ha nuove caratteristiche: non dichiarata, con la distinzione tra belligeranza e pace sempre più labile e soprattutto con il ruolo preponderante degli strumenti e mezzi non militari. L’insieme delle leve informative, economiche, politiche, diplomatiche, umanitarie, ciber, è destinato così ad essere impiegato congiuntamente al potenziale di “opinion management” della popolazione.

L’arsenale russo è variegato, come lo è quello occidentale, che finora si è avvalso della bandiera di “Anonymous” per l’offensiva a colpi di defacement, take down e data breach. Ciò si può tradurre in una gamma di azioni che variano dagli attacchi cibernetici alle campagne di contro-informazione, dai richiami costanti al nucleare, alle operazioni sotto copertura, fino a giustificare veri e propri interventi militari come azioni intraprese per il mantenimento della pace.

La guerra russo-ucraina ha visto nel febbraio 2022 una serie di operazioni cyber, condotte dalla Russia ai danni dell’Ucraina, con attacchi DDoS (Distributed Denial-of-Service) ad opera del collettivo CyberBerkut con campagne di disinformazione e attività distruttive di sabotaggio con malware. Ma l’Occidente non sta fermo: sta rispondendo con mosse difensive e anche contro-offensive, anche se di natura diversa rispetto a quelle russe. La Russia esprime la propria strategia aggressiva potendo contare su una considerevole capacità asimmetrica, rappresentata dalle numerose entità che gravitano intorno all’interesse russo e/o direttamente all’intelligence e alle istituzioni militari di Mosca.

La Unit 74455, denominata anche Sandworm Team, si ritiene sia una delle principali minacce operanti nel teatro ucraino. Questo gruppo, unitamente a APT28, Fancy Bear, il cui bersaglio principale sono i Paesi Nato, viene spesso accostato all’Intelligence militare russa (GRU): è il caso della Hacker Crew APT29, Cozy Bear, connessa talvolta al Servizio di Sicurezza Nazionale e controspionaggio (FSB) e all’Intelligence esterna (SVR).

In questo modo tali operazioni di disinformazione, vengono veicolate e sostenute dai social e dalle piattaforme decentralizzate online, che compongono l’ecosistema “cybersociale”, andando così a costruire e rinforzare “pilotate” interpretazioni degli scenari, come quello ucraino, attraverso il quale evidenziare la fragilità della leadership ucraina, con l’obiettivo di minare l’orientamento politico. Al tempo stesso, sul lato interno, la popolazione russa è costantemente bersagliata da una interpretazione degli eventi capace di legittimare le azioni belliche.

Un malware “WhisperGate” ha coinvolto alcune istituzioni governative ucraine. Un secondo attacco è stato condotto da parte del collettivo russo Gamaredon, anche conosciuto come Armageddon o Shuckworm. Fonti di intelligence citate dal Washington Post sostengono che gli hacker che lavorano per il Servizio di sicurezza russo (FSB) e la sua agenzia di spionaggio militare, il GRU, sono stati individuati all’interno dei sistemi informatici dei servizi essenziali ucraini.

Il 24 febbraio è stato identificato il malware noto come HermeticWiper, il primo malware ufficiale della guerra Russo-Ucraina, dalle funzionalità devastanti, coinvolto in attacchi mirati verso obiettivi strategici. La peculiarità di questo malware “consiste nel distruggere intenzionalmente i dati presenti su un dispositivo al fine di renderli irrecuperabili, minando il corretto funzionamento del sistema operativo in esecuzione”. Il National Cyber Security Center del Regno Unito (NCSC), congiuntamente con il CISA, FBI e NSA, hanno rilevato un altro malware, denominato Cyclops Blink, associato al Threat Actor russo già noto come Sandworm (alias Voodoo Bear).

Voodoo Bear. Rappresenta un sistema di tecniche in grado di facilitare e fornire effetti distruttivi, sviluppati nel corso degli anni. Comprendono malware wiper, mirati tramite loader personalizzati, o capaci di imitare l’effetto delle implementazioni di ransomware, utilizzando meccanismi di distribuzione di più ampia portata, come la supply chain e le compromissioni strategiche del web (SWC).

Le campagne criminali informatiche sembrano voler degradare, delegittimare o influenzare la fiducia del pubblico nei confronti delle istituzioni statali e dei settori industriali dell’Ucraina. Le prime operazioni attribuite a Voodoo Bear hanno preso di mira alcuni settori del paese, spesso sfruttando una combinazione del malware BlackEnergy (versione 3) e del wiper KillDisk (aka PassKillDisk).

Dal canto suo l’Ucraina, tramite la propria “Cyber Troop” (divisione del Ministero della Difesa), ha portato a compimento numerose operazioni informatiche offensive contro obiettivi governativi russi. L’ultima violazione, ad esempio, è ai danni della Rosatom State Nuclear Energy Corporation. Società che comprende oltre 350 imprese e il complesso di armi nucleari Russe. Ad essa sono stati trafugati documenti.

Anonymous schierandosi a favore dell’Ucraina, in queste ultime ore ha rivendicato l’attacco ai danni dei colossi energetici russi, che segue quello al Cremlino e al Ministero della Difesa, oltre a quello diretto verso il produttore di armi bielorusso Tetraedr e a vari media statali. La strategia è chiara: l’obiettivo è l’isolamento di Mosca e delle sue infrastrutture essenziali. Sotto attacco i siti web del Cremlino, della Duma e del media RT NEWS.

Anonymous non è sola in questa controffensiva. Nelle azioni di contro-informazione l’occidente si è avvalso finora di contrattacchi cyber ad alto profilo, contribuendo ad aumentare maggiormente la cosiddetta “nebbia di guerra”: non è chiaro quanto questo sia frutto di attivismo spontaneo e quanto di coordinamento.

Per l’incremento e la gravità degli attacchi perpetrati, a seguito dell’inasprimento del conflitto, diversi Stati coinvolti direttamente o indirettamente nelle belligeranze, hanno adottato misure atte a fronteggiare attacchi cibernetici alle loro reti e sistemi, elevando le difese cyber, ritenendo ragionevole che nel prossimo futuro possano verificarsi attività di spionaggio o distruttive nei confronti di aziende che operano nel settore finanziario ed energetico.

Il Ministro della Difesa lituano, sceso in campo insieme a Croazia, Polonia, Estonia, Romania e Paesi Bassi, a sostegno dell’Ucraina, ha attivato un Cyber Rapid Response Team (CRRT) fornendo esperti di sicurezza informatica, sia in loco che a distanza, per prevenire le minacce informatiche che potrebbero scaturire dal conflitto. Anche il Regno Unito, tramite il ministro della Difesa, ha dichiarato che gli esperti informatici britannici stanno lavorando con l’Ucraina per proteggersi dalla minaccia cyber russa.

Anche la nostra Agenzia per la Cybersicurezza Nazionale (ACN), tramite il CSIRT, ha segnalato (già al 14 febbraio), “…il significativo rischio cyber derivante da possibili impatti collaterali a carico di infrastrutture ICT interconnesse con il cyberspazio ucraino (enti, organizzazioni ed aziende che intrattengono rapporti con soggetti ucraini con i quali siano in essere interconnessioni telematiche, e.g., connessioni B2B, utenze c/o reti ucraine e viceversa, condivisione di repository o piattaforme collaborative)”, raccomandando di innalzare il livello di attenzione e adottando in via prioritaria le azioni di mitigazione.

Il CSIRT continua a emanare consigli e best practice per la situazione contingente. I bollettini di preparazione si susseguono e così le allerte emesse dalla ACN, con grande attenzione. Spesso non ci rendiamo conto che questo può significare che l’avversario sta “dispiegando le truppe” cioè si sta infiltrando, rilevato o meno, nei nostri sistemi, specie nelle infrastrutture critiche, in attesa di agire!