È di questi giorni la notizia, comunicata dal procuratore generale Merrick B. Garland, secondo cui l’F.B.I. nelle scorse settimane avrebbe “disabilitato” una botnet controllata dal gruppo Hacker Sandworm, collegato all’agenzia militare russa G.R.U. e particolarmente attivo nell’ambito del conflitto in corso. L’azione, volta a prevenirne un utilizzo in azioni di cyberwar, sarebbe avvenuta anche accedendo ai sistemi infetti all’insaputa degli utenti o delle aziende proprietarie, anche al di fuori degli Stati Uniti, e anche con l’aiuto di governi stranieri.
L’azione in sé non è nuova: già nel 2011, l’F.B.I. aveva dato notizia di un’azione simile, nell’ottica di bloccare una botnet particolarmente attiva, al di fuori di un contesto di conflitto come quello attuale. Allora, l’attenzione era stata anche sulla legittimità di questa azione, perplessità che nello scenario attuale è certamente meno presente. Possiamo anche immaginare che altre azioni analoghe siano state svolte nel frattempo, quando era meno sentita la necessità di farne pubblicità.
L’Italia rischia ritorsioni dalla Russia: si prepari a una cyberwar
Indice degli argomenti
Cos’è una botnet
Per capire cosa sia stato effettivamente fatto, è utile prima di tutto avere chiaro cosa sia, in generale, una botnet. Da molto tempo, la maggior parte del malware in circolazione non è semplicemente un “virus” con una singola funzione specifica, ad esempio cifrare i dati per chiedere un riscatto, cosa che caratterizza i ransomware.
Sono invece degli strumenti multifunzione, delle specie di coltellini svizzeri per la gestione dei sistemi compromessi: possono comprendere delle funzionalità di ransomware, che sono quelle più evidenti, ma possono permettere di scaricare dati riservati, o anche di unire il sistema compromesso a una rete comprendente spesso decine o centinaia di migliaia di pc, che prendono comandi da una rete di comando e controllo. Questi sistemi compromessi e la rete che li controlla sono appunto una botnet. Le botnet sono poi utilizzate per diverse attività illecite. Ad esempio, vengono affittate sul Dark Web per effettuare attacchi ad altri sistemi, coordinando l’azione di tutti i sistemi attraverso la rete di controllo.
In pratica, chi ha del malware sul proprio pc deve immaginare che venga acceduto e utilizzato nei modi più vari da chiunque gestisca la rete di controllo della botnet, e da coloro a cui questi decida di cederlo.
Catturare una botnet
La demolizione di una botnet passa quindi attraverso la “cattura” della rete di controllo da parte, in questo caso, dell’F.B.I. L’operazione non è semplice, perché nel corso di tanti anni, sono state sviluppate tecniche per rendere più elusiva la rete di controllo e mantenerne il controllo da parte del gruppo hacker che l’ha creata.
Nel momento in cui l’F.B.I. assume il controllo della rete, tutto quello che deve fare è dare ai malware installati sui diversi sistemi l’ordine di “autodistruggersi”, e poi cancellare anche la rete di controllo, eliminando di fatto la botnet. Naturalmente, di principio, una volta assunto il controllo della botnet potrebbe usarla a sua volta, ad esempio per accedere ai sistemi compromessi.
Nel 2011 questo, come anche la legittimità dell’intervento, in particolare sui sistemi compromessi al di fuori degli Stati Uniti, aveva suscitato qualche perplessità, dato che l’F.B.I. aveva allo stesso tempo raccolto gli indirizzi IP dei sistemi infetti, identificando le organizzazioni colpite. Ciò permetteva di avvisare le organizzazioni del problema (rimuovere il malware non rimuove la vulnerabilità che ha permesso l’infezione) ma di principio dava anche all’FBI un accesso alle relative reti.
Un memo dell’FBI dichiara però che in Nessun momento l’FBI o ISC hanno esercitato un controllo sui computer infetti o ottenuto dati dai computer infetti, secondo quanto pubblicato da Wired nel 2011.
Contrattacco alla Russia
Tornando agli eventi di questi giorni, l’intenzione dichiarata è di disabilitare una botnet sostanzialmente sotto il controllo di un’agenzia militare russa, che avrebbe potuto utilizzarla per azioni di cyberwar non meglio specificate. Questo episodio mette in evidenza un altro aspetto dello scontro in atto, per ora indiretto, fra Russia e paesi sostenitori dell’Ucraina.
La Russia, dice Tom Burt di Microsoft secondo l’articolo del New York Times, è ingaggiata in una cyberwar “intensa ma mirata”. Una delle azioni più eclatanti in tal senso è stato l’attacco ai sistemi di comunicazione satellitare di Viasat datato 24 febbraio 2022, operazione che ha comportato una parziale interruzione della rete con conseguente disconnessione di migliaia di utenti situati in Ucraina ma anche in altre aree d’Europa.
Attacchi come quello a Viasat sono preoccupanti a prescindere dall’impatto avuto dall’attacco in sé. In primo luogo, perché mettono in evidenza vulnerabilità finora non riconosciute. Gli attacchi connessi al conflitto ucraino sembrano poi aumentare di intensità, probabilmente anche in conseguenza della maggiore ed inattesa durata delle operazioni militari.
È di questi giorni la notizia di un attacco “particolarmente sofisticato” tentato nei confronti della rete elettrica ucraina, sventato dall’Ucraina stessa. Operazioni che per la maggior parte sembrano provenire da gruppi direttamente riconducibili alla G.R.U., il ramo militare dell’intelligence russa.
Attacco cyber ai satelliti ViaSat: il più grave della guerra d’Ucraina
Strategia di attacco
Questi attacchi non sono improvvisati, ma hanno invece richiesto una lunga preparazione, avviata in molti casi ben prima dell’inizio del conflitto, con attività di analisi, identificazione di vulnerabilità, predisposizione degli strumenti e delle condizioni per poterli utilizzare efficacemente. Se alcuni sono stati attuati nelle prime fasi del conflitto, nel tentativo di indebolire la resistenza ucraina ed arrivare ad una risoluzione rapida del conflitto armato, altri vengono messi in campo adesso, perché funzionali allo scenario attuale.
Bisogna considerare che ogni volta che viene praticato un attacco di questo tipo, la Russia si “brucia” una carta che difficilmente potrà giocare di nuovo allo stesso modo. Ad esempio, l’attacco a Viasat da una parte ha messo in evidenza una vulnerabilità che presumibilmente verrà corretta rapidamente, ma soprattutto ha portato l’attenzione ad un settore strategico, quello dell’industria spaziale, in forte crescita ma ad oggi ancora relativamente poco regolamentato in termini di requisiti di sicurezza.
Dall’Ucraina al mondo
È legittimo ipotizzare che la Russia abbia considerato anche scenari di maggiore coinvolgimento nel conflitto dei paesi sostenitori dell’Ucraina. Il dubbio a questo punto è quanto la Russia sia intenzionata a portare questi attacchi al di fuori del territorio o di sistemi a supporto dell’operatività ucraini (Viasat è statunitense, ma i suoi satelliti erano utilizzati anche dalle forze armate ucraine), e in tal caso, di che tipo di azioni si potrebbe trattare.
Azioni che sono efficaci nel contesto ristretto dell’Ucraina potrebbero essere relativamente poco efficaci in un teatro più ampio comprendente i paesi che la sostengono. Le azioni, quindi, più che a colpire concretamente la capacità di questi paesi di fornire aiuti, potrebbero essere orientate a minare la volontà di continuare a sostenere l’Ucraina, in una logica di ritorsione.
La possibilità che si creino le condizioni per questo tipo di escalation è legata all’evoluzione del confronto fra Russia e Ucraina e fra Russia e paesi sostenitori.
Problemi strutturali
Molte infrastrutture critiche, specialmente quelle di minori dimensioni, come riporta sempre il New York Times citando come esempio un’azienda idrica dell’Iowa, non sarebbero preparate ad affrontare questo tipo di minaccia. E non possiamo dire che in Europa e in Italia la situazione sia molto migliore.
A fronte dei notevoli passi avanti intrapresi negli ultimi anni a livello istituzionale, dalla Direttiva NIS sulle infrastrutture critiche alla creazione del Perimetro di Sicurezza Nazionale Cibernetica (PSNC) da parte del governo italiano, esistono ancora delle lacune strutturali che minano la capacità dell’UE di difendere adeguatamente i propri sistemi e infrastrutture ICT. Tra queste la frammentazione degli interventi adottati dagli Stati Membri e una mancanza di investimenti.
Si pensi al contesto italiano, dove se i 623 milioni previsti dal PNRR per la cybersecurity rappresentano uno sforzo economico senza precedenti, allocando la maggior parte di questi al settore pubblico si rischia di penalizzare in particolare gli operatori del settore privato più piccoli e con meno risorse, ma comunque esposti nell’ambito delle infrastrutture critiche del paese.
Una logica risk-based
In uno scenario dove le minacce mutano sempre più rapidamente e dove le risorse a disposizione delle organizzazioni per proteggersi sono spesso inadeguate, diventa fondamentale adottare interventi di natura preventiva in una logica risk-based. Tale approccio, alla base di molti dei provvedimenti emanati a livello europeo e nazionale, è stato più volte raccomandato anche dallo CSIRT, l’ultima delle quali in relazione ai rischi derivanti dall’utilizzo di tecnologie informatiche fornite da aziende legate alla Federazione Russa.
L’indicazione data in tal senso alle organizzazioni italiane è appunto quella di effettuare con urgenza un’analisi del rischio e di considerare l’attuazione di opportune strategie di diversificazione.
Indicazioni poi recepite nel Decreto-legge n. 21 del 21 Marzo 2022 che ha imposto alle pubbliche amministrazioni italiane la sostituzione o diversificazione di tali prodotti. Se il Decreto sancisce obblighi specifici per le pubbliche amministrazioni, per le imprese del settore privato può essere letto come un ulteriore invito a intervenire in maniera mirata concentrandosi sui rischi ritenuti prioritari rispetto alla propria realtà e all’evoluzione dello scenario.
