L’entità le tecniche e gli obiettivi delle attività di cyberwar della Russia nel corso di questo conflitto saranno oggetto di analisi per molto tempo dopo che il conflitto sarà, in qualche modo, terminato. Ma già adesso cominciano ad essere disponibili le prime informazioni e analisi, quantomeno su quanto in corso in territorio ucraino.
Il supporto da parte di Microsoft nel contrastare questi attacchi era già stato reso pubblico, come anche alcuni attacchi particolarmente significativi avvenuti in coincidenza con l’inizio dell’offensiva russa, ad esempio l’attacco ai satelliti ViaSat. Il report pubblicato ora da Microsoft confermerebbe questa impostazione, ovvero di corrispondenza fra le azioni di guerra cinetica con azioni mirate di cyberwar nel territorio che sarà colpito.
Il report sottolinea che non è chiaro se si tratti effettivamente di azioni coordinate, o semplicemente di priorità e tempi comuni fra azioni indipendenti, ma la coincidenza temporale e geografica sarebbe evidente. Questo offre una prospettiva interessante sull’utilizzo delle azioni di cyberwar nel conflitto da parte della Russia.
L’Italia rischia ritorsioni dalla Russia: si prepari a una cyberwar
Indice degli argomenti
Tipologia degli attacchi
Si tratta di attacchi che spesso, da quanto si legge dal rapporto, si sviluppano nelle normali modalità, partendo da un attacco, ad esempio di phishing o da vulnerabilità dei server di posta, per introdurre del malware che poi permette di mantenersi all’interno della rete attaccata, raccogliendo informazioni, causando disservizi o, spesso, diffondendo disinformazione. Come ci si poteva aspettare, molti attacchi hanno l’obiettivo di causare direttamente danno ai sistemi informativi governativi ucraini.
Eppure, leggendo i numeri, il successo effettivo di questi attacchi sembrerebbe piuttosto limitato. In sei settimane di conflitto, se si toglie la prima settimana in cui sono contati 22 attacchi distruttivi di ampio impatto, nelle successive il numero di attacchi con ampio impatto varia da zero nella seconda, a poche unità, con un massimo di sei nella quarta, per un totale di 37 incidenti.
Considerando che si tratta di uno scenario di guerra, non sembrerebbe un numero impressionante.
Pianificazione con largo anticipo
Secondo Microsoft, questi attacchi sarebbero stati preparati fino anche ad un anno prima, a conferma che il conflitto, anche su questo, era stato pianificato con ampio anticipo. Più difficile valutare, naturalmente, quanto sia ampia la compromissione dei sistemi ucraini volta alla raccolta di informazioni, più che ad azioni di danneggiamento diretto.
Importante, dalla prospettiva italiana ed europea, che questi attacchi siano stati preparati nel 2021 con campagne di phishing volte a ottenere l’accesso ai sistemi che in seguito sarebbero stati danneggiati o oggetto di raccolta di informazioni. In effetti, Microsoft suggerisce esplicitamente che avere accesso a sistemi di paesi della NATO permetterebbe alla Russia di tenersi aggiornata su cosa aspettarsi dai paesi che supportano l’Ucraina.
Disinformazione
Le azioni non direttamente e ampiamente distruttive sono state naturalmente molto più numerose, e qui si riconoscerebbe lo stretto rapporto con le azioni di guerra cinetica. Obiettivo degli attacchi cyber sarebbe stato, oltre alla raccolta di informazioni, principalmente creare confusione e disinformazione, e minare la fiducia nelle istituzioni. Anche questo ultimo aspetto può essere di particolare interesse per chi dovesse essere a sua volta, nel prossimo futuro, oggetto di attacchi da parte della Russia.
I commenti a questo rapporto sottolineano come da una parte la Russia starebbe utilizzando le proprie migliori competenze, ma dall’altra l’Ucraina si starebbe difendendo meglio del previsto. Questo non vuole dire necessariamente che la Russia rappresenti una minaccia minore di quanto atteso: dopotutto, l’Ucraina è in una situazione di quasi conflitto da tempo, e le sue difese si sono affinate certamente più di quelle di altri paesi che finora sono stati oggetto di aggressione molto più moderata.
La lezione da imparare
Il rapporto di Microsoft conclude con alcune valutazioni su possibili scenari futuri, a partire da quello di espansione del conflitto al di fuori dell’Ucraina, e con alcune raccomandazioni di azioni preventive, basate sulle tattiche, tecniche e procedure adottate finora dalla Russia.
Questo scenario di espansione ad occidente degli attacchi cyber è una delle possibili linee di sviluppo del conflitto, ed è quella alla quale è opportuno che i paesi sostenitori dell’Ucraina siano preparati.
La lezione più importante da trarre, però, è che le azioni che dovessero essere scatenate, anche improvvisamente, saranno probabilmente già state preparate con un certo anticipo, e che quindi non è il caso di aspettare l’aumento ulteriore delle tensioni con la Russia per dedicare la necessaria attenzione a possibili segnali di compromissione dei sistemi delle aziende organizzazioni italiane, e in particolare delle pubbliche amministrazioni.
