Nel momento in cui la Russia ha invaso l’Ucraina, il 24 febbraio 2022, nessuno sapeva quale ruolo avrebbero potuto giocare i cyber attacchi nel quadro di un’invasione su vasta scala. La Russia aveva condotto cyber attacchi contro l’Ucraina fin dall’occupazione della Crimea del 2014, quindi sembrava inevitabile che questi stessi strumenti sarebbero stati impiegati anche in concomitanza di questo nuovo evento, in particolare dopo gli attacchi sferrati contro la rete elettrica ucraina e la diffusione del worm NotPetya.
Secondo il Servizio delle Comunicazioni Speciali e della Protezione dell’Informazione dello Stato Ucraino (SSSCIP), il Paese è stato attaccato 1.123 volte dall’inizio della guerra; il 36,9% degli obiettivi riguarda enti associati al governo o alla difesa, mentre il 23,7% degli attacchi ha implicato l’installazione di codice malevolo e il 27,2% la raccolta di informazioni.
La componente “cyber” della guerra era iniziata quasi 24 ore prima dell’invasione terrestre. Suddividiamo gli attacchi in alcune categorie e analizziamone quindi l’intensità, l’efficacia e gli obiettivi. Essi ricadono in quattro tipologie principali: distruzione, disinformazione, hacktivismo e spionaggio.
Cyberwar: gli attacchi informatici all’Ucraina erano stati pianificati da tempo
Indice degli argomenti
Attacchi distruttivi
La prima e più appariscente categoria è quella del malware distruttivo.
A partire da gennaio 2022, secondo il SSSCIP, attaccanti russi e pro-russi avevano iniziato a diffondere malware progettato per cancellare i contenuti del sistema colpito o impedirne il funzionamento (nello specifico si trattava di wiper e di codice specializzato nella modifica del settore di boot dei computer). Obiettivi principali sono stati service provider, infrastrutture critiche ed enti pubblici in tutta l’Ucraina. Pochi giorni prima di questi attacchi, il governo gialloblu aveva però spostato molte delle proprie funzioni ufficiali online su un’infrastruttura cloud, evitando in questo modo il blocco delle operazioni e consentendo al Paese di mantenere attivi i servizi e comunicare con il mondo.
Un altro attacco distruttivo è stato quello che ha colpito i modem per le comunicazioni con la rete satellitare Viasat, utilizzata in Europa centrale e orientale. Questo attacco ha provocato danni collaterali ai membri della NATO impattando sulle operazioni di oltre 5.000 turbine eoliche in Germania. Grazie all’assistenza di aziende come Microsoft ed ESET, oltre che delle agenzie di intelligence statunitensi, il successo ottenuto dall’Ucraina nel bloccare questi attacchi distruttivi è stato davvero impressionante.
Uno dei più sofisticati malware destinati a colpire infrastrutture critiche tra quelli rilevati e neutralizzati dall’Ucraina è stato Industroyer2, una combinazione di wiper tradizionali capaci di cancellare dati su sistemi Windows, Linux, Solaris e MaIware per ICS (Industrial Control Systems) progettato per inficiare la tecnologia operazionale (OT) usata per controllare e monitorare la rete elettrica.
Dalla guerra, AcidRain: il malware wiper contro l’Internet satellitare europeo
Disinformazione e guerra dell’informazione
La Russia non è certo estranea all’impiego della disinformazione come arma per il conseguimento dei propri scopi politici. La sua missione originale sembra fosse basata sull’ipotesi di una rapida vittoria con conseguente insediamento di un governo fantoccio. Sembra che i russi abbiano tentato numerose operazioni per influenzare l’opinione pubblica attraverso campagne via SMS e sui social media tradizionali, rivelatesi inefficaci in un’Ucraina sempre più patriottica.
La Russia ha bandito i media stranieri e quelli indipendenti, ha bloccato l’accesso ai social media e ha criminalizzato la definizione dell’invasione come una guerra.
C’è inoltre un terzo obiettivo della disinformazione russa che è emerso col prolungarsi del conflitto: il resto del mondo. La Russia ha cercato di influenzare Paesi non allineati come India, Egitto e Indonesia per evitare che questi potessero votare contro nel consesso delle Nazioni Unite e, anzi, ottenerne magari l’appoggio. Le agenzie di intelligence statunitensi sembrano aver svolto un certo ruolo nello sfatare molte delle rivendicazioni utilizzate per giustificare la guerra, neutralizzando spesso in anticipo i progetti russi di diffusione della disinformazione.
Hacktivismo
Avrebbero i famosi e abilissimi hacker russi e ucraini risposto alla chiamata alle cyberarmi scatenando ondate di attacchi a supporto della propria parte? All’inizio era sembrato che ciò fosse effettivamente destinato ad accadere.
Per sei settimane circa successivamente all’invasione iniziale abbiamo assistito a un netto declino degli attacchi ransomware. Hacktivisti di entrambi i fronti si erano attivati nei primi giorni della guerra: deturpamento di siti web, attacchi DDoS e altri attacchi non sofisticati avevano colpito un po’ tutto quello che era vulnerabile e chiaramente identificabile come appartenente a uno dei due contendenti.
Spionaggio
A differenza degli attacchi distruttivi, la natura nascosta degli attacchi spionistici e la difficoltà della relativa attribuzione li rende assai più utili contro qualsiasi avversario, non solo l’Ucraina. Non è una novità che la Russia colpisca Stati Uniti, Unione Europea e Stati membri della NATO con malware, campagne di phishing e sottrazioni di dati.
Il Threat Analysis Group (TAG) di Google aveva pubblicato a marzo 2022 un report che descriveva le campagne di phishing russe e bielorusse dirette contro think tank e organizzazioni non governative (NGO) statunitensi, contro le forze armate di un Paese balcanico e contro un contractor della difesa ucraina.
Anche Proofpoint aveva pubblicato una ricerca che dimostrava come i funzionari UE impegnati nell’assistere i rifugiati fossero nel mirino di campagne di phishing originate da un account di posta ucraino che si riteneva essere stato compromesso dall’intelligence russa.
In conclusione
Della guerra ucraina si parlerà per lungo tempo, anche perché ci sta insegnando parecchio circa il ruolo che la cyber sicurezza e i cyber attacchi possono rivestire in tempo di guerra.
Le prime fasi del conflitto sembrano essersi concentrate su destabilizzazione, distruzione e disturbo; elementi la cui importanza pare essere diminuita quando la determinazione della popolazione ucraina ha prolungato il corso della guerra creando la necessità di spostare il focus sullo spionaggio e sulla disinformazione.
Resta ancora da vedere come evolverà la situazione con l’inverno alle porte dal momento che la Russia controlla buona parte delle forniture energetiche dell’Europa. Entrerà in gioco la disinformazione per fare pressione sui leader europei affinché ammorbidiscano le sanzioni? Ci saranno gruppi criminali che attaccheranno i fornitori di energia europei, come già abbiamo visto fare su piccola scala?
La guerra non è finita e il ruolo dei cyber attacchi potrebbe evolvere in direzioni del tutto nuove e inaspettate. Ciò che è poco probabile è che essi possano essere un fattore determinante. In questo conflitto almeno, i cyber attacchi sono solo uno degli strumenti utilizzati insieme ad altre armi – e come con qualsiasi altro aspetto di una guerra, una difesa solida è spesso la soluzione migliore.
Contributo editoriale sviluppato in collaborazione con Sophos
