Secondo quanto accertato dai ricercatori del gruppo di cyber sicurezza di Google, Mandiant, le evidenze raccolte negli ultimi mesi indicherebbero con ragionevole certezza l’esistenza di una collaborazione fra il GRU, il servizio di intelligence militare russo, e gruppi di attivisti filorussi. “Benché alcuni di questi attori stiano quasi sicuramente operando in modo indipendente dallo Stato russo, abbiamo identificato diversi gruppi cosiddetti hacktivisti i cui moderatori sospettiamo siano una copertura o operino in coordinamento con lo Stato russo”.
Ad attirare l’attenzione del team di cyber sicurezza sarebbero stati in particolare i canali Telegram degli hacker filorussi XakNet Team, Infoccentr e CyberArmyofRussia_Reborn che sembrerebbero agire in coordinamento con l’intelligence russa.
La valutazione della Mandiant si basa in parte sul fatto che tali gruppi si sono serviti di strumenti dell’APT28, gruppo di criminali informatici ritenuto affiliato al GRU, per perpetrare attacchi contro l’Ucraina.
Non trascurabile è, inoltre, l’attribuzione di azioni a Sandworm, gruppo presumibilmente attivo sotto la direzione GRU. “Mandiant ha riscontrato l’uso di CADDYWIPER e ARGUEPATCH solo da parte di APT28, anche se notiamo che altri hanno attribuito pubblicamente alcune istallazioni di CADDYWIPER a Sandworm”.
Cyberwar: gli attacchi informatici all’Ucraina erano stati pianificati da tempo
Indice degli argomenti
I legami tra intelligence russa e gruppi hacker
In totale sono quattro i casi in cui i ricercatori di Google hanno individuato un possibile coordinamento fra l’intelligence del Cremlino e i gruppi di hacker filorussi: in tutti gli episodi i cyber aggressori hanno impiegato dei software wiper che hanno consentito di realizzare dei data breach. A 24 ore dagli attacchi è seguita la divulgazione sul canale Telegram dei dati sottratti alle vittime.
Sebbene l’esatta natura della relazione non sia chiara, Mandiant ritiene che questa sia spiegabile solo attraverso due ipotesi: la prima che contempla un controllo diretto di questi gruppi da parte del GRU, tanto che le loro attività sarebbero una copertura per le operazioni delle agenzie russe; una seconda, che vede, invece, un coordinamento diretto fra i moderatori che gestiscono i canali Telegram di XakNet Team, Infoccentr e CyberArmyofRussia_Reborn e il GRU.
L’uso della potenza cibernetica di Mosca
Non sarebbe la prima volta che Mosca utilizza la sua potenza cibernetica come mezzo di supremazia al di fuori dei propri confini. Il caso più eclatante fu quello di Guccifer 2.0 e dell’hackeraggio delle mail del Democratic National Committee in concomitanza con le elezioni statunitensi del 2016. In quell’occasione fu scoperto che con buone probabilità il GRU, attraverso un suo ufficiale, aveva utilizzato Guccifer 2.0 per diffondere le e-mail hackerate di Hillary Clinton e John Podesta, che era a capo della campagna elettorale della candidata democratica.
Nel marzo 2018, nell’ambito dell’indagine che era stata condotta, il Consigliere speciale Robert Muller aveva incriminato l’agente del GRU insieme ad altri 11 ufficiali per reati legati al presunto hackeraggio ai danni del Partito Democratico nel 2016.
Ancora prima, nel report “APT28: a window into Russia’s cyber espionage operations?” pubblicato nel 2014 dalla società di cybersecurity americana Fire Eye in relazione ad episodi significativi, come gli attacchi informatici che avevano accompagnato l’invasione della Georgia nel 2008 o la compromissione del network del Dipartimento della Difesa americano avvenuto sempre nel 2008, era stata supportata la tesi dell’esistenza di collegamenti diretti tra il gruppo hacker APT28 e il Cremlino.
Secondo Fire Eye l’APT28 sarebbe infatti un gruppo impegnato in attività di spionaggio contro obiettivi politici e militari, i cui malware hanno impostazioni in lingua russa e orari di attività compatibili con il fuso orario delle principali città russe come Mosca e San Pietroburgo; le informazioni trafugate da questo gruppo risponderebbero agli interessi del Cremlino, che ne sponsorizzerebbe l’attività.
Conflitto russo-ucraino e guerra ibrida
Per quanto riguarda l’attuale conflitto Kiev-Mosca, l’intervento dell’intelligence russa non è certo una novità. Ne sono solo un esempio gli attacchi DDoS che il 15 e il 16 febbraio 2022 hanno colpito i siti governativi del Ministero della Difesa, di due banche private e delle forze armate ucraine e che secondo quanto ricostruito da fonti governative britanniche, australiane e statunitensi, sarebbero stati realizzati proprio dal GRU.
Lo scorso agosto, inoltre, la società statunitense di sicurezza informativa Trustwave avvertiva che dietro la maggior parte degli attacchi contro le infrastrutture critiche e le reti di dati ucraine ci fossero proprio le agenzie di intelligence russe FSB (Russian Federal Security Service), SVR (Foreign Intelligence Service) e GRU.
Al dispiegamento di forze russe, che ha avviato il conflitto Mosca-Kiev, è corrisposto sin dall’inizio l’ingaggio di un altro conflitto, quello cyber iniziato ben prima del 24 febbraio a riprova che il dominio cibernetico ha assunto una valenza fondamentale che trascende la guerra convenzionale.
L’invasione russa in Ucraina ha creato circostanze senza precedenti per l’attività di minacce cyber: “questa è probabilmente la prima volta in cui una grande potenza informatica ha verosimilmente condotto attacchi destabilizzanti, operazioni di spionaggio e di informazione in concerto con operazioni militari diffuse in una guerra convenzionale. Non abbiamo mai osservato in precedenza un tale volume di attacchi informatici, varietà di attori delle minacce e coordinamento degli sforzi negli stessi diversi mesi”.
Cosa dimostra la natura ibrida del conflitto russo-ucraino
La nuova tipologia di conflitto si concretizza attraverso l’utilizzo di tecniche offensive o difensive che compromettendo i sistemi logici e fisici di una nazione, la minacciano dall’interno, agendo sui punti nevralgici del sistema Paese e causando l’interruzione dell’operatività intersettoriale.
Sono già diversi anni che Mosca dedica particolare attenzione al cyberspazio come nuovo dominio in cui delineare la geopolitica e stabilire gli equilibri di potere, attraverso una strategia connotata da due elementi fondamentali: la natura pubblica degli attacchi, in parte diretta a mostrare una capacità offensiva senza limiti e il costante tentativo di danneggiare infrastrutture fisiche, o causare gravi conseguenze offline.
La natura ibrida dello scontro russo- ucraino dimostra una sinergia sempre più evidente tra azione sul campo e spazio cibernetico. Al contempo il numero degli obiettivi appare sempre più ampio: non solo infrastrutture critiche e militari, ma anche istituzioni politiche di Paesi alleati e relativi canali di informazione.
Il ruolo dell’informazione nei moderni conflitti
L’information confrontation (informatsionnoe protivoborstvo o IPb) è il termine usato nella strategia russa per descrivere il ruolo dell’informazione in conflitto. È quindi un elemento della strategia multi-dominio russa che si differenzia dall’approccio occidentale in almeno tre caratteristiche: l’IPb abbraccia sia la dimensione tecnologica dell’informazione sia quella della comunicazione e si estende al di là di esse per includere la dimensione cognitiva e delle emozioni umane. In secondo luogo, l’IPb lo è concepito come una contromisura difensiva e offensiva nelle operazioni informativo-tecniche e informativo-psicologiche.
Infine, l’IPb è concepito come una forma di deterrenza nei confronti degli attacchi asimmetrica o indiretti da parte di altre potenze. L’information confrontation fornisce indicazioni sulla percezione russa della minaccia e sulla natura del conflitto moderno.
