Mentre nelle città dell’Ucraina è in corso la guerra fatta di bombe e missili, e Putin continua la “missione operativa” un po’ su tutto il territorio sud-est del Paese, la guerra cyber dai toni accesi già prima del 24 febbraio, continua la sua escalation e coinvolge sempre più “soldati” ormai.
Si stanno delineando due fronti con vari attori.
Indice degli argomenti
Chi combatte la guerra cyber in Ucraina
Una trincea sempre più trafficata quella di Telegram e Twitter in questa guerra di inizio 2022, vede coinvolti attori di diverso tipo: dagli attivisti agli specialisti IT, dai governi alle cyber gang criminali.
E’ interessante notare come sia eterogenea la partecipazione a questa guerra sempre più ibrida, “soldati” cyber sovvenzionati dallo stato di appartenenza (e ce ne sono sia in Russia che in Ucraina), gruppi di attivisti già noti e gruppi nuovi che sostengono la causa pro o contro Russia. A questo proposito, il gruppo di ricerca sulla sicurezza informatica CyberKnow, ha sviluppato (e l’aggiornamento è continuo), un elenco tabellato di quelli che sono a oggi i gruppi in campo bellico. Ne ha evidenziati oltre 50, di questi quelli che supportano la Russia, in quanto dichiarati, sono 14, da questo primo dato abbiamo già un fronte di guerra chiaro e di come gran parte della comunità si sia schierata favorevolmente per la mitigazione di questa invasione su larga scala.
Osservare i dati in maniera aggregata, anche in questo caso ci aiuta a capire diversi meccanismi di azione su una guerra cyber, in effetti lo stesso processo secondo il quale ci sia del dissenso anche nell’attivismo, all’interno di uno stesso Paese, emerge subito proprio con il caso dei Belarusian Cyber Partisans, che di fatto fanno ricondurre le proprie origini alla Bielorussia, alleata fraterna della Russia, e non di meno nella guerra in atto, ma che invece offrono il loro supporto all’Ucraina.
Dove si radunano i soldati cyber
Mentre i Facebook (di Meta) viene bandito e reso inaccessibile su tutto il territorio russo, proprio per decisione del governo che lamenta la censura dei suoi media di parte come RT news e Sputnik, azione poi appresa e implementata anche in Europa e di conseguenza anche in Italia, i gruppi online sfidano il nemico con le battaglie maggiormente su Telegram e Twitter.
Il governo ucraino stesso ha implementato un canale Telegram, IT Army of Ukraine, con lo scopo di diffondere obiettivi da attaccare con guerra cyber, tutti enti e aziende strategiche per la Russia. Sempre più utenti si stanno unendo a questi canali, come nel caso maggiormente virtuoso di 200rf che espone materiale (foto/video) su soldati russi catturati o uccisi durante le fasi dell’invasione, sul quale oggi si contano oltre 650 mila utenti, o il caso del già citato IT Army of Ukraine che ne contiene oltre 200 mila.
Quali operazioni intraprendono i gruppi in guerra
Spesso il suggerimento iniziale arriva direttamente dal governo per il quale si offre supporto, come abbiamo visto per il caso del IT Army of Ukraine, altre volte il gruppo gode di una certa organizzazione interna e ci si muove in base alle politiche personali.
Emblematici in questo senso i casi dei due data leaks proprio delle ultime ore. Ricordiamo infatti il caso dell’esposizione di informazioni riservate del gruppo ransomware Conti, operato da un ricercatore membro del gruppo, ucraino, il quale ha manifestato in questa maniera il proprio dissenso con la politica pro Russia adottata dal gruppo di riferimento. E Trickbot Leak, che vede ancora conversazioni e materiale interno riservato, su questa organizzazione criminale russa (Trickbot appunto) che ha messo le basi per vari importanti gruppi di ransomware che oggi conosciamo come Wizard Spiders, Maze, Conti, Diavol e Ruyk.
Tra i più prolifici, dall’inizio dell’invasione a oggi, rimane Against The West, gruppo europeo che ha da subito espresso il proprio supporto all’Ucraina, specializzato in databreach, rivendica numerosi attacchi ogni giorno a strutture e aziende di un certo interesse economico e reputazionale russo e bielorusso, tra gli ultimi la pubblicazione di dati esfiltrati da Gazprom (società energetica con sede a S. Pietroburgo) e Magnit.ru.
Come abbiamo visto dunque, è una guerra molto ibrida, sia per la differenza sostanziale tra quella guerra che si sta combattendo nelle strade delle città invase e quella cibernetica che mira invece a supportare la prima con azioni di attacco su infrastrutture strategiche, ma anche per l’eterogeneità rappresentata nella seconda, molti gruppi e molte tipologie di gruppi che concorrono ad auto arruolarsi sul campo di battaglia.
Inoltre non bisogna dimenticare di valutare gli attori cyber di questa guerra, esattamente per quello che sono: dei “soldati/partigiani” cyber. Quindi per definizione senza confini geografici ben definiti e per quanto schierati ufficialmente, difficilmente il risultato di questa presa di posizione o di quest’altra, non ci dà la traccia sulla provenienza dell’intero gruppo. Quasi sempre, anche nel caso delle gang di ransomware (vedi caso Conti), si tratta di organizzazioni globalizzate, nelle quali possiamo trovare una concentrazione di attori cyber di una certa regione geografica, ma è accompagnata da una compresenza di attori esteri che possono avere le più diverse origini.
