L’attuale conflitto russo-ucraino ha portato all’attenzione dell’opinione pubblica il fenomeno della c.d. cyberwar o guerra cibernetica, il cui scopo principale è quello di minare, mediante il ricorso ad azioni malevole compiute nell’ambito del cyberspazio, i sistemi necessari per il corretto funzionamento di una nazione, generando eventi dannosi quali il non funzionamento di reti e sistemi informatici, l’intercettazione di dati, la compromissione delle infrastrutture destinate alla produzione e alla distribuzione di gas, luce e acqua o delle reti finanziarie e commerciali, ovvero la paralisi dei sistemi dei trasporti.
L’Italia rischia ritorsioni dalla Russia: si prepari a una cyberwar
Indice degli argomenti
Cosa si intende per cyberwar
In particolare, con il termine cyberwar si allude a quella guerra combattuta nell’ambito dello spazio cibernetico, inteso, a sua volta, come il complesso delle infrastrutture informatiche interconnesse e inclusivo delle componenti hardware, software, delle informazioni, degli utenti, nonché delle relazioni logiche tra essi esistenti.
Questa nuova tipologia di guerra implica l’utilizzo di tecniche offensive o difensive di intrusione e compromissione dei sistemi logici e fisici di un paese, attraverso l’impiego di computer e network, come Internet.
Attuando, infatti, l’intrusione in tali sistemi e il compimento di operazioni quali, a titolo puramente esemplificativo, il danneggiamento, l’alterazione, la forzata cessazione di disponibilità e la distruzione degli stessi o delle informazioni e dei dati personali che essi contengono, è possibile minare non solo gli ambienti militari di un paese nemico ma anche l’ambito civile, con conseguenze devastanti per l’economia e l’organizzazione.
Tipicamente, la guerra cibernetica si concretizza in azioni di:
- vandalismo web, ovvero in attacchi finalizzati ad intaccare le pagine web o a rendere temporaneamente non usufruibili i servizi;
- raccolta illegittima e non autorizzata, nonché alterazione di informazioni riservate e di dati personali;
- attacco ad infrastrutture essenziali relative, ad esempio, ai servizi energetici, idrici, di combustibili, di comunicazioni, nonché a servizi commerciali o dei trasporti;
- intralcio alle apparecchiature impiegate nell’ambito di attività militari;
- falsa propaganda e diffusione di informazioni false, di regola messa in atto attraverso la rete Internet, per manipolare ed ingannare l’opinione pubblica o creare confusione.
Ciò che rende particolarmente insidiosa la guerra cibernetica, quindi, è la sua evidente attitudine a superare i limiti spaziali e temporali, consentendo la realizzazione costante di attacchi, ovunque localizzati, imprevedibili e immediati; tali forme di attacco possono, eventualmente, anche aggiungersi alle tradizionali tattiche e strategie militari, generando una sorta di “conflitto ibrido”, combattuto tanto nello spazio fisico quanto nel cyberspazio.
La rilevanza delle tecniche di cyberwarfare, nell’ambito delle attività belliche contemporanee, nonché l’impatto delle stesse nei confronti degli obiettivi civili è tale per cui, nel 2017, il Centro di Eccellenza della Nato per la Difesa Collaborativa del Cyberspazio ha pubblicato lo studio sull’applicabilità del diritto umanitario internazionale riguardo alla guerra cibernetica. Scopo dello studio è quello di determinare le implicazioni umanitarie e i limiti di utilizzo legittimo delle tecniche anzidette. Tale documento, c.d. Manuale di Tallinn, ha rappresentato il primo passo verso una regolamentazione internazionale del fenomeno in oggetto.
Il conflitto in Ucraina segna l’ingresso dei privati nella cyberwar: ruoli e scenari
Impatto mediatico della guerra cibernetica
Nonostante la crisi russo-ucraina non rappresenti il primo e unico conflitto implicante azioni offensive o difensive cibernetiche, attuate congiuntamente alle modalità tipiche di combattere una guerra nel contesto delle tradizionali “arene di battaglia” (terra, aria, acqua), l’attuale cyberwar tra Russia e Ucraina sta attirando l’interesse mediatico mondiale in modo decisamente più incisivo rispetto al passato.
Già tra il 2007 e il 2008, infatti, la stessa Mosca aveva sferrato una serie di attacchi cibernetici contro Estonia e Georgia, entrambe uscite dal “blocco sovietico” nel 1991, in virtù della dissoluzione dell’Unione Sovietica. In particolare, la Russia ricorse ad un attacco Distributed Denial of Service (DDoS) contro l’Estonia, generando il collasso del sistema bancario e mediatico, oltre a rilevanti danni per servizi governativi e società private.
Contro la Repubblica della Georgia, invece, l’attacco cyber è stato concomitante a quello armato; in parallelo ai bombardamenti su Tbilisi, capitale della Georgia, infatti, il cyber crime russo prese il controllo e compromise una serie di siti governativi e commerciali georgiani.
L’attenzione riservata dai media agli attuali attacchi è presumibilmente connessa alla generale ed accresciuta consapevolezza nell’opinione pubblica della gravità dei rischi cyber a cui l’universo informatico è costantemente soggetto. Ormai, infatti, l’importanza della realtà digitale non è più un concetto esclusivamente proprio delle dinamiche aziendali e del business ma anche fa parte delle logiche dei singoli individui che sono sempre più inseriti nel contesto digitale, in particolar modo in considerazione dell’ampia diffusione dei social network, come Facebook, Instagram, Linkedin e dell’egemonia raggiunta nel contesto del mercato globale dai big dell’e-commerce, quali Amazon e eBay.
Parallelamente, l’emergenza sanitaria causata dalla Covid-19 ha rafforzato ulteriormente la sensibilità collettiva nei confronti dei pericoli causati dagli attacchi informatici; il registrato aumento, negli ultimi tre anni, dei cyber attack ha infatti inevitabilmente portato sotto la lente d’ingrandimento mondiale il fenomeno del cyber crime.
Secondo il Rapporto Clusit 2022, nel 2021 gli attacchi informatici nel mondo sono aumentati del 10% rispetto all’anno precedente e, al contempo, si sono aggravati anche in termini dii danno. In particolare, il Clusit ha evidenziato come, sempre nel 2021, il 79% degli attacchi rilevati ha avuto un impatto “elevato”, contro il 50% del precedente anno.
Altro elemento che sta agendo da cassa di risonanza per gli eventi attuali è certamente costituito dalla “dichiarazione pubblica di guerra cibernetica” fatta da Anonymous nei confronti della Russia. Come meglio vedremo di seguito, infatti, il collettivo di hacker attivisti ha lanciato una serie di attacchi alla Russia e ha sollecitato apertamente la popolazione russa ad insorgere contro il Presidente Vladimir Putin.
Anonymous, il ruolo degli attacchi cyber occidentali nella guerra russo-ucraina
Le tappe dei cyber attacchi russi contro l’Ucraina
Nell’ambito dell’attuale conflitto tra Russia e Ucraina, il primo attacco cyber, sferrato al sistema ucraino, sembra risalire al 13 gennaio 2022, quando un malware distruttivo, c.d. WhisperGate, è stato fatto penetrare dai russi nei sistemi di diverse organizzazioni governative, no profit e dello spazio dell’information technology ucraini. WhisperGate è stato progettato per “comportarsi” come un ransomware ma risulta privo del meccanismo di recupero dati sotto riscatto, crittografando e rendendo indisponibili le informazioni crittografate.
È evidente, quindi, che gli attacchi digitali verso l’Ucraina si collochino ben prima dell’inizio del conflitto armato, avviatosi invece a partire da febbraio 2022.
Inoltre, nella notte tra il 14 ed il 15 gennaio, durante il Capodanno Ortodosso, si è verificato il defacing[1] di una serie di siti governativi ucraini, ivi incluso quello il sito principale per la gestione delle richieste alla pubblica amministrazione (Diia); la maggior parte di tali siti è stata ripristinata nel corso delle ore seguenti all’offensiva. Nei giorni successivi immediatamente successivi, si sono poi susseguiti una serie di attacchi DDoS che hanno reso irraggiungibili molteplici siti dell’Esercito, del Governo e delle banche del territorio ucraino ed è stata, altresì, lanciata una campagna SMS che informava i cittadini ucraini di falsi malfunzionamenti sulla rete bancomat.
Il 23 febbraio, un altro attacco DDoS ha reso irraggiungibili, solo per alcune ore ma con effetti che si sono propagati anche nei giorni successivi, i siti del Ministero degli Affari Interni, degli Affari Esteri e della Difesa e diversi istituti finanziari. Nella stessa data, diverse organizzazioni ucraine, appartenenti al settore della difesa, della finanzia e dell’information technology, sono state colpite da un attacco veicolato tramite il malware, HermeticWiper, progettato per corrompere i dati su disco e sulla rete. L’analisi tecnica condotta sul software malevolo ha mostrato che il meccanismo di attacco era stato elaborato almeno sei settimane prima dell’attacco stesso.
Nei giorni seguenti, è stato fatto penetrare un ulteriore malware, detto IsaacWiper, nelle reti governative ucraine non afflitte da HermeticWiper e, parallelamente, sono stati attaccati i posti di blocco alla frontiera ucraina, con conseguente rallentamento del processo di gestione dei rifugiati.
Il primo marzo è stata rilevata, inoltre, una campagna di phishing destinata alla raccolta di informazioni del personale coinvolto nella gestione dei rifugiati.
Nell’ambito di questo contesto, i big del “mondo Tech” hanno rilevato come sia attualmente in corso una battaglia volta ad acquisire il dominio delle informazioni; in particolare, il 28 febbraio, la Microsoft Corporation ha annunciato di aver individuato attacchi distruttivi verso diversi settori dell’economia ucraina e dalla sua infrastruttura digitale, prevalentemente finalizzati a sottrarre moli di dati personali connessi allo stato di salute e allo stato assicurativo dei cittadini ucraini.
Allo stesso modo, Meta PlatformsInc, la società statunitense che controlla Facebook e Instagram, ha dichiarato di aver individuato e bloccato tentativi di diffusione di false informazioni da parte del governo russo sulle anzidette piattaforme social.
Il 4 marzo Amazon ha pubblicamente dichiarato di aver notato un aumento dell’attività malevola contro le NGO, gli enti caritatevoli e di aiuto volte a disturbare la catena dei soccorsi umanitari.
Il giorno successivo il CERT-UA, il servizio di risposta di emergenza alle minacce cyber della nazione Ucraina ha avvertito la popolazione dell’avvio di importanti campagne di phishing che facevano uso di account compromessi di tre entità Indiane, volte a violare caselle di posta e sottrarre dati personali.
Il 7 marzo CERT-UA ha segnalato l’inizio di una campagna di diffusione del malware MicroBackdoor contro le agenzie governative ucraine. L’ente ha individuato modalità di aggressione simili a quelle utilizzate da UAC-0051, organizzazione vicina al governo Bielorusso.
Due giorni dopo sono circolate notizie di un attacco contro il provider di telecomunicazioni Triolan. Tre diverse fonti interne all’organizzazione hanno diffuso la notizia; una di queste ha commentato che i computer interni del provider erano stati completamente resettati, causando la completa cessazione del funzionamento della rete per dodici ore.
Gli attacchi cyber organizzati dalla Russia, prevalentemente basati sulla diffusione di malware, evidenziano chiaramente un approccio più avanzato e strutturato, rispetto a quello ucraino, nella gestione di un conflitto cibernetico; sotto questo profilo, infatti, la quasi totale assenza di azioni difensive da parte del governo ucraino sul fronte cibernetico ha dimostrato la scarsa integrazione delle unità di cyber all’interno dell’apparato militare dell’Ucraina.
La scesa in campo di Anonymous e le “cyber azioni” pro-Ucraina
Come anticipato, Anonymous ha dato il via ad una serie di attacchi contro l’offensiva russa in Ucraina, rivendicando gli stessi tramite Twitter. Il gruppo di hacktivisti ha, infatti, mandato in tilt alcuni siti governativi russi, rendendoli irraggiungibili, ivi incluso quello del Cremlino e di alcuni ministeri russi. In particolare, il 25 febbraio il gruppo ha penetrato il sito web del Ministero della Difesa allo scopo di realizzare un’operazione di doxing, consistente nella diffusione di dati personali relativi al personale del Ministero e ad alcuni generali e successivamente ha messo fuori uso anche il sito del Ministero della Giustizia e dell’Energia russi.
Parallelamente, Anonymous e Cyber Partisans, collettivo di attivisti anonimi decentralizzato bielorusso, hanno dichiarato la propria responsabilità nella disattivazione dei siti del colosso petrolifero russo Gazprom e di diversi siti istituzionali Russi e Bielorussi, compreso quello dell’apparato ferroviario del governo di Minsk, nell’esposizione di mail dal produttore d’armi Bielorusso Tetraedr e nell’interruzione della fornitura di gas dell’azienda di comunicazioni Tvingo Telecom. Le due organizzazioni hanno indicato come obiettivo delle loro azioni la volontà di esporre informazioni ora censurate dal governo di Putin e di voler occupare le agenzie di Cyberwarfare Russe con azioni di difesa al fine di ridurre la pressione degli attacchi verso l’Ucraina.
Accanto all’azione dei due gruppi anzidetti, tra fine febbraio e inizio marzo, si sono susseguiti anche una serie di attacchi provenienti da altri attori pro-Ucraina. In particolare, la maggior parte delle azioni offensive sono state portate avanti dai volontari dell’IT Army of Ukraine, che hanno indirizzato attacchi di DDoS contro bersagli di interesse strategico e attaccato siti di banche , del sistema ferroviario e della rete elettrica Russa.
Il primo marzo è stata portata avanti la prima campagna di malware contro i sistemi russi tramite la diffusione del malware RURansomwiper. Simile negli effetti agli altri wiper utilizzati durante il conflitto, RURansom pare essere ancora sotto sviluppo ed in fase di evoluzione. Il wiper riporta apertamente l’indicazione di essere stato creato per danneggiare i sistemi russi. I dati telemetrici a disposizione sembrano indicare che il malware cessi la propria esecuzione qualora venga eseguito su sistemi aventi indirizzi IP non collegabili alla Russia.
Il 10 marzo, inoltre, Anonymous ha dichiarato di essersi introdotta nei sistemi del Roskomnadzor, l’agenzia Russa responsabile per il monitoraggio e la censura dei media, rilasciando un leak di 360000 file, incluse le linee guida sulla gestione mediatica dell’invasione dell’Ucraina.
Contemporaneamente alcuni lavoratori statali russi hanno dichiarato che dalle stampanti uscivano fogli recanti messaggi contrari alla guerra. Il gruppo GhostSec ha dichiarato di aver violato centinaia di stampanti all’interno di reti governative e militari russe in modo che producessero il seguente messaggio: “Questa non è la vostra guerra. Questa è la guerra del vostro governo. Stanno mentendo ai vostri fratelli e alle vostre sorelle… Alcuni di loro combattono la guerra di Putin pensando di fare un grande gesto per il bene superiore, quando in realtà prendono parte all’invasione dell’Ucraina. Fratelli, aprite gli occhi. Slava Ukraini. Dio benedica gli Ucraini ed il popolo Russo.”
Allo stesso modo, il 15 marzo, gli hacktivisti di Anonymous hanno annunciato su Twitter di aver inviato 7 milioni di SMS ad utenti russi per raccontare la verità sull’invasione ucraina.
Le principali metodologie della guerra cibernetica
Tra le modalità applicate per combattere una guerra cibernetica, si differenziano diverse tipologie di attacco che variano, peraltro, anche in relazione alla gravità ed intensità degli effetti che esse possono, in concreto, provocare. In particolar modo, tra le principali forme di attacco si ricordano:
- Gli attacchi DDoS (Distributed Denial of Service) che si basano sull’invio ad un sistema server di un numero elevato di pacchetti di richieste fittizie, sovraccaricandolo e rendendo impossibile rispondere a quelle legittime. Questo metodo di attacco viene definito come “distributed” perché invece di partire da un singolo host (rendendo quindi molto facile la mitigazione, ad esempio inibendo la comunicazione da quello specifico host), parte da un insieme di macchine controllate dall’attaccante (c.d. botnet). Tali botnet possono contenere diverse tipologie di device: home computer, server, mobile e persino strumenti IoT (spesso più vulnerabili delle tre categorie precedenti). A titolo di esempio, citiamo “Meris”, una botnet di 250000, deviceIoT. L’impiego di un gruppo di device così tanto ampio rende complesso per l’attaccato impostare regole di contenimento o sfruttare l’elasticità di servizi di rete per mitigare l’attacco.
- Il Defacement (o Defacing) che consiste in forme di attacco miranti a sostituire le pagine di siti o servizi, esposti al pubblico, con contenuti scelti dall’attaccante. In molti casi, vengono sfruttate CVE(Common Vulnerabilities and Exposures), non ancora mitigate sui sistemi aggrediti, per ottenere il controllo rispetto alla gestione dei contenuti e impedire l’accesso ai servizi e alle informazioni erogate ed eventualmente inviare informazioni fuorvianti. Ad esempio, nell’attacco di gennaio ai siti del governo ucraino è stata sfruttata una vulnerabilità XSS di OctoberCMS.
- Gli attacchi phishing che hanno come obiettivo la sottrazione di informazioni personali, come credenziali di accesso, degli utenti attaccati. Tipicamente, questa tipologia di attacco si realizza mediante la creazione di una richiesta (avanzata, ad esempio, tramite una comunicazione mail, un sms, un messaggio IM o un sito fasullo) di inserimento di credenziali, le quali vengono poi acquisite dall’aggressore e utilizzate per ulteriori scopi malevoli.
- Gli attacchi malware, che si basano sull’esecuzione involontaria di codice malevolo su macchine bersaglio. Il codice malevolo può essere diffuso nei sistemi tramite l’utilizzo di dropper, che, una volta eseguiti, scaricano ed eseguono il codice, tramite supply chain attack, in cui il codice malevolo viene diffuso tramite sistemi di terze parti, ad esempio RMM o antivirus, violati precedentemente o sfruttando vulnerabilità note che consentano l’esecuzione di codice remota.
Nell’ambito di tali attacchi, ricordiamo quello che ha colpito l’Ucraina, messo in atto sfruttando il malware “HermeticWiper”, un sistema di tre componenti: HermeticWizard, la parte di codice che consente la propagazione laterale del malware, attraverso il tentativo di infettare macchine nella stessa rete; HermeticWiper, che distrugge i dati e HermeticRansom che copre le azioni eseguite dalle due componenti precedenti con un’attività di crittografia, finalizzata sia all’ostacolo delle azioni forensi e all’essere uno specchietto per le allodole.
Il malware in oggetto ha avuto una prima probabile diffusione tramite le piattaforme Trello e Discord. Il 23 Febbraio un file malevolo con nome “conhost._exe” (SHA256: 1bc44eef75779e3ca1eefb8ff5a64807dbc942b1e4a2672d77b9f6928d292591) è stato caricato in un repositorio di malware da un organizzazione basata a Kiev, in Ucraina. L’eseguibile era firmato digitalmente da un’organizzazione chiamata Hermetica Digital Ltd. Il certificato è stato poi esplicitamente revocato. In fase di esecuzione, il malware elenca tutti i file sugli hard drive, rimuove le informazioni di partizione e forza un riavvio. Il malware, inoltre, può essere eseguito con istruzioni che consentono di ritardare l’esecuzione del programma o di spegnere il sistema compromesso.
Altro malware impiegato dalla Russia contro il governo ucraino è detto “IsaacWiper”. Nonostante sia simile al precedente in quanto ad effetti, IsaacWiper non presenta similarità nel codice. Il vettore di infezione non è ancora noto, tuttavia si sospetta che si tratti del sistema di controllo remoto RemCom. Il malware è parso meno sofisticato di HermeticWiper, presentandosi come una dll (dynamic-link library)non firmata.
Il codice, una volta eseguito, elenca i dischi fisici presenti e poi sovrascrive i primi 0x10000 bytes di ciascuno disco, con un generatore di numeri pseudo casuali Mersenne Twister. Successivamente, compie la stessa operazione con i dischi logici. Al 24 febbraio sono emerse versioni di IsaacWiper che rilasciavano log di esecuzione; tale aspetto lascia presumere che tale malware non sia stato considerato completamente efficace dai suoi creatori.
Baldoni: “Come stiamo gestendo la crisi Ucraina e i prossimi passi dell’Agenzia cyber”
Consigli per le aziende: contrastare gli effetti negativi della cyberwar
La tipologia degli attacchi impiegati nell’ambito della guerra cibernetica e i possibili impatti degli stessi suggerisce che possa esserci un aumento dell’attività di attacchi digitali e delle relative conseguenze anche nei confronti di paesi non direttamente coinvolti nel conflitto.
In tale ottica, il Clusit (ovvero l’Associazione Italiana per la Sicurezza Informatica) e il CSIRT Italia (ovvero il Computer Security Incident Response Team) hanno già emesso, a favore delle imprese italiane, specifiche linee guida e suggerimenti per mitigare i possibili rischi della guerra cibernetica. Viene, in particolar modo, consigliata la riduzione della superficie d’attacco interna ed esterna, la revisione dei controlli di accesso a sistemi e servizi ed un loro restringimento, un log management più severo e stringente rispetto alle attività di rete e degli account a privilegi elevati, l’organizzazione di scenari di crisi e playbook per la gestione di attacchi, nonché la riorganizzazione delle architetture verso una postura zero-trust.
Esempi concreti di attività funzionali all’attuazione delle anzidette indicazioni possono consistere nello spegnimento di servizi non utilizzati o non utili sull’infrastruttura, nella riduzione dei privilegi lasciati abilitati di default agli account non privilegiati o la riperimetrazione dei permessi per gli account privilegiati (prediligendo privilegi puntuali a quelli ad ampio spettro come i ruoli Root o Domain Admin), nell’abilitazione dell’auditing degli accessi degli account amministrativi e comunque nella segmentazione dei permessi di accesso (ad esempio, fornendo agli amministratori di sistema diversi account, alcuni per l’accesso base, altri dedicati all’attività di configurazione delle macchine, altri ancora per la configurazione dei servizi di identità, con scope di accesso segmentati e non sovrapposti).
Altrettanto rilevante per contrastare gli effetti negativi di una cyberwar può essere la creazione di documenti formali di Incident Response, Business Continuity e Disaster Recovery, da sottoporre, poi, al vaglio di scenari di test, nonché la veicolazione di servizi solo in considerazione della dimostrazione di un’identità autorizzata all’utilizzo dei servizi stessi.
Si ricorda, infine, che il CSIRT Italia ha messo a disposizione l’indirizzo e-mail info@csirt.gov.it, al quale trasmettere qualunque segnalazione e informazioni ritenuta di interesse ai fini della sicurezza informatica.
Cyberspazio: un nuovo e pericoloso campo di battaglia
E’ evidente, dunque, come l’utilizzo degli attacchi cyber possa rappresentare un pericoloso strumento nell’ambito dell’attuale contesto bellico. Lo spazio cibernetico è idoneo, per sua stessa natura, a non risentire dei limiti geografici e temporali tipici delle consuete arene, nell’ambito delle quali sino a pochi anni fa, sono stati gestiti i conflitti.
Peraltro, se pur contestualizzati nell’ambito del cyberspace, una guerra cibernetica propaga i propri effetti nella realtà fisica: un attacco all’infrastruttura informatica di un qualsiasi istituto bancario avrà, infatti, inevitabili conseguenze nel mondo reale.
Tale circostanza rende la cyberwar una vera e propria minaccia per la sicurezza globale ed impone ai singoli stati di sviluppare specifiche politiche finalizzate a garantire la massima protezione delle infrastrutture informatiche, oltre che di pianificare e realizzare un dialogo sul piano internazionale al fine di individuare regole uniformi, specificatamente volte a contrastare il fenomeno della guerra cibernetica.
La forte asimmetria tra le poche risorse che un aggressore deve metter in campo per tentare di compromettere un sistema e il grande sforzo necessario per difenderlo, rende l’utilizzo della cyberwar estremamente appetibile per molteplici attori che vogliano avvantaggiarsi strategicamente.
NOTE
Defacing (termine inglese che, come il suo sinonimo defacement, ha il significato letterale di “sfregiare, deturpare, sfigurare”, in italiano reso raramente con defacciare) nell’ambito della sicurezza informatica ha solitamente il significato di cambiare illecitamente la home page di un sito web o modificarne, sostituendole, una o più pagine interne. ↑