A un anno dall’inizio della guerra ibrida russa in Ucraina Microsoft ha pubblicato un report denominato “A year of Russian hybrid warfare in Ukraine”, nel quale vengono analizzate le tecniche e le tattiche sino ad ora utilizzate dalla Russia sul piano cibernetico e le possibili prospettive future in merito agli attacchi cyber, non solo contro l’Ucraina, ma anche nei confronti dei Paesi europei e degli Stati Uniti.
Secondo quanto osservato dagli analisti informatici di Microsoft, dall’inizio del 2023 gli hacker russi starebbero cercando di accrescere la capacità distruttiva delle proprie minacce cibernetiche e di incrementare la raccolta di informazioni riguardanti le infrastrutture Ucraine e dei Paesi alleati, nel tentativo di comprometterne le funzionalità.
La Russia si starebbe quindi preparando per una “rinnovata campagna distruttiva”, condotta da attori vicini al Cremlino come il noto Sandworm, il quale costituirebbe un’unità cyber del GRU, l’organizzazione responsabile dell’intelligence militare russa.
Il gruppo in questione, secondo quanto riportato dagli analisti, durante tutto il periodo del conflitto si sarebbe infatti reso responsabile di una serie di attacchi condotti ai danni del Governo ucraino e di diverse organizzazioni mediatiche del Paese.
Indice degli argomenti
Evidenze sulle attività dei gruppi hacker filorussi
Ad oggi, gli esperti di Microsoft ritengono che diversi criminali informatici aventi legami con il GRU, con l’SVR (Servizio di intelligence internazionale russo) e con l’FSB (Servizio federale per la sicurezza della Federazione Russa), stiano tentando di ottenere l’accesso iniziale a organizzazioni governative e della difesa in Europa centrale e orientale e in America.
L’intenzione degli hacker sarebbe, quindi, quella di sfruttare tali accessi alle infrastrutture critiche dei vari Paesi per lanciare attacchi ransomware distruttivi.
Relativamente al panorama occidentale, nei primi mesi del 2023 sarebbero state 17 le nazioni bersagliate, in particolare per quanto concerne le attività di spionaggio rivolte al settore governativo. Tra queste, Microsoft ha registrato la più alta percentuale di attacchi contro gli Stati Uniti (21%), seguita da Polonia (10%) e Regno Unito (9%).
In Italia, alla fine del 2022, è stata registrata la presenza di campagne di spearphishing a danno di media locali e di diverse organizzazioni operanti perlopiù nei settori IT, dell’energia, della finanza e dell’assistenza ai rifugiati.
Queste sarebbero state realizzate dal gruppo hacker filorusso Iridium, rintracciato da Microsoft e ricondotto al gruppo Sandworm. Iridium si sarebbe reso responsabile di una lunga serie di attacchi distruttivi verificatisi dall’inizio del conflitto.
Le contromisure adottate dall’Ucraina
A parere degli analisti, ciò avrebbe luogo nel tentativo di indebolire il sostegno offerto a Kiev, volto alla prosecuzione degli aiuti militari, alla condivisione di informazioni e ad altre forme di assistenza al Governo.
Tuttavia, nonostante gli sforzi da parte di Mosca nel coordinare gli attacchi informatici con attacchi fisici alla rete elettrica ucraina e ad altri obiettivi, l’Ucraina si sarebbe dimostrata abile nel disporre di sistemi di backup o di altre tecniche di protezione, tra cui lo spostamento di gran parte delle operazioni digitali del Paese nel cloud.
Le attività russe di disinformazione in Europa
Gli esiti riportati dal Microsoft Threat Intelligence Center sono stati diffusi in concomitanza con l’insediamento di nuove truppe sul campo di battaglia nell’Ucraina orientale, secondo quanto affermato da funzionari di sicurezza occidentali. Nel mese di febbraio, il ministro della Difesa ucraino Oleksiy Reznikov aveva avvertito che si sarebbe potuto verificare un tentativo da parte di Mosca di accelerare le sue attività militari in occasione del 24 febbraio, anniversario dell’invasione.
Le preoccupazioni riguardanti le capacità di hacking della Russia risultano quindi persistere. In particolare, in relazione ai Paesi che a breve si sottoporranno alle elezioni. Tra questi vi sono due membri della NATO, la Polonia e l’Estonia, per le quali si teme che la Russia possa mettere in atto operazioni cyber per influenzare le elezioni, nel tentativo di minare il sostegno della NATO e dell’Unione Europea a Kiev.
Le fake news sui rifugiati ucraini e i paesi sostenitori
Nel frattempo, la propaganda messa in atto da Mosca starebbe prendendo di mira i rifugiati ucraini e le popolazioni dei Paesi sostenitori.
Nel gennaio 2023, una campagna di disinformazione russa avrebbe preso di mira gli ucraini migrati nell’Unione europea e nel Regno Unito, con affermazioni secondo cui i rifugiati all’estero avrebbero dovuto essere estradati e successivamente costretti ad arruolarsi nelle forze armate ucraine.
Tali campagne continuerebbero ad essere condotte dalla Russia a danno dei Paesi occidentali, nel tentativo di condizionare a proprio vantaggio gli scambi commerciali, le forniture di beni la diffusione delle informazioni in generale.
La guerra di Mosca con attacchi cyber, disinformazione: l’allarme dei nostri 007
La disinformazione prende di mira anche l’Italia
Ciò è quanto emerso dalla Relazione sulla politica dell’informazione per la sicurezza relativa al 2022, prodotta dall’intelligence italiana, la quale fornisce un quadro relativo all’attività di disinformazione attuata prevalentemente da Mosca e da Pechino.
Sulla base di quanto emerso nella Relazione, dal 2022 la Russia risulterebbe essere impegnata in una campagna ibrida contro l’Occidente, a supporto di quella militare contro l’Ucraina.
Le caratteristiche della “macchina disinformativa russa”, osservate dagli analisti di intelligence, si potrebbero quindi sintetizzare in una “grande pervasività” e in una “forte regia statale”, le quali avrebbero giocato un ruolo sostanziale nelle campagne di disinformazione attuate in Paesi come Germania, Francia Regno Unito e Italia.
Relativamente al contesto italiano, nell’ultimo anno sarebbe stata rilevata all’interno delle principali piattaforme social una correlazione tra i profili “no-vax” e “no-pass” e la messaggistica pro-Russia in relazione al conflitto in atto.
Ciò avverrebbe attraverso il rilancio e la condivisione di contenuti generati da istituzioni vicine al Cremlino, allo scopo di manipolare e indirizzare l’opinione pubblica italiana.
La disinformazione russa, anche nel nostro Paese, sarebbe perciò stata alimentata in particolare da account personali di individui russi o filorussi.
Secondo quanto riportato nella Relazione dell’intelligence italiana, la messaggistica di tali soggetti sarebbe veicolata, inizialmente, in lingua russa e rivolta a un pubblico russofono; successivamente verrebbe diffusa in più lingue tanto all’interno quanto all’esterno del nostro Paese.
Nel contesto italiano, lo svolgimento di attività di ingerenza e influenza da parte della Russia risulta quindi di interesse centrale: a parere degli analisti di intelligence, Mosca potrebbe continuare a “interferire nelle dinamiche politiche e nei processi decisionali interni ai Paesi NATO, ricorrendo ancor più che in passato a metodi coercitivi e manipolativi, quali attacchi cyber, disinformazione, ricatti e utilizzo di leve come quella migratoria ed energetica, quest’ultima destinata a perdere di rilevanza con l’impegno occidentale a trovare alternative alla dipendenza energetica dalla Russia”.
