Dopo gli innumerevoli cyber attacchi che hanno testimoniato ogni giorno da più di un anno l’evoluzione della parola “guerra”, il 12 dicembre 2023 Kyivstar, il principale operatore telefonico ucraino, è stato vittima di quello che fino ad ora risulta il più grande attacco informatico dagli inizi del conflitto.
Tale attacco ha danneggiato le infrastrutture IT causando seri danni alla rete telefonica e provocando un calo drastico della connettività degli utenti che è passata dal 100% al 12% nella giornata di martedì.
L’ingaggio armato fra Ucraina e Russia ha dunque innescato una serie di conseguenze a effetto domino che hanno riguardato l’intera scena internazionale e non solamente gli attori coinvolti. Soprattutto, ha traslato in realtà un concetto affrontato da anni dagli esperti del settore: il dominio cibernetico ha assunto una valenza fondamentale che trascende quello cinetico e trasforma lo scontro in una dinamica ibrida.
Indice degli argomenti
I dettagli dell’attacco all’operatore telefonico Kyivstar
A causa dell’attacco, i ventiquattro milioni di abbonati Kyivstar sono stati privati all’improvviso della possibilità di comunicare telefonicamente e non solo, ma anche di essere avvisati di un imminente bombardamento russo tramite gli alert telefonici che sono il principale metodo di segnalazione, inevitabilmente messo fuori uso dall’attacco cyber.
Settantacinque insediamenti nella regione di Kiev sono rimasti isolati e hanno dovuto far ricorso alle vie tradizionali, quali altoparlanti per mantenere in piedi il sistema di allarme bombardamenti.
Il direttore generale del provider, Oleksandr Komarov, ha dichiarato che non potendo contrastare l’attacco sullo stesso livello, è stato deciso di proteggere dall’accesso nemico le infrastrutture fisiche di Kyivstar.
Nonostante ancora non siano noti i tempi effettivi di riparazione i dati privati degli utenti non sarebbero stati compromessi. L’azienda è attualmente al lavoro, con l’aiuto delle forze dell’ordine ed altri servizi statali, per effettuare il ripristino completo dei sistemi fuori uso, i quali in parte sono tornati disponibili la sera stessa dell’accaduto.
In concomitanza, la Veon, società che detiene la proprietà del provider, sta effettuando un’indagine approfondita sull’attacco. Non è stato, tuttavia, ancora possibile quantificare il danno finanziario riportato. A risentire dell’attacco cibernetico sono state, inoltre, due istituzioni bancarie ucraine PrivatBank e Oschadbank, le quali hanno riscontrato l’interruzione dei servizi di alcuni dei loro terminali IT.
Contestualmente, anche il co-fondatore di Monobank, un importante sistema di pagamento ucraino, ha dichiarato tramite un post sui propri social media che la sua azienda era stata vittima di un attacco di Distributed Denial of Service (DDoS), ma che la società era riuscita a contenere la crisi e a mettere in sicurezza i suoi dispositivi.
Come riportato a Reuters da una fonte vicina all’agenzia ucraina per la difesa informatica “questo sofisticato attacco è stato sferrato da un attore statale”. La fonte ha inoltre aggiunto che “l’intercettazione dei dati ha mostrato un grande traffico controllato dalla Russia diretto a queste reti”. Di fatto, il gruppo APT Killnet ha rivendicato l’attacco sul proprio canale Telegram, senza tuttavia fornire elementi a supporto.
Un attacco mirato alla compromissione degli asset
A questo proposito, un fattore chiave da prendere in considerazione è la natura stessa dell’attacco, non finalizzato alla richiesta di un riscatto, che non è stata trasmessa, bensì alla sola compromissione degli asset.
È possibile che l’obiettivo dietro tale azione sia stato quello di rispondere alla visita del presidente ucraino Volodymyr Zelenskiy negli Stati Uniti, recatosi in questi giorni a Washington per chiedere il rinnovamento degli aiuti economici e militari.
Inoltre, un’altra motivazione potrebbe essere quella di avere un impatto sul morale della popolazione ucraina, aggravando altresì i blackout energetici.
L’attacco ha, inizialmente, provocato un’interruzione totale delle comunicazioni su grande parte del territorio ucraino, di conseguenza Vodafone Ucraina ha reso disponibile il loro servizio di roaming del quale sta usufruendo una grande parte dei cittadini.
A questo proposito, è bene ricordare che già dalle prime fasi dello scoppio della guerra le società provider telefoniche hanno instaurato un sistema di roaming interno gratuito a beneficio della popolazione.
La risposta ucraina: un malware contro il Servizio fiscale russo
In merito alla recente operazione, l’agenzia di intelligence ucraina (SBU) ha riferito a Reuters di aver aperto un’inchiesta nel contesto della quale sta indagando sulla possibilità di un attacco informatico condotto dai servizi di sicurezza russi. Tuttavia, il Ministero degli Esteri russo non ha rilasciato una dichiarazione in merito.
Allo stesso tempo, la Direzione principale dell’intelligence ucraina ha affermato di aver condotto con successo un attacco informatico che negli ultimi giorni ha colpito con un malware i server del Servizio fiscale russo.
Secondo una dichiarazione dell’agenzia di intelligence, il virus si è infiltrato in diversi server centrali e in più di 2.300 server regionali, causando l’interruzione delle comunicazioni all’interno del sistema fiscale russo e distruggendo il suo database e i suoi backup.
Anche in questo caso, Mosca non ha rilasciato alcun commento immediato sull’attacco e la dichiarazione non ha potuto essere verificata in modo indipendente.
Affrontare le sfide cyber su scala internazionale
Questo attacco porta alla luce l’importanza cruciale di affrontare le sfide della sicurezza informatica su scala internazionale, evidenziando le significative implicazioni che le offensive informatiche possono avere sulle infrastrutture critiche e sulle dinamiche geopolitiche tra nazioni in un mondo sempre più interconnesso e digitale.
L’attuale conflitto russo ucraino pone diverse sfide alle infrastrutture critiche in particolare nell’ambito della cyber sicurezza.
L’evoluzione dei modelli bellici ha dato vita a un nuovo concetto di guerra, che non può più essere considerata soltanto in termini tradizionalistici ma deve ormai includere il cyber warfare tra le minacce principali.
Comprendere l’impatto degli eventi, con particolare riferimento a quelli “gravi”, rappresenta un requisito fondamentale per prevedere e sviluppare una strategia che possa ridurre drasticamente i potenziali danni.
Dal punto di vista degli attaccanti il cyber warfare presenta innumerevoli vantaggi, tra i quali l’asimmetria e i costi irrisori.
Se è vero che nel cyber dominio il concetto di deterrenza decade, è pur vero che le capacità di difesa cibernetica evolvono e negli ultimi anni la maggior parte dei Paesi occidentali ha incrementato considerevolmente le proprie strategie di sicurezza.
Un sistema resiliente, infatti, si basa sulla difesa: la prevenzione della minaccia, la riorganizzazione e la preservazione della propria integrità anche dopo uno sconvolgimento.
