Quanto sta accadendo in Ucraina, al centro dell’attenzione mondiale nelle ultime settimane e ore, riporta in auge una questione da molto tempo oggetto di discussione nell’ambito del cyber crime: la preparazione.
Gli attacchi DDoS (Distributed Denial of Service) sferrati sporadicamente contro i provider di servizi finanziari e i siti web governativi di Kiev mettono infatti nuovamente al centro il tema di come poter far fronte a un potenziale cyber conflitto.
Anche se ogni azienda dovrebbe essere sempre preparata per un attacco proveniente da una qualsiasi direzione, può essere utile sapere ciò a cui bisogna prestare attenzione quando i rischi aumentano. Ho deciso di riesaminare la storia delle attività cyber criminali attribuite – certamente o probabilmente – allo Stato russo per capire quale genere di azioni possiamo aspettarci e come prepararci al riguardo.
L’Italia rischia ritorsioni dalla Russia: si prepari a una cyberwar
Indice degli argomenti
Attacchi Denial of Service per destabilizzare
La prima attività nota risale al 26 aprile 2007 quando il governo estone decise di spostare in una sede più appartata una statua che commemorava la liberazione dell’Estonia dai nazisti da parte dell’Unione Sovietica.
Questa azione fece infuriare la popolazione russofona dell’Estonia e destabilizzò le relazioni con Mosca. Vi furono disordini nelle strade, proteste sotto l’ambasciata estone di Mosca e un’ondata di attacchi DDoS contro i siti del governo e dei servizi finanziari del Paese baltico.
Tool pronti all’uso e istruzioni su come partecipare ad attacchi DDoS apparvero su forum russi quasi immediatamente dopo lo spostamento della statua. Gli attacchi colpirono siti web appartenenti alla Presidenza, al Parlamento, alla polizia, ai partiti politici e ai maggiori mezzi di informazione.
Pur incitando i “patrioti russi” a contribuire alla punizione dell’Estonia, è difficile pensare che si sia trattato di un movimento spontaneo nato dal basso quando i tool e l’elenco degli obiettivi erano già pronti. La stessa tattica è stata usata successivamente da Anonymous a difesa di Wikileaks usando un tool chiamato Low Orbit Ion Cannon (LOIC).
Il 4 maggio 2007 gli attacchi si intensificarono iniziando a colpire anche le banche. Esattamente sette giorni dopo, a mezzanotte, gli attacchi cessarono tanto improvvisamente quanto erano iniziati.
Tutti puntarono immediatamente il dito verso la Russia, ma attribuire la colpa di un attacco DDoS è pressoché impossibile proprio per il modo in cui questo si svolge. Oggi si pensa che questi attacchi siano stati opera di Russian Business Network (RBN), un famigerato gruppo criminale russo che si occupa di spam, botnet e promozione di prodotti farmaceutici. I suoi servizi sembrano essere stati “acquistati” esattamente per una settimana allo scopo di condurre questi attacchi.
Il 19 luglio 2008 una nuova ondata di attacchi DDoS venne scatenata contro i siti web governativi e dei media della Georgia. Questi attacchi si intensificarono misteriosamente il giorno 8 agosto, proprio quando le truppe russe invasero la provincia separatista dell’Ossezia Meridionale. Dopo aver inizialmente colpito siti governativi e dei mezzi di informazione georgiani, gli attacchi si spostarono in direzione di istituti finanziari, aziende, scuole, media occidentali e di un sito web di hacker georgiani.
Come era accaduto in Estonia, apparve un sito web che riportava un elenco di obiettivi e una serie di tool completi delle relative istruzioni. Era un tentativo di attribuire gli attacchi a “patrioti” accorsi a difesa dell’aggressione georgiana, per quanto la maggior parte del traffico effettivo fosse stato prodotto da una nota botnet di grandi dimensioni che si ritiene controllata dal gruppo RBN.
Deturpamento digitale e spam
Gli attacchi lanciati contro la Georgia non mancarono di comprendere il deturpamento di siti web e massicce campagne di spam ideate per intasare le caselle di posta elettronica georgiane. Tutto questo sembra essere stato ideato per suscitare un senso di sfiducia nella capacità della Georgia di difendersi e governarsi, nonché per impedire allo Stato di comunicare con i propri cittadini e col mondo esterno.
Meno di un anno dopo, nel gennaio 2009, un’ulteriore serie di attacchi DDoS prese il via in Kyrgyzstan in concomitanza con il processo decisionale avviato dal relativo governo circa l’opportunità di rinnovare l’affitto di una base aerea statunitense sul proprio territorio. Coincidenza? Ancora una volta sembra che dietro vi sia stato il gruppo RBN, stavolta però facendo a meno della finzione dei presunti “patrioti” che esprimevano le loro opinioni digitali.
Questo ci porta al più recente conflitto sul campo, l’invasione della Crimea del 2014.
Disinformazione e isolamento
La guerra dell’informazione a basso livello contro l’Ucraina va avanti dal 2009, con molti attacchi in coincidenza di avvenimenti che possono essere interpretati come minacciosi degli interessi russi, quali un summit NATO e i negoziati tra Ucraina e UE per un Accordo di Associazione.
Nel marzo 2014 il New York Times riportò la notizia secondo cui il malware “Snake” si era infiltrato nell’ufficio del Primo Ministro ucraino e in diverse ambasciate all’estero in concomitanza dell’avvio di proteste antigovernative in Ucraina. Verso la fine del 2013 e nel 2014 una ricerca pubblicata da ESET documentava attacchi sferrati contro obiettivi militari e mezzi di informazione in una campagna denominata “Operation Potao Express”.
Come in precedenza, un gruppo chiamato “Cyber Berkut” lanciò attacchi DDoS e deturpamenti di siti web senza però provocare veri danni effettivi. Quel che produsse fu comunque molta confusione, un elemento che ha ovviamente il suo impatto quando è in corso un conflitto.
Nelle fasi iniziali dello scontro, soldati dalle uniformi prive di insegne di riconoscimento assunsero il controllo delle reti di telecomunicazione della Crimea e dell’unico nodo Internet della regione provocando un blackout dell’informazione. Gli attaccanti sfruttarono l’accesso alla rete di telefonia mobile per identificare i dimostranti anti-russi inviando loro SMS che dicevano: “Gentile abbonato, lei è stato schedato come partecipante a disordini di massa”.
Dopo aver isolato le comunicazioni della Crimea, gli attaccanti si occuparono dei telefoni cellulari dei membri del Parlamento ucraino impedendo loro di reagire all’invasione. Come nota Military Cyber Affairs, le campagne di disinformazione entrarono subito a pieno regime: “In un caso, la Russia ha pagato singoli individui perché ricoprissero molteplici identità web differenti. Una persona di San Pietroburgo ha ammesso di apparire come tre blogger differenti su dieci blog e di commentare su altri siti ancora. Un’altra persona è stata assunta per commentare su social media e siti di informazione per 126 volte ogni 12 ore”.
Paralisi elettrica
Il 23 dicembre 2015 l’energia elettrica venne improvvisamente interrotta per circa metà dei residenti della cittadina ucraina di Ivano-Frankivsk. Si pensa che la causa sia da attribuire a hacker russi sponsorizzati da entità statali. I primi attacchi erano iniziati oltre 6 mesi prima del blackout, quando i dipendenti di tre centrali di distribuzione elettrica avevano aperto un documento Office infettato con una macro scritta per installare un malware chiamato BlackEnergy.
Gli attaccanti furono in grado di acquisire le credenziali di accesso remoto alla rete SCADA (Supervisory Control and Data Acquisition) e assumere il controllo delle sottostazioni per iniziare ad aprire gli interruttori di circuito, facendo quindi in modo che non potessero più essere richiusi da remoto per ripristinare la rete elettrica. Gli attaccanti installarono anche un “wiper” per rendere inutilizzabili i computer usati per controllare la griglia di distribuzione, lanciando contemporaneamente un attacco TDoS (Telephone Denial of Service) per intasare i numeri dell’assistenza clienti così da bloccare i clienti che provavano a segnalare i guasti.
Quasi un anno dopo, il 17 dicembre 2016, le luci si spensero ancora una volta a Kiev. Una coincidenza? Probabilmente no.
Stavolta il malware responsabile del guasto era Industroyer/CrashOverride, ed era immensamente più sofisticato. Questo malware era progettato con componenti modulari in grado di effettuare la scansione della rete per identificare i controller SCADA, e in più era capace di parlare la loro lingua. L’attacco non pare fosse correlato a BlackEnergy né al wiper KillDisk, ma non c’erano dubbi su chi potesse essere il responsabile.
HermeticWiper attacca l’Ucraina, allarme anche in Italia: come difendersi
Pubblicazione di e-mail
Nel giugno 2016, in piena campagna presidenziale di Hillary Clinton e Donald Trump, apparve sulle scene un nuovo soggetto chiamato Guccifer 2.0 che sosteneva di aver hackerato la segreteria del partito democratico per poi pubblicare su Wikileaks tutte le email che vi aveva trovato. Anche se non attribuito ufficialmente alla Russia, questo attacco comparve a fianco di altre campagne di disinformazione avvenute nel corso delle elezioni del 2016 ed è opinione diffusa che sia stato opera del Cremlino.
Attacchi supply chain: NotPetya
I continui attacchi della Russia contro l’Ucraina non erano finiti: il 27 giugno 2017 fu il turno di un nuovo malware che ora è conosciuto con il nome NotPetya.
NotPetya assumeva le sembianze di un nuovo ransomware e si installava attraverso la supply chain (violata) di un produttore ucraino di software per contabilità. In realtà non si trattava per niente di ransomware. Anche se il suo effetto era quello di crittografare un computer, la successiva decifrazione era impossibile – il che di fatto cancellava il dispositivo rendendolo totalmente inutilizzabile.
Le vittime non si limitarono alle aziende ucraine. Il malware si diffuse in tutto il mondo nell’arco di poche ore colpendo soprattutto le aziende che avevano attività in Ucraina, dove veniva usato il software contabile infetto.
Si calcola che a livello globale NotPetya abbia provocato danni per almeno 10 miliardi di dollari.
False flag
In occasione dell’apertura delle Olimpiadi invernali di PyeongChang il 9 febbraio 2018, un altro attacco era pronto a colpire il mondo. Questo malware riuscì a disabilitare tutti i domain controller dell’intera rete olimpica impedendo il funzionamento di qualsiasi cosa, dal Wi-Fi ai varchi della biglietterie. Il team IT fu miracolosamente in grado di isolare la rete, ricostruirla ed eliminare il malware dai sistemi rimettendo tutto in funzione in tempo per la mattina seguente come se nulla fosse accaduto.
Un’analisi del malware cercò di capire chi avesse voluto attaccare e bloccare un’intera rete olimpica. È difficile attribuire la paternità di un malware, ma c’erano alcuni indizi potenzialmente utili – a meno che non fossero false tracce piantate apposta per incolpare una parte innocente.
Le “prove” sembravano condurre alla Corea del Nord e alla Cina, anche se il tentativo di attribuire la responsabilità alla Corea del Nord era quasi fin troppo evidente. Un brillante lavoro di indagine svolto da Igor Soumenkov di Kaspersky Lab trovò la pistola fumante che puntava direttamente a Mosca.
Pochi anni dopo, poco prima delle festività di fine 2020, toccò a un attacco supply chain rivolto contro SolarWinds Orion, un software usato per gestire le infrastrutture di networking di medie e grandi organizzazioni in tutto il mondo, comprese numerose agenzie federali statunitensi. I meccanismi usati per gli aggiornamenti del software erano stati violati e sfruttati per installare una backdoor.
L’alto profilo delle vittime, in combinazione con l’accesso reso possibile da una backdoor ben nascosta, rende questo attacco uno dei più grandi e dannosi eventi di cyberspionaggio della storia moderna.
Una dichiarazione congiunta rilasciata da enti come FBI, CISA (Cybersecurity and Infrastructure Security Agency), ODNI (Office of Director of National Intelligence) e NSA (National Security Agency) al termine delle indagini affermava che: “… l’autore di un Advanced Persistent Threat, probabilmente di origine russa, è responsabile della maggior parte o di tutte le cyberviolazioni recentemente scoperte all’interno di reti governative e non. Al momento riteniamo che si sia trattato, e continui a trattarsi, di un’azione tesa alla raccolta di intelligence”.
Il cyber confilitto russo nel 2022
Nel 2022 le tensioni cyber politiche hanno continuato a crescere avvicinandosi al punto di rottura. Il 13 e 14 gennaio 2022 numerosi siti web governativi ucraini sono stati oggetto di deturpamento digitale e i sistemi sono stati infettati con malware mascherato da attacco ransomware.
Molti elementi di questi attacchi ricordano il passato.
Il malware non era un vero ransomware, ma semplicemente un sofisticato wiper, come quello visto negli attacchi NotPetya.
Sono inoltre state lasciate molte false tracce per attribuire la responsabilità a dissidenti ucraini o partigiani polacchi.
Distrarre, confondere, negare e cercare di dividere sembra essere l’attuale manuale di comportamento.
Il 15 febbraio 2022 una serie di attacchi DDoS è stata sferrata contro siti web governativi e militari ucraini, oltre che contro le tre maggiori banche del Paese. Con una decisione senza precedenti, la Casa Bianca ha già desecretato alcune informazioni di intelligence attribuendo gli attacchi ai servizi militari russi, il GRU.
Gli ultimi aggiornamenti dalla crisi russo-ucraina
Il 23 febbraio 2022, alle 16 circa ora locale dell’Ucraina, un’altra ondata di attacchi DDoS è stata lanciata contro il Ministero degli Affari Esteri, il Ministero della Difesa, il Ministero dell’Interno, il Consiglio dei Ministri e il Servizio di Sicurezza ucraini. Il blocco è durato circa due ore e al momento non è chiaro chi ne siano stati i responsabili. ESET e Symantec hanno registrato il rilascio di un nuovo wiper per la cancellazione del settore di boot dei dischi avvenuto alle 17:00 circa ora locale, precisamente a metà dell’attacco DDoS. Pare che questo wiper abbia colpito un piccolo numero di organizzazioni finanziarie e di appaltatori della pubblica amministrazione ucraina. Symantec ha registrato la diffusione di questo wiper anche su PC situati in Lettonia e Lituania, probabilmente all’interno di sedi estere di società ucraine.
Alle 02:00 ora locale del 24 febbraio 2022 i siti web del Consiglio dei Ministri ucraino e quelli dei Ministeri degli Affari Esteri, delle Infrastrutture, dell’Educazione e di altri ancora non erano più raggiungibili, secondo la CNN. Alle 06:00 ora locale del 24 febbraio 2022 sembravano funzionare normalmente.
Il 25 febbraio 2022 il conflitto è passato dai soli cyberattacchi a una guerra combattuta sul terreno, e stiamo osservando attività da parte di attori non statali che potrebbero provocare ulteriori problemi e impatti al di fuori della zona del conflitto.
Per prima cosa un account Twitter che rappresenta il collettivo di hacktivisti Anonymous ha dichiarato la “cyber war” contro il governo russo.
Poche ore dopo, il gruppo specializzato in ransomware Conti ha postato un messaggio sul proprio sito nel dark web dichiarando il proprio “completo sostegno al governo russo”.
Entrambe le dichiarazioni aumentano i rischi per chiunque, indipendentemente dal rispettivo coinvolgimento o meno nel conflitto. Gli attacchi sferrati da questi gruppi in direzione dei loro avversari aumentano la nebbia di guerra e generano confusione e incertezza per tutti. La probabilità che altri gruppi criminali basati in Russia possano scatenare attacchi contro gli alleati dell’Ucraina appare elevata.
Alle 20:00 UTC del 25 febbraio il gruppo Conti ha cancellato la sua precedente dichiarazione che sembrava essere eccessivamente diretta contro il governo statunitense. La nuova dichiarazione ha abbassato leggermente i toni suggerendo la mera possibilità di una “vendetta” in caso di cyberattacco americano.
Sembra che un altro gruppo denominato CoomingProject abbia postato una dichiarazione simile affermando: “Buongiorno a tutti questo è un messaggio aiuteremo il governo russo se cyberattacchi [saranno] lanciati contro la Russia”. Il sito del gruppo è attualmente offline e non possiamo quindi confermare questa dichiarazione.
Diversi avvenimenti, infine, sono accaduti nel corso del weekend del 26 e 27 febbraio 2022.
Nel pomeriggio di sabato 26 febbraio Mykhallo Federov, vice primo ministro e ministro della trasformazione digitale dell’Ucraina, ha pubblicato un tweet per chiedere a tutti coloro che possiedono competenze informatiche di unirsi a un esercito IT virtuale per aiutare l’Ucraina ad attaccare gli asset russi in risposta agli attacchi apparentemente sferrati contro l’Ucraina da hacker russi. Un post “IT Army” su una piattaforma di messaggistica comprendeva un elenco di 31 obiettivi che i supporter avrebbero dovuto colpire.
In molti desiderano offrire il proprio supporto all’Ucraina, ma se l’intenzione è questa sconsiglio di fare una cosa del genere. A meno che non si stia lavorando per conto di un’entità statale, è probabile infatti che si commettano gravi reati di rilevanza penale.
Un ricercatore specializzato in cybersicurezza che si trova sul confine tra Ucraina e Romania ha inoltre segnalato che i sistemi ucraini di controllo delle frontiere sono stati colpiti da un wiper per bloccare la partenza dei rifugiati.
E un altro gruppo dedito al ransomware ha rilasciato una dichiarazione ufficiale a proposito del conflitto: Lockbit 2.0 ha pubblicato infatti un messaggio sul proprio sito nel dark web affermando che non attaccherà mai le infrastrutture critiche di alcun Paese e che non prende posizione sulla guerra in corso. Il gruppo sostiene di riunire una varietà di “pentester post-pagati” e che si tratta esclusivamente di affari: “tutto ciò che facciamo è fornire formazione a pagamento agli amministratori di sistema di tutto il mondo per istruirli alla corretta configurazione delle reti aziendali”.
La dichiarazione è stata pubblicata in otto lingue insieme con due immagini JPEG della Terra.
Il manuale russo per la guerra cibernetica
E adesso? Indipendentemente dalla possibile escalation della situazione, è certo che le operazioni cibernetiche proseguiranno. L’Ucraina è oggetto di una costante quantità di attacchi di intensità variabile fin da quando Viktor Yanukovych è stato deposto nel 2014.
La “Dottrina Militare della Federazione Russa”, un documento ufficiale del 2010, prevede: “la precedente implementazione di misure di guerra dell’informazione allo scopo di conseguire obiettivi politici senza il ricorso alla forza militare e, di conseguenza, allo scopo di promuovere una risposta favorevole da parte della comunità mondiale all’utilizzo della forza militare“.
Ciò suggerisce la prosecuzione di comportamenti precedenti prima di un conflitto e rende gli attacchi DDoS un potenziale segnale di risposta cinetica imminente.
La guerra dell’informazione è il modo in cui il Cremlino può provare a controllare la risposta del resto del mondo alle azioni condotte in Ucraina o contro qualunque altro obiettivo di un attacco.
Attacchi false flag, errate attribuzioni, blocco delle comunicazioni e manipolazione dei social media sono tutti elementi chiave presenti sul manuale russo della guerra dell’informazione. Non occorre creare una copertura permanente per le attività svolte sul terreno e altrove, ma basta provocare sufficienti ritardi, confusioni e contraddizioni perché altre operazioni simultanee possano raggiungere i loro obiettivi.
Prepararsi e proteggersi
È interessante notare come Stati Uniti e Regno Unito stiano provando a stroncare sul nascere alcune campagne di disinformazione, e ciò potrebbe limitarne l’efficacia. Tuttavia non possiamo presumere che gli attaccanti eviteranno quanto meno di provarci, quindi dobbiamo restare pronti e vigili.
Per esempio, aziende ed enti di Paesi confinanti con l’Ucraina dovrebbero prepararsi a essere coinvolti in situazioni problematiche online anche se non operano direttamente all’interno dei confini ucraini. Campagne di attacco e disinformazione precedenti si sono estese a Polonia, Estonia e altri Stati limitrofi, anche se solamente sotto forma di danni collaterali.
Da un punto di vista globale dovremmo aspettarci che una serie di freelance “patriottici” in Russia (ovvero criminali specializzati in ransomware, autori di phishing e operatori di reti botnet) si attivi con un fervore superiore al normale contro gli obiettivi ritenuti antagonisti della Patria.
È improbabile che la Russia attacchi direttamente gli Stati NATO rischiando l’attivazione dell’Articolo V. Tuttavia le sue recenti azioni finalizzate a stroncare le attività illecite all’interno della Federazione Russa e dei partner del suo Comunità di Stati Indipendenti (CSI) facilmente si interromperanno, e anzi assisteremo a una moltiplicazione delle minacce.
Anche se le tecniche di defense-in-depth dovrebbero essere un obiettivo a cui puntare sempre e comunque, una sicurezza di questo genere è particolarmente importante se dobbiamo attenderci un aumento nella frequenza e nella gravità degli attacchi. La disinformazione e la propaganda raggiungeranno presto ritmi forsennati, ma noi dobbiamo restare in allerta, prepararci al peggio e monitorare qualsiasi attività insolita nelle nostre reti allo svolgersi del conflitto, anche se/quando dovesse terminare presto.
Perché, come tutti sappiamo, potrebbero occorrere mesi prima che vengano alla superficie le prove di intrusioni provocate dal conflitto russo-ucraino.
In quanto alle mosse di Anonymous, va sottolineato che non si tratta tanto di un gruppo quanto piuttosto un’idea: storicamente ha sempre ispirato gli attivisti ad agire per conto degli inermi e degli oppressi. La conseguenza è che ogni volta che possono comparire segni di un qualche successo, Anonymous è pronta a prendersene i meriti, che si tratti di un attacco DDoS (Distributed Denial of Service), di un furto di dati o della violazione dell’account di chiunque sia ritenuto es-sere il cattivo di turno.
Quel che è insolito nella situazione ucraina è che il Vice Primo Ministro e un Senior Advisor del Parlamento Europeo hanno entrambi richiesto e incoraggiato l’avvio di attività di questo genere al di fuori del normale contesto legale. Si tratta di una situazione senza precedenti: letteralmente, un invito a scritte d’oro lasciato su un tappeto rosso per sollecitare Anonymous a tornare in azione.
Il rischio è quello di una escalation. Può sembrare una buona idea, ma se incoraggiasse o spingesse i gruppi di hacker legati alla Russia a vendicarsi contro gli asset occidentali potrebbero verificarsi miliardi di dollari di danni per infrastrutture, aziende ed enti pubblici occidentali. Fino a oggi la maggior parte dei cybercriminali russi ha continuato le proprie attività come sempre senza inasprirle né tentare di aumentare la pressione sulle infrastrutture critiche, ma la situazione potrebbe facilmente cambiare se ci fosse il supporto da parte dello Stato russo.