In questi giorni lo spettro della guerra sta tornando a muoversi lungo la frontiera russo-ucraina, generando il rischio del più grande scontro militare dopo la seconda guerra mondiale. Molti analisti prevedono che questa guerra potrà essere affiancata da attacchi cyber devastanti, visto che da molti anni la Russia ha utilizzato l’Ucraina come un laboratorio di test dove sperimentare strategie e strumenti di attacco informatici. Per esempio, dal 2015 al 2017, la Russia ha eseguito attacchi data wiping, cioè per cancellare tutti i dati esistenti sui sistemi contro l’Ucraina.
Questi attacchi sono strutturalmente simili agli attacchi ransomware e talvolta si sono mascherati anche da ransomware richiedendo un riscatto alle vittime. A differenza dei ransomware, però, lo scopo in questo caso è quello di rendere il sistema inutilizzabile e quindi l’attacco è stato progettato in modo che non sia possibile recuperare le informazioni che non sono state cifrate ma cancellate.
Perché la minaccia cyber russa sull’Ucraina fa tremare il mondo
Indice degli argomenti
L’erede di Stuxnet
In questi attacchi sono stati usati malware via via più complessi ma anche più flessibili e con strategie sempre più sofisticate che non richiedevano interazioni con un controllore umano.
Si è passati, per esempio, dall’attacco a impianti secondari per la distribuzione dell’energia elettrica ad attacchi ad una singola stazione per più di 200 megawatt. Secondo gli analisti che lo hanno analizzato, la versione finale del malware, “CrashOverride,” era uno strumento di attacco sofisticato e specializzato per la griglia elettrica.
Dopo Stuxnet, il malware che ha attaccato gli impianti di arricchimento uranio iraniani, è stata la prima volta che un malware ha avuto impatti non solo sul mondo digitale ma anche su quello fisico. Questi attacchi sono stati attribuiti ad gruppo noto come Sandworm, successivamente identificato dagli Stati Uniti come un gruppo operativo della agenzia di intelligence militare russa, GRU.
La nascita di NotPetya
Negli stessi anni, gli stessi attaccanti hanno danneggiato un grande numero di sistemi nei sistemi delle utility ucraine, nelle agenzie informative, nei trasporti ed uffici governativi. Questi attacchi sono culminati nella programmazione e lancio di NotPetya, un worm distruttivo che si è diffuso dall’Ucraina nel 2017 e il cui principale mezzo di diffusione si ritiene sia stato un pacchetto di aggiornamenti corrotto di uno strumento di contabilità M.E.Doc dell’azienda informatica Intellect Service. Nel 2017, M.E.Doc era utilizzato dall’80% delle aziende che operavano in Ucraina e dai loro clienti. Siamo quindi di fronte ad un attacco di tipo supply chain dove un fornitore viene attaccato per includere nei suoi prodotti del malware che viene poi distribuito ai vari clienti.
Sostanzialmente NotPetya operava cancellando il boot record e la sua diffusione è stata molto veloce perché la nuova versione del malware attaccava altri sistemi sfruttando EthernalBlue, codice sviluppato da NSA e che sfutttava una vulnerabilità del protocollo SMB della Microsoft. E’ questo uno dei primi esempi che hanno confermato l’estrema flessibilità delle armi informatiche: chi è il bersaglio di un malware può trasformarlo facilmente in un arma contro chi lo aveva progettato e diffuso. L’arma è stata molto efficace anche se Microsoft aveva rilasciato da tempo una patch per risolvere la vulnerabilità ma, come sempre accade, molti degli utenti colpiti non avevano ancora applicato la patch ai loro dispositivi.
Dall’Ucraina al resto del mondo
Successivamente, è stata sviluppata una nuova versione di NotPetya più flessibile, perché se l’attacco che sfrutta la vulnerabilità fallisce, tenta di rubare le credenziali di accesso e dati amministrativi tramite una versione modificata di Mimikatz inclusa nel malware. In questo modo, il malware riesce a attaccare anche dispositivi patchati utilizzando per l’accesso le credenziali rubate.
Evidentemente, però, qualcosa è andato male, forse, perché NotPetya si è diffuso anche fuori dall’Ucraina, attaccando anche ditte che avevano sedi in Ucraina ma che operavano in tutto il mondo. Uno dei casi più eclatanti è stato quello della Merck, la ditta di logistica i cui sistemi sono stati cancellati da NotPetya e che ha potuto ricostruire tutto solo perche in una sede africana c’era un domain controller non collegato quando l’attacco ha avuto luogo.
Altri attacchi hanno coinvolto aziende e enti operanti nel settore della salute come aveva fatto WannaCry, un’altra creatura di Sandworm.
Attacco a Macron
Lo spreading di NotPetya fuori dall’Ucraina rivela che chi ha sviluppato il malware non aveva inserito nel malware tutti quei controlli che erano, per esempio, presenti in Stuxnet e che garantivano che l’attacco sarebbe avvenuto solo contro uno specifico sistema con precise caratteristiche descritto in un modello rappresentato da una struttura dati nel malware stesso. Grazie a questi controlli, Stuxnet si è diffuso ma non ha danneggiato nulla al di fuori del suo bersaglio. Come ha detto qualcuno, è evidente che dietro gli sviluppatori di Stuxnet c’era un forte ufficio legale che ha imposto precise regole di ingaggio per garantire che solo uno specifico impianto sarebbe stato danneggiato.
Gli analisti hanno anche attribuito a Sandworm, che avrebbe quindi sfruttato l’esperienza acquisita nella palestra Ucraina, attacchi a vari soggetti in Francia durante la campagna elettorale del presidente Macron, attacchi contro l’infrastruttura delle Olimpiadi Invernali del 2018 e il defacement di migliaia di siti in Georgia. Tutte queste azioni sono quelle che hanno portato all’incriminazione da parte del ministero della giustizia USA di sei militari russi e fanno parte di quella che, con un termine ancora vago ed ambiguo, viene indicata come hybrid war, una strategia di attacco che comprende azioni fisiche, attacchi cyber e diffusione di fake news mediante strumenti digitali e tradizionali. Il termine vago che si usa è forse proprio dovuto al fatto che siamo ancora in una fase sperimentale, di palestra, dove si sta ancora valutando l’efficacia del singolo meccanismo e la miscela ottimale dei meccanismi nella strategia di attacco complessivo.
Ovviamente al tutto si aggiunge anche la difficoltà della attribuzione di attacchi informatici, un punto che gioca molto a favore degli attaccanti e permette agli stati che sponsorizzano gli attacchi evitare facilmente sanzioni o embarghi finanziari.
I bersagli dei prossimi attacchi
Anche se molte discussioni sono ancora in corso sulla efficacia della hybrid war, e quindi sulla convenienza per uno stato di sostituire attacchi di classe hybrid war a quelli di una guerra tradizionale, indubbi sono i danni che un attacco cyber ben progettato può provocare. Ad esempio, la Merck ha appena vinto una causa legale contro la sua assicurazione che dovrà pagare circa 1.4 miliardi di dollari di danni e FedEx ha subito danni simili. Inoltre, si stima che NotPetya abbia causato danni in Ucraina pari circa a mezzo punto del PIL della nazione.
Un primo attacco di tipo wiper che cancella le informazioni invece di criptarle è già stato denunciato dall’Ucraina in Gennaio. Il wiper cancella inizialmente il boot record e quindi tutti i file nel sistema target siano essi documenti Word, html o php. Il wiper lascia anche una nota chiedendo un riscatto, ovviamente inutile. L’attacco del wiper è stato successivo al defacement di alcuni siti web governativi ma l’Ucraina lo ha attribuito ad un gruppo associato ai servizi speciali della Bielorussia.
È comunque lecito attendersi un crescendo di attacchi ransomware e wiper almeno come preambolo o come supporto ad altre azioni. A conferma di questa ipotesi è di pochi giorni un avviso della banca centrale europea alle varie banche su possibili attacchi da attaccanti sponsorizzati da stati. Poco prima, un avviso congiunto sulla possibilità di attacchi ad infrastrutture informatiche e di infrastrutture critiche è stato emesso da Cisa, la agenzia federale US per la sicurezza delle infrastrutture, FBI, NSA e dalle agenzie corrispondenti agenzie di Australia e UK.
Secondo questo avviso gli attaccanti potrebbero avere come bersaglio:
- infrastrutture cloud;
- Managed System Provider, cioè gestori esterni di servizi come sicurezza e monitoraggio di infrastruture come passo intermedio per raggiungere i loro clienti ed i sistemi monitorati;
- sistemi di controllo industriale;
- fornitori di software come in un classico supply chain attack.
Inoltre, buona parte di questi attacchi potrebbe avvenire nei week end o nelle vacanze per sfruttare al meglio l’assenza di parte del personale.
Le contromisure da adottare
Un punto interessante è quello di valutare quanti di questi attacchi, ammesso che avvengano, saranno mirati a uno specifico bersaglio o di massa, indiscriminati. Mentre un attacco mirato stile Stuxnet può essere visto come un messaggio da interpretare in un contesto più ampio, l’attacco indiscriminato, stile NotPetya, che sfrutti vulnerabilità non ancora note, sarebbe un segnale molto più preoccupante, indice di una tensione elevatissima. Poco significativi sarebbero invece attacchi di tipo DDoS che non provocano danni permanenti e in generale non particolarmente sofisticati. A livello di stati questi attacchi sono poco più di semplici provocazioni.
Le agenzie forniscono anche una lista di contromisure da applicare per ridurre o eliminare il rischio dovuto ad attacchi. La lista è ormai ben nota e comprende strategie quali l’applicazione di patch, la segmentazione delle reti, hardening dei sistemi, autenticazione a più fattori e controllo del traffico in uscita. Ovviamente possiamo sperare che sia una occasione buona per seguire alcuni se non tutti di questi consigli ma siamo molto pessimisti non è certo la prima volta che agenzie, enti, best practices e standard richiedono l’adozione di queste soluzioni ma per anni, forse decenni ormai, sono state disattese sperando che arrivasse l’elisir che senza costo, senza fatica, senza competenze rendesse tutto sicuro.
Una questione di vulnerabilità
A conferma del pessimismo invitiamo a consultare, sul sito della CISA, un elenco delle vulnerabilità che sono state usate in alcuni attacchi. La lista contiene vulnerabilità che sono note dal 2012, ovvero da circa 10 anni, e che le aziende e gli enti non hanno ancora patchato.
Un’altra lista sul sito CISA elenca le vulnerabiità che gli enti federali devono, obbligatoriamente, patchare entro febbraio 2022. Anche qui l’età della vulnerabilità è sorprendentemente elevata e indica la necessità di adottare e poi applicare politiche di patching diverse da quelle fino ad ora usate.
È un mondo strano quello in cui solo la paura di una guerra e tutto ciò che ne consegue può spingere finalmente a rimediare a problemi vecchi di decenni senza attendere soluzioni miracolose.
