La Russia sta bombardando l’Ucraina e così anche la guerra cibernetica che prima era fredda adesso è diventata calda. Nelle scorse settimane si sono moltiplicate le notizie di attacchi a bassa intensità che hanno messo offline siti di banche e ministeri in Ucraina, senza conseguenze particolarmente gravi per i cittadini. Ma non sappiamo quello che accadrà adesso che Putin ha rivendicato l’azione militare speciale per difendere, dice, le autoproclamate repubbliche di Lugansk e Donetsk. Mentre la comunità internazionale condanna l’aggressione russa, si combatte la disinformazione e si proteggono le infrastrutture critiche dei paesi coinvolti nella reazione agli attacchi.
Nell’ultimo decennio, infatti, nation state hackers sponsorizzati dalla Russia hanno utilizzato il cyber come componente chiave della loro proiezione di forza, che include la disabilitazione o la distruzione di infrastrutture critiche, inclusi energia, trasporti e comunicazioni e ci aspettiamo che continui ad accadere.
Per difendere Stati Uniti e Alleati di fronte all’escalation militare in Ucraina è da tempo scesa in campo anche l’americana Cybersecurity and Infrastructure Security Agency (CISA), che già prima dell’invasione ha rilasciato una serie di allarmi insieme all’FBI e alla NSA, l’Agenzia per la sicurezza nazionale. Uno di questi, indirizzato agli appaltatori della difesa, enuncia uno per uno i rischi che provengono dagli hacker russi.
Il motivo è utile ribadirlo: negli ultimi due anni, le entità attaccate hanno incluso appaltatori della difesa che supportano l’esercito, l’aeronautica, la marina degli Stati Uniti, perfino la space force degli Stati Uniti e la comunità di intelligence, bersagli in possesso di informazioni sensibili su esportazione e sviluppo di armamenti, infrastrutture di comunicazione, ricerca tecnologica e scientifica.
Le tre agenzie delineano le attività e le tattiche utilizzate dai cyber attori sponsorizzati dallo stato russo che includono:
- tecniche di forza bruta per identificare credenziali account valide per account di dominio e per ottenere l’accesso iniziale alle reti;
- e-mail di spear-phishing con collegamenti a domini dannosi, per bypassare gli strumenti di scansione di virus e spam;
- utilizzo di credenziali rubate e vulnerabilità note per scalare i privilegi e eseguire codice remoto su applicazioni esposte;
- mappatura di Active Directory e connessione ai controller di dominio, che consentirebbe l’esfiltrazione delle credenziali.
“Negli ultimi anni, gli attori informatici sponsorizzati dallo stato russo sono stati persistenti nel prendere di mira gli appaltatori della difesa autorizzati dagli Stati Uniti per ottenere informazioni sensibili”, ha affermato Rob Joyce, Direttore della NSA Cybersecurity.
Ma questo è stato vero anche per molti paesi alleati. Si pensi agli attacchi ransomware verso la francese ThalesGroup.
L’Italia rischia ritorsioni dalla Russia: si prepari a una cyberwar
Indice degli argomenti
La disinformazione
Come è apparso evidente dai discorsi fatti da Putin per mobilitare i filorussi e anticipare critiche e condanne, la disinformazione è ancora un’arte in cui l’ex uomo del KGB eccelle, in omaggio alla tradizione, molto russa, della disinformatja. In omaggio alla “dottrina” della guerra ibrida del suo generale Valerj Gerasimov, i social e tutti i mezzi di comunicazione saranno probabilmente inondati da notizie false, mezze verità e fatti verosimili per conseguire un presunto vantaggio diplomatico iniziale.
Però, mentre l’Unione Europea ha emanato delle linee guida pensate per i semplici cittadini, già prima delle dichiarazioni di Putin il 18 febbraio la CISA aveva diramato una serie di consigli su come mitigare i rischi che derivano da cattiva informazione e disinformazione sotto forma di vademecum. La guida ha lo scopo di sensibilizzare in particolare i gestori delle infrastrutture critiche per garantire un rapido coordinamento nella condivisione delle informazioni e comunicare informazioni accurate e affidabili per rafforzare la resilienza.
“Dobbiamo essere preparati al potenziale delle operazioni di influenza straniera che impattano negativamente su vari aspetti della nostra infrastruttura critica con le tensioni geopolitiche in corso tra Russia e Ucraina”, aveva affermato il direttore della CISA Jen Easterly.
Per questo la CISA ha incoraggiato tutti i proprietari di infrastrutture critiche a identificare le vulnerabilità, istruire il personale sulla corretta igiene informatica e implementare un piano di risposta agli incidenti, a cominciare dalla preparazione del personale su come gestire le informazioni, sia nel rapporto coi media che con i social network fino al coinvolgimento degli stakeholder.
Il supermercato della sicurezza
Quando la CISA si muove lo fa a ragione veduta e alcuni giorni fa ha compilato un elenco degli strumenti e dei servizi di sicurezza gratuiti più popolari, che possono essere utilizzati dalle agenzie federali negli Stati Uniti e dai privati per aumentare le proprie misure di sicurezza.
Disponibile in un repository, l’elenco include strumenti e servizi forniti da CISA, nonché software open source utilizzato nei settori pubblico e privato dall’intera comunità della cybersecurity per ridurre la probabilità di un incidente informatico dannoso, rispondergli subito e in maniera efficace aumentando la resilienza dell’ecosistema
Perché tutto questo accada ricorda di implementare meccanismi di sicurezza standardizzate:
- correzione delle vulnerabilità note: mantenere il proprio software sempre aggiornato all’ultima versione disponibile al fine di prevenire lo sfruttamento di falle di sicurezza note;
- autenticazione a più fattori: aggiunge un ulteriore livello di sicurezza per gli account online e i dati ad essi collegati, previene l’abuso di password per accedere a piattaforme protette trapelate in incidenti di sicurezza;
- eliminare le pratiche rischiose: sono la principale causa di incidenti di sicurezza informatica. Attività come la sostituzione di software fuori produzione, la modifica delle password predefinite o l’utilizzo di strumenti di sicurezza aggiuntivi rafforzeranno la protezione dagli attacchi informatici nella propria organizzazione;
- utilizzo di CISA Cyber Hygiene Vulnerability Scanning: le organizzazioni possono abbonarsi a questo servizio automatizzato per valutare i propri sistemi e applicare le misure di sicurezza pertinenti. CISA esegue una scansione dettagliata delle vulnerabilità e fornisce un rapporto settimanale agli abbonati, rendendolo un processo che non ha nemmeno un impatto sulle operazioni delle organizzazioni di utenti;
- Stuff Off Search (S.O.S.): mentre combattono le minacce alla sicurezza più rischiose, gli amministratori di sistema possono trascurare i rischi meno noti. Implementando Stuff Off Search, le superfici di attacco su Internet diventano visibili e diventa più facile contenere un potenziale attacco.
Per prevenire tutti i rischi, le varianti del malware, le vulnerabilità Cisa invita ad accedere al sito dell’International Institute of Cyber Security (IICS) per rimanere aggiornati sui pericoli vecchi e nuovi.
Il rischio zero sappiamo non esistere, ma la logica di chi si difende nel cyberspace deve essere quella di rendere più difficili e costose possibili le azioni degli attaccanti.
