La Russia sta giocando su diversi tavoli usando l’arma della cyber security come potente nuovo strumento negoziale, in questo massimo momento di tensione con gli Stati Uniti.
Mentre minaccia di invadere l’Ucraina con 100mila soldati ai confini – mossa che sta tenendo in sospeso a lungo, forse un bluff – la attacca sul piano “grigio” della cyber, come aveva già fatto in passato in vari modi.
Al tempo stesso collabora con gli Stati Uniti arrestando una delle più pericolose gang, REVil, che aveva causato importanti danni agli USA.
A che gioco sta giocando la Russia? Un gioco complesso, perché sa di non potersi permettere uno scontro diretto con l’Occidente né militare né economico; ed è un gioco – elemento nuovo – dove la cyber svolge un ruolo importante, non solo offensivo.
Indice degli argomenti
L’arresto della gang Revil
Cominciamo con quello che secondo molti esperti è la principale mossa della Russia contro il cyber crime e che da tempo era invocata dagli USA. Il premier Putin, com’è noto, finora aveva lasciato abbastanza libertà di azione ai criminali cyber che attaccavano l’Occidente, quando non se n’era servito direttamente per interessi nazionali, spionaggio e boicottaggio.
Il governo russo venerdì ha detto di aver arrestato i membri del prolifico gruppo criminale ransomware noto come REvil, che è stato accusato di grandi attacchi contro le imprese e le infrastrutture critiche degli Stati Uniti, interrompendo le sue operazioni su richiesta delle autorità statunitensi.
Il servizio di sicurezza russo, l’FSB, ha detto in un comunicato stampa online di aver fermato le “attività illegali” di REvil e sequestrato i fondi appartenenti al gruppo da più di due dozzine di residenze a Mosca, San Pietroburgo e altrove. I membri di REvil sono stati arrestati in relazione alle accuse di riciclaggio di denaro, ha detto l’FSB. Non ha fornito i nomi di nessuno dei sospetti.
Gli arresti includono “il responsabile dell’attacco alla Colonial Pipeline la scorsa primavera”, un’offensiva ransomware particolarmente devastante che ha portato il principale condotto di carburante sulla costa orientale degli Stati Uniti ad essere chiuso per giorni, ha detto un alto funzionario dell’amministrazione Biden. Una diversa banda russa di ransomware era stata precedentemente collegata all’hack di Colonial, ma gli esperti di sicurezza e i funzionari hanno detto che non sono ben definiti e che i singoli hacker spesso si sovrappongono.
Il gruppo è una delle bande ransomware più famose in Russia ed è stato accusato di grandi attacchi l’anno scorso negli Stati Uniti che hanno interrotto le operazioni di un importante fornitore di carne, per il quale ha ottenuto un pagamento di riscatto di 11 milioni di dollari, e un altro attacco che ha colpito circa 1.500 imprese.
“Accogliamo con favore le notizie che il Cremlino sta prendendo misure di applicazione della legge per affrontare il ransomware all’interno dei suoi confini”, ha detto il funzionario.
La TASS, l’agenzia di stampa statale russa, ha detto che 14 membri di REvil sono stati arrestati. Un video del governo russo pubblicato online dalla TASS venerdì ha mostrato clip di forze dell’ordine russe che entrano con la forza in appartamenti, arrestando i sospetti i cui volti sono offuscati, e contando grandi mazzette di valuta russa e americana. La TASS ha identificato una delle persone arrestate come Roman Muromsky.
Gli analisti hanno detto che il tempismo dell’azione è stato notevole perché è arrivato insieme alle crescenti tensioni tra Russia e Ucraina, mentre gli sforzi degli Stati Uniti e della NATO finora per alleviare la situazione sembrano aver vacillato.
“Questa è la diplomazia russa del ransomware”, ha detto Dmitri Alperovitch, presidente del Silverado Policy Accelerator, un think tank sulla cybersicurezza con sede a Washington. “È un segnale per gli Stati Uniti – se non emanate severe sanzioni contro di noi per l’invasione dell’Ucraina, continueremo a collaborare con voi sulle indagini ransomware”.
L’alto funzionario dell’amministrazione ha detto che il giro di vite di venerdì “non è legato a ciò che sta accadendo con la Russia e l’Ucraina”, e che gli Stati Uniti sono stati chiari sulle sanzioni che Mosca dovrà affrontare se invade il suo vicino.
L’inizio di una cooperazione cyber USA-Russia?
Dalla scorsa estate, i funzionari statunitensi e russi hanno conversazioni bilaterali per la cooperazione sulla cyber. Alcune di queste conversazioni includevano la condivisione da parte degli Stati Uniti di nomi e informazioni specifiche con la Russia sugli hacker identificati come operatori di ransomware, Fino ad ora ci sono state poche prove pubbliche che Mosca stesse collaborando. Gli arresti sono un primo importante segnale.
Non è detto tuttavia che sia l’inizio di una vera cooperazione cyber tra le potenze. Primo perché in passato la Russia dopo avere fatto arresti simili ha poi rilasciato i sospetti per arruolarli per attività cyber governative. Ma soprattutto la mossa sembra soprattutto finalizzata a dare un’assaggio di possibile collaborazione ed evitare l’inasprirsi dei rapporti.
La Russia teme nuove sanzioni americane, per le tensioni sull’Ucraina, fino a una possibile esclusione dai circuiti finanziari internazionali.
Così, sta scegliendo un percorso “grigio”, da nuova guerra fredda: da una parte mostra possibile collaborazione sul cybercrime, senza sbilanciarsi; dall’altra evita di sbilanciarsi troppo anche sul piano offensivo: sull’Ucraina tiene acceso il fronte con attacchi cyber e per ora solo movimenti di truppe ai confini.
L’attacco all’Ucraina
Vari siti governativi ucraini hanno subito defacement tramite l’exploit di una vulnerabilità della piattaforma web in comune. Anche, un ransomware ha paralizzato servizi governativi, senza una struttura per accettare il pagamento del riscatto; quindi l’obiettivo era solo quello di fare il massimo danno possibile.
“Tutte le prove indicano che la Russia è dietro il cyberattacco”, ha detto il Governo ucraino. “Mosca continua a condurre una guerra ibrida e sta attivamente costruendo le sue forze nei settori dell’informazione e del cyberspazio”. Ma il ministero non ha fornito alcuna prova, e le prime attribuzioni degli attacchi sono spesso sbagliate o incomplete.
Gli Stati Uniti, con la collaborazione di Microsoft, stanno indagano. Il presidente Biden ha detto che non si stupirebbe se ci fosse la Russia, dietro gli attacchi.
Microsoft sta collaborando con l’Ucraina per risolvere. In passato gli Stati Uniti hanno aiutato l’Ucraina a potenziare le proprie difese cyber.
La cyber-war, come si vede, è ormai anche un campo di alleanze.
L’antagonismo tra Ucraina e Russia ribolle dal 2014, quando l’esercito russo ha attraversato il territorio ucraino, annettendo la Crimea e fomentando una ribellione a est.
C’è stato nel 2014 un attacco alla Commissione elettorale centrale dell’Ucraina durante le elezioni presidenziali, in cui la Russia ha cercato senza successo di cambiare il risultato. Nel 2015, il primo di due grandi attacchi alla rete elettrica dell’Ucraina ha spento le luci per ore in diverse parti del paese, anche a Kiev, la capitale.
E nel 2017, le imprese e le agenzie governative in Ucraina sono state colpite da un software distruttivo chiamato NotPetya, che ha sfruttato i buchi in un tipo di software di preparazione delle tasse che era ampiamente utilizzato nel paese. L’attacco ha chiuso fasce dell’economia e ha colpito anche FedEx e la compagnia di navigazione Maersk; i funzionari dell’intelligence americana l’hanno poi ricondotto ad attori russi. Quel software, almeno nel suo design generale, ha una certa somiglianza con quello di cui Microsoft ha avvertito sabato.
Il nuovo attacco cancellerebbe i dischi rigidi e distruggerebbe i file.
John Hultquist, uno dei principali analisti di cyberintelligence di Mandiant, ha detto domenica che la sua azienda ha detto ai suoi clienti “di prepararsi per attacchi distruttivi, compresi gli attacchi che sono progettati per assomigliare al ransomware”.
Ha osservato che l’unità di hacking russa nota come Sandworm, che è stata poi strettamente legata all’agenzia di intelligence militare russa, il G.R.U., ha trascorso gli ultimi anni a sviluppare “mezzi più sofisticati di attacco alle infrastrutture critiche”, tra cui nella rete elettrica dell’Ucraina.
“Hanno anche perfezionato il falso attacco ransomware”, ha detto Hultquist, riferendosi agli attacchi che sono destinati, in un primo momento, a sembrare uno sforzo di estorsione criminale, ma sono in realtà destinati a distruggere i dati o paralizzare un servizio elettrico, un sistema di approvvigionamento di acqua o gas, o un ministero del governo. “Lo stavano facendo prima di NotPetya, e ci hanno provato molte volte dopo”.
Ricordiamo che tra le armi “cyber” della Russia ci sono anche le campagne di disinformazione.
Attacchi russi all’Occidente
E non c’è solo l’Ucraina tra le vittime possibile. Ogni volta che la Russia si scontra con l’Ucraina, gli attacchi cyber finiscono per colpire anche aziende e infrastrutture critiche occidentali, come accaduto con NotPetya, perché i malware viaggiano – con intento distruttivo – dai computer delle reti ucraine a quelli dei loro clienti e fornitori anche occidentali.
Gli analisti temono anche questo scenario, adesso. E non è mai stato chiarito se lo spill-over degli attacchi, dall’Ucraina all’Occidente, sia stato non intenzionale o voluto dal Governo russo.
Insomma, aziende e Nazioni stiano in guardia.
Paganini: “il nuovo ruolo geo-politico della cyber”
La cyber war si mostra quindi un’arma tattica a molteplice valenza, in sinergia con fronti economici (sanzioni) e militari.
Come ci dice Pierluigi Paganini, noto esperto cyber, “quanto sta accadendo nelle ultime ore è dimostrazione di come il conflitto e le tensioni tra stati abbiano un riflesso significativo nel cyberspazio e viceversa. L’osservazione delle campagne di spionaggio e sabotaggio degli attori nation-state è una componente essenziale nella moderna intelligence. Spesso schermaglie nel cyberspazio sono preludio ed evidenza di operazioni militari in corso, ed i recenti attacchi alle infrastrutture ucraine non fanno eccezione”.
“L’attore coinvolto nei recenti attacchi parrebbe essere parte dell’apparato di intelligence bielorussa, nozione assoggettata di fatto al governo russo. I defacement e gli attacchi che utilizzano wiper mascherati da ransomware sono parte di una strategia militare complessa, di un’azione che molti analisti possa coadiuvare una azione militare convenzionale che veda le trippe di Mosca invadere il territorio ucraino”, dice Paganini.
“Fa discutere tuttavia anche il colpo assestato dall’intelligence Russa ad una delle principali gang ransomware, il gruppo REVil. È casuale che accada proprio in concomitanza degli attacchi all’Ucraina? Gli attacchi ransomware che hanno preso di mira infrastrutture di tutto il mondo sono fonte di grande preoccupazione da parte dei governi occidentali, gli Stati Uniti in primis, come confermato in occasione dell’incontro in presenza tra il Presidente Biden e Putin”.
“Che l’impegno del Cremlino nel fronteggiare l’azione criminale di questi gruppi organizzati con base in Russia sia frutto della volontà di mediare una risposta dura degli Stati Uniti e della Nato alla aggressiva politica internazionale della Russia? In molti pensano che sia così, persino gli stessi gruppi ransomware”, concorda Paganini.
“In ottobre il gruppo ransomware Groove ha invitato altri gruppi di ransomware ad attaccare il settore pubblico statunitense dopo che un’operazione delle forze dell’ordine internazionali aveva smantellato temporaneamente l’infrastruttura della banda di REvil. Significativo un passaggio della chiamata alle armi della gang Groove il cui messaggio chiedeva anche ad altre bande di ransomware di evitare di prendere di mira le società cinesi, perché la Cina potrebbe rappresentare un luogo sicuro per le bande di ransomware nel caso in cui la Russia smettesse di tollerare le operazioni di ransomware”.
Di certo non è finita qui. Non è chiaro se vedremo un aumento di attacchi e/o di segnali di collaborazione nel breve. Di certo il peso della cyber nei rapporti tra gli Stati, nemici e alleati, è destinato ad aumentare. Un altro fronte di attenzione è quello tra Cina e Taiwan, con gli Usa nel mezzo.
Cyberwar, tra Taiwan e la Cina il fronte caldissimo dello scontro
