Per anni si è detto e letto che la prossima guerra importante, e non il solito scontro asimmetrico, avrebbe sicuramente visto la cyberwarfare come grande protagonista. C'era addirittura chi escludeva la possibilità di grossi conflitti armati e il trasferimento delle ostilità a livello completamente cibernetico. Il conflitto seguito all'invasione russa dell'Ucraina (o "operazione militare speciale", come la chiamano al Cremlino), ha invece largamente smentito queste profezie, mettendoci di fronte ad una guerra abbastanza tradizionale, fatta di fanteria, carri armati, artiglieria, imboscate, combattimenti urbani. L'elemento più innovativo, è stato invece l'utilizzo dei social media. In sostanza, ci si aspettava una cyber war, mi si sta vivendo piuttosto una "social war", dato l'intenso utilizzo dei social media sia per ragioni di propaganda che di intelligence sul campo, ma di questo ci occuperemo in un'altra occasione. Malgrado questo, sono state finora registrate, ad un mese dall'inizio delle ostilità, diverse azioni da parte di gruppi di hacktivist o gruppi criminali legati o meno agli Stati, che hanno in qualche modo fornito il loro contributo al conflitto o lo stanno sfruttando per i propri scopi illeciti.
L'attacco KA-SAT e l'arrivo di Starlink
Pochi giorni prima dell'inizio della guerra, l'intelligence USA aveva avvisato come i sistemi informatici delle telecomunicazioni, dell'energia e delle forze armate ucraine fossero stati fortemente compromessi da attività malevole russe. Smentendo dunque in parte quanto scritto nell'introduzione, almeno una grossa operazione di vera e propria cyberwarfare ha avuto luogo. Il Washington Post riporta, infatti, in un articolo uscito venerdì 25 marzo, come la comunità di intelligence statunitense attribuisca ad ambienti militari russi – al GRU, il Servizio di intelligence militare di Mosca - l'attacco alla rete di connessione satellitare che ha messo ko le comunicazioni militari delle forze armate ucraine il primo giorno di guerra (il 24 febbraio). Ad essere stati colpiti sono stati migliaia di modem della rete Viasat europea, che fornisce servizi di internet via satellite, indipendenti da quelli delle reti terrestri, ed ha un contratto con il governo ucraino per le forze armate e di polizia. È stata sostanzialmente disabilitata la capacità di questi modem di connettersi al satellite KA-SAT. Questi servizi vengono utilizzati, per esempio, per permettere la comunicazione con sistemi che si trovano in zone remote, infatti l'attacco ha degradato le capacità di monitoraggio a distanza di alcune turbine a vento per la produzione di elettricità in Europa centrale. Oltre all'Ucraina, sono stati colpiti terminali di diversi Paesi, tra i quali Germania, Grecia, Ungheria, Polonia e Italia, ma non tutta la rete. Dalle prime valutazioni, gli analisti hanno verificato come il cyberattacco abbia danneggiato e reso inoperativi e probabilmente non riparabili i terminali colpiti. L'agenzia di stampa Reuters aveva in precedenza riportato la versione ufficiale della Viasat secondo la quale gli attaccanti hanno operato una "cattiva configurazione della management section". L'ipotesi più plausibile al momento, presentata da analisti indipendenti, è che sia stato attaccato il NOC (Network Operations Center) o, più probabilmente, uno dei 10 gateway del sistema, probabilmente quello che copre l'Ucraina, modificando uno dei protocolli di controllo dei terminali, introducendo un firmware dannoso. Il danneggiamento di modem in altri Paesi, dunque, sarebbe stato solo un effetto secondario dell'azione.
Il colpo alle capacità di comunicazioni ucraine ha ricevuto una pronta risposta. Un paio di giorni dopo l'inizio dell'operazione militare russa in Ucraina, Elon Musk, fondatore di Tesla e SpaceX, ha annunciato di voler aiutare Kiev e, il 28 febbraio, sono arrivati i primi kit di connessione alla rete internet satellitare Starlink. È stato l'attivissimo ministro della Trasformazione Digitale (e vicepremier) Mykhailo Fedorov a comunicare la notizia tramite il suo account Twitter @FedorovMykhailo, un vero e proprio strumento di social war in questi giorni, postando una foto di un primo carico di alcune decine di scatole contenenti il kit per la connessione: antenna, router wifi e treppiedi. Non è noto quanti kit verranno mandati in totale a supporto delle comunicazioni in Ucraina, ma, stando a quanto dichiarato dalla presidente della società Starlink Gwynne Shotwell alla CNBC, si tratta di migliaia di unità, finanziate da donatori privati.
Nel momento in cui si scrive, l'attacco che ha danneggiato migliaia di terminali Viasat in Europa è stato quello di maggiore rilevanza attribuibile ad uno degli attori statali coinvolti direttamente o indirettamente. È ipotizzabile che ci siano stati e continueranno ad esserci altri episodi, alcuni dei quali verranno rivelati in futuro, altri mai. Per ora, possiamo attenerci a quanto comunicato da soggetti che si occupano di cybersicurezza, come per esempio il Google's Threat Analysis Group (TAG), che aggiorna costantemente l'elenco delle minacce. Proprio il Google TAG ha identificato in FancyBear, o APT28, ritenuto un'unità del Servizio di intelligence militare russo GRU, una campagna di phishing ai danni di utenti ucraini. Ad essere stato colpito, è stato in particolare il sito della società di media UkrNet, tramite l'utilizzo di indirizzi email compromessi e di link che rimandavano a domini Blogspot realizzati dagli attaccanti, che ridirigevano gli utenti, ignari, ad una pagina dove venivano loro sottratte le credenziali.
Il ruolo dei gruppi di hacker non statali
Lo scoppio della guerra ha però visto un altro fenomeno ben più in vista rispetto alle operazioni statali: la mobilitazione della comunità degli hacker (NdA:li chiamiamo così per comodità).
In un tweet del 26 febbraio, il ministro Mykhailo Fedorov ha convocato i volenterosi a partecipare alla creazione di un "IT army", un esercito cibernetico ucraino, con tanto di canale Telegram. Gli informatici accorsi hanno messo a disposizione la loro maggiore o minore esperienza e capacità.
Nel campo dei black hat, invece ci sono state alcune prese di posizione palesi. Il forum RaidForums, frequentato da specialisti di sicurezza informatica molto disinvolti, diciamo così, ha preso una chiara posizione anti-russa, comunicando il ban degli utenti collegati dalla Russia. Il celebre gruppo di cybercriminali russo Conti, specializzato in ransomware, ha invece in un primo momento annunciato ufficialmente il proprio supporto alle azioni del Cremlino, salvo rettificare poco dopo, sganciandosi dall'appoggio al governo, ma promettendo ritorsioni contro "l'Occidente" in caso di attacchi a infrastrutture critiche in territorio russo. Sostegno pieno al governo russo è stato invece promesso da un gruppo meno noto, CoomingProject, anch'esso operante con i ransomware. La presa di posizione del Conti Team ha avuto un brutto risvolto per la gang. Pochi giorni dopo, infatti, ha subito una grave perdita di informazioni: sono stati resi pubblici per mezzo di un account Twitter @ContiLeaks 150 indirizzi di wallet di criptovalute, indirizzi IP della banda, decine di migliaia di messaggi in chat tra i componenti, ma, soprattutto, il codice sorgente del loro temuto ransomware. Secondo alcune fonti stampa, il responsabile sarebbe un infiltrato ucraino nel gruppo, ma chi scrive con l'account Twitter @ContiLeaks ha smentito.
La mobilitazione pro-ucraina sta coinvolgendo anche gruppi di altri Paesi. Significativo la serie di attacchi lanciata ai danni di computer, modem e router della rete ferroviaria bielorussa da parte del gruppo anti-Lukashenko Belarusian Cyber-Partisans, che ha costretto a rallentare il traffico dei convogli e quindi il funzionamento di un'infrastruttura coinvolta nel dispiegamento di truppe russe in Ucraina, obbligando gli operatori ferroviari ad operare spesso in modalità manuale.
Il capitolo Anonymous
Il collettivo di hacktivist Anonymous è sceso in campo sin dal primo giorno di guerra con una vasta gamma di azioni di tipo diverso contro il governo russo. A differenza di altre operazioni cyber, l'ingresso nelle ostilità da parte di Anonymous è assurto all'onore delle cronache dei mass media. Già il 26 febbraio, qualcuno del gruppo è riuscito a mandare in onda su diversi canali delle TV statali russe 12 minuti di immagini della guerra, mentre il Tweet fissato dal 27 febbraio di uno degli account del collettivo è una vera e propria dichiarazione di guerra nei confronti del presidente russo Vladimir Putin. Un'altra azione eclatante è stata quella di pubblicare un video nel quale un foglio con 4 maiali viene piegato fino a formare il volto di Putin, ripercorrendo le gesta di un vecchio volantino inglese anti-hitleriano della II Guerra Mondiale. Molto più rilevante dal punto di vista informatico e informativo è invece l'esfiltrazione di 28 GB di dati dalla Banca Centrale russa, operazione portata a termine dal gruppo collegato Black Rabbit World. Anonymous non ha colpito solo le strutture statali e governative, ma, come promesso, anche le aziende occidentali che non hanno lasciato le proprie attività in Russia. Sono ad esempio stati sottratti 10 GB di dati della Nestlé, la grande e nota multinazionale del settore alimentare, la quale ha però smentito il fatto, dicendo che si tratta di informazioni già uscite per errore in precedenza. C'è da aspettarsi altre azioni orientate all'impatto sul grande pubblico da parte del gruppo.
Scambi di attacchi DDoS
In questa guerra nella quale si stanno vedendo tante cose d'altri tempi come le trincee o i carri T-72 e T-64 (aggiornati), una piccola ma vistosa apparizione la sta facendo anche una vecchia conoscenza del mondo della cybersicurezza: gli attacchi DDoS (Distributed Denial of Service). Questa tecnica, che consiste genericamente nel generare una forte quantità di traffico per bloccare il funzionamento di un servizio in rete, è stata utilizzata da tutti e due gli schieramenti.
Hanno subito attacchi, presumibilmente da parte russa, diversi siti dei ministeri ucraini e portali di notizie e informazione. Google è intervenuta in soccorso delle vittime offrendo il proprio Project Shield, un servizio gratuito sviluppato appositamente per la difesa da attacchi DDoS di siti di giornalismo, organizzazioni umanitarie e politiche.
Anche la Russia ha subito attacchi DDoS, come denunciato dal National Coordination Center for Computer Incidents (NKTsKI: è una sorta di CERT-Cyber Emergency Response Team russo, creato nel 2018) dello FSB (il servizio di sicurezza federale russo), che ha pubblicato una lista di più di 17.000 indirizzi IP utilizzati per eseguirli, senza indicare mandanti. Sono stati colpiti siti ministeriali, pagine dei canali di informazione e colossi dell'industria della difesa come Rostec. Accanto al semplice DDoS, in altre occasioni si sono verificati attacchi di defacing (cambiare la home page o le pagine interne di un sito), anch'essi eseguibili da personale non troppo esperto e senza il bisogno di supporto da parte di strutture statali.
L'attivismo di attori terzi
Se lo scontro tra attori russi e ucraini è ovvio, c'è da rilevare un certo interventismo anche da parte di altri soggetti. Il 15 marzo, Billy Leonard, il Security Engineer del già citato Google TAG, ha reso noto, tramite il suo profilo Twitter, che è stato identificato un attore cinese, sostenuto dallo Stato, impegnato a colpire obiettivi istituzionali in Ucraina, e di aver avvisato le vittime. Né il Google TAG, né l'anonimo collettivo che si firma Intrusion Truth, specializzato in minacce cyber cinesi, hanno identificato al momento l'autore delle incursioni, che sembra però molto allineato agli interessi di Pechino.
In aggiunta alle operazioni specificamente legate alle vicende belliche, è stato rilevato anche un incremento di altre tipologie di crimini già noti. È il caso delle operazioni di phishing del gruppo cinese Mustang Panda, noto anche con i nomi di Temp.Hex e TA416, che colpiscono uffici diplomatici dell'Unione Europea fingendosi personale delle Nazioni Unite sin dall'agosto 2020. Secondo un report della società californiana Proofpoint, questa gang avrebbe intensificato le proprie operazioni nell'ultimo mese, senza peraltro impegnarsi nel mutare tecnica, mantenendo così una forte riconoscibilità. Le attività del gruppo sono caratterizzate dall'utilizzo di Web Bug - immagini invisibili, in linea di massima delle dimensioni di un solo pixel – inseriti in email per profilare il target e valutarne l'inclinazione "ad aprire email che utilizzano contenuti di ingegneria sociale". Solo in un secondo momento viene rilasciato l'indirizzo URL DropBox tramite il quale entra in azione il malware PlugX, appartenente alla famiglia dei RAT (Remote Access Trojan). La ragione per la quale l'attività di questo gruppo sia aumentata dall'inizio delle operazioni militari russe in ucraina non è chiara.
Al gruppo Ghostwriter, o UNC1151, che la società Mandiant aveva ricondotto con un buon grado di certezza al governo bielorusso, sono state attribuite attività ostili nei confronti di obiettivi militari e governativi sia ucraini che polacchi. Si tratta anche in questo caso di una campagna di phishing che ha colpito servizi di posta elettronica di diversi provider (i.ua; meta.ua; rambler.ru; ukr.net; wp.pl; yandex.ru). Presentandosi come fornitori dei servizi, gli attaccanti invitano l'utente a cliccare su un indirizzo per confermare le proprie credenziali e non vedere il proprio account cancellato, come è stato spiegato via Facebook dalle autorità.
Avviandosi alla conclusione, è opportuno citare il caso di un programmatore, dedito al mantenimento di librerie e noto tramite il suo nickname RIAEvangelist, che ha preso l'iniziativa personale di aggiungere del codice malevolo ad un diffuso pacchetto open source, node-ipc, con l'obiettivo di cancellare i dati degli utenti in Russia e Bielorussia (geolocalizzando l'IP), sostituendoli con un cuoricino o, in una seconda versione, salvare un messaggio di pace nel computer di chi ha scaricato il software. Il problema di un'operazione del genere (protestware) sta nel fatto che abbiamo un singolo autore che mette in crisi un'intera supply chain, mettendo così a rischio un grande numero di progetti e gettando un'ombra sul mondo open source, sul quale si basa tanta parte delle capacità del web di oggi.
In conclusione
È probabile che siano in corso molte più operazioni di cyberwarfare operate da attori statali rispetto a quelle che sono state identificate. Ci vorrà del tempo per saperne di più. Nel frattempo, si può notare come la chiamata al soccorso da parte dell'Ucraina non abbia mobilitato solo aiuti umanitari e combattenti "fucile in spalla", ma anche il variegato mondo dei cosiddetti hacker, dai meno preparati, che possono contribuire con i facili ma fastidiosi attacchi DDoS, fino ai professionisti dell'attivismo digitale più sofisticato o, addirittura, gruppi criminali che decidono di fare la loro parte nel conflitto. L'elemento dell'identità nazionale non è sempre vincolante, perché nel mondo digitale gli schieramenti possono essere molto diversi da quelli determinati dai confini delle carte geografiche. Sarà interessante anche capire quanti cyber criminali stiano approfittando della confusione del periodo per ottimizzare la propria operatività, dato che si sono già viste, per esempio, truffe sulle donazioni. L'allerta di tutti gli operatori del settore della sicurezza informatica è però molto alto.