La cyberguerra russa

DI TEA SAMANIC GHILARDI

22 marzo 2022

La guerra perpetrata dalla Russia di Putin nelle ultime settimane contro il popolo ucraino si sta guadagnando l’attenzione e l’orrore di tutto il mondo, una guerra che si differenzia dalle precedenti per l’ampio utilizzo di strumenti di offesa ibridi, tra i quali la guerra cybernetica. Trattasi di una strategia largamente utilizzata dal governo russo più o meno direttamente anche in passato, vantando numerosi episodi di hackeraggio ai danni dei governi occidentali, in modo particolare degli Stati Uniti, che hanno portato ad una escalation di tensione diplomatica e di reciproche sanzioni al cui apice si possono collocare i recenti fatti.

Il contesto attuale


Ciò che sta avvenendo in Ucraina nelle ultime settimane è da considerarsi senza dubbio un evento di gravità eccezionale e un unicum nella storia europea dalla Seconda Guerra Mondiale. A seguito della dichiarazione d’indipendenza delle repubbliche separatiste del Donetsk e del Luhansk, nella regione ucraina del Donbass, il presidente russo Vladimir Putin ha riconosciuto la legittimità di tali repubbliche e pertanto l’annessione del Donbass al territorio russo. Utilizzando come casus belli “le violenze perpetrate dal governo ucraino nei confronti della popolazione filorussa ivi presente”, ha varcato militarmente il confine ucraino commettendo di fatto una vera e propria invasione e una violazione della Sovranità di Stato tutelata dal diritto internazionale. Si tratta solo dell’ultimo episodio di una guerra che va avanti da anni, dal 2014 più precisamente, con la cacciata di Yanukovich e con la guerra di Crimea, conclusasi però senza una reale risoluzione con gli accordi di Minsk nello stesso anno. Due sono però i fronti su cui la Russia attacca il popolo ucraino: quello militare e quello informatico. A far infatti parte delle strategie di attacco utilizzate dal governo russo vi sono anche una serie di cyberattacchi e offesa informatica volti a debilitare i servizi digitali ucraini e dei suoi sostenitori, in modo particolare di Europa e Stati Uniti. Secondo uno studio di Check Point Software Technologies infatti, gli attacchi verso il governo e il settore militare ucraino sono aumentati del 196%, nei soli primi tre giorni di combattimento, così come sono aumentate le mail-phishing (chiamate in gergo spear-phishing) in lingua slavo-orientale volte a violare gli account di milioni di utenti. Alcuni di questi episodi hanno persino preceduto l’inizio degli attacchi “tradizionali”, con lo shut-down da parte della GRU (l’intelligence militare russa) dei sistemi informatici di alcune banche e agenzie governative ucraine già fra il 15 e il 16 febbraio scorsi, lasciando presuppore una più complessa e premeditata pianificazione russa più di quanto la stessa cercasse di palesare. Ma considerare il governo russo come unico promotore di attacchi cyber sarebbe errato: molti gruppi hacker indipendenti, per citarne alcuni i gruppi “Conti”, “FancyBear” e “GhostWriter”, hanno pubblicamente dichiarato il proprio supporto al governo russo, minacciando di attaccare digitalmente chiunque si muova contro di esso. La maggior parte degli attacchi registrati sino ad ora è stata di tipo DoS (Denial of Service), attacchi che hanno come obiettivo la disattivazione o distruzione di un sistema informatico al fine di impedirne l’uso da parte del suo possessore. In modo particolare tali attacchi hanno impedito ai cittadini ucraini di accedere per esempio a email, connettività Internet o altre piattaforme, hanno messo fuori uso i sistemi informatici di ospedali, agenzie governative e militari impedendo la comunicazione fra le parti o l’accesso a informazioni di grande rilevanza come le cartelle cliniche dei pazienti. Sempre per supportare l’ipotesi che la guerra in Ucraina sia stata progettata con largo anticipo, i ricercatori del “Qualys Research Team” hanno evidenziato che il malware utilizzato, ribattezzato “HermeticWiper” abbia un timestampdi ‘2021-12-28’, nonostante sia stato distribuito solo a partire dal 23/02/2022, e ciò suggerirebbe una pianificazione anticipata delle varie fasi dell’attacco. L’obiettivo del wiper è quello di distruggere il master boot record (MBR) dei vari sistemi informatici ucraini, impedendone di conseguenza l’utilizzo. Infine, i cyberattacchi non si sono limitati ai soli sistemi ucraini, infatti nel mirino dei vari gruppi vi sono tutti quei paesi che il governo russo ha inserito in una lista di “paesi ostili” che abbiano direttamente o indirettamente attribuito sanzioni alla Russia e/o che abbiano aiutato il governo di Zelensky e il popolo ucraino, riprendendo una lunga tradizione di hackeraggio che da anni caratterizza il modo della Russia di intrattenere relazioni internazionali.


Attacchi passati


Quanto sta accadendo attualmente in Ucraina dal punto di vista cybernetico trattasi solo degli ultimi di una lunga serie di attacchi portati avanti dalla Russia (e anche dalla Cina) nell’ultimo decennio ai danni delle democrazie occidentali, in un crescendo di tensione diplomatica e accuse reciproche nella cui maggior parte dei casi sono stati i privati cittadini a rimetterci, vedendosi negato l’accesso ai servizi, o venendo rubati loro i dati. Già nel 2008 alcuni gruppi di hacker russi, molto probabilmente” SandStorm” e “Voodoo Bear”, difficile stabilire se sponsorizzati o meno dal governo russo, servendosi di un malware denominato “BlackEnergy” creato all’inizio degli anni 2000, hanno attaccato alcuni network della Georgia durante il periodo di scontri russo-georgiani, riutilizzando poi lo stesso malware nel 2014-2015 per hackerare il sistema di rete elettrica in Ucraina rendendolo di fatto inutilizzabile. Gli attacchi in Ucraina sono poi continuati divenendo anche più frequenti, prendendo di mira anche privati e sistemi industriali. Inoltre dal 2015 al 2021 sono stati registrati numerosissimi altri attacchi ai danni di enti, testate giornalistiche ed organi europei ed americani, tra i quali gli attacchi del gruppo hacker filorusso “Fancy Bear” al giornale investigativo olandese Bellingcat, che si occupò di un incidente aereo in cui persero la vita diversi cittadini olandesi, dimostrando l’implicazione del governo russo. Tra il 2014 e il 2016, durante la crisi russo-ucraina per la Crimea, il gruppo Fancy Bear ha attaccato le Forze missilistiche e di artiglieria delle Forze Terrestri Ucraine, diffondendo sui forum militari una versione infetta di un’applicazione utilizzata dall’esercito che si ritiene abbia portato alla distruzione di circa il 15–20% degli obici D-30 dell'esercito ucraino. Nel 2017 lo stesso gruppo ha tentato di influenzare le elezioni francesi prendendo di mira la campagna di Emmanuel Macron con tentativi di phishing e attacchi trojan horse, cosa invece non riscontrata per quanto riguarda la candidata conservatrice Marine Le Pen. Nel caso degli Stati Uniti, è da ricordare nel 2016 la massiva campagna di phishing verso Hilary Clinton e il suo staff, che portò alla pubblicazione di centinaia di mail private e che si pensa alterò il regolare processo elettorale. Ne conseguì il cosiddetto “Russiagate”, inchiesta portata avanti dall’FBI che dimostrò un intervento russo anche su altri piani e che rese sicuramente più difficili i già delicati rapporti diplomatici fra le due nazioni. Infine un altro attacco di grandissima rilevanza internazionale è stato quello che nel 2020 ha colpito SolarWinds, una grande società statunitense che è stata oggetto di un attacco informatico diffusosi ai suoi numerosissimi clienti senza che fosse rilevato per mesi. Hacker stranieri, individuati dai tecnici statunitensi nei colleghi russi, sono stati in grado di spiare aziende private come la società di sicurezza informatica FireEye ma anche alcuni reparti del governo degli Stati Uniti, penetrando i sistemi SolarWinds e aggiungendo un codice malevolo nel software principale. Il sistema, chiamato "Orion", era ampiamente utilizzato dalle aziende per gestire le proprie risorse, e a partire dal marzo 2020 SolarWinds ha involontariamente inviato aggiornamenti software ai propri clienti includenti il codice violato. Tale codice ha creato una backdoor per i sistemi informatici dei clienti, che gli hacker hanno poi utilizzato per installare ancora più malware, rendendo l’azione di spionaggio ancora più semplice e sicura. Tra le vittime vi sono state sezioni del Pentagono, del Dipartimento per la Sicurezza Interna e del Dipartimento di Stato, così come alcune aziende private, quali Microsoft, Cisco ed Intel. La Russia ha negato qualsiasi coinvolgimento nella violazione, sostenuta anche dalle affermazioni dell'ormai ex presidente Donald Trump, che suggerì seppur senza prove che l’attacco potesse essere stato opera degli hacker del governo cinese. A differenza della linea seguita dal suo predecessore Donald Trump, che nutriva forti simpatie per la Russia di Putin, Biden si è dimostrato intransigente e motivato a risolvere la controversia internazionale, dichiarando pubblicamente la propria posizione riguardo al presidente russo e all’accaduto. La Casa Bianca ha espulso alcuni diplomatici russi dal suolo americano e ha emesso un ordine esecutivo di embargo per l’acquisto, da parte di istituzioni finanziarie statunitensi, di obbligazioni in rublo emesse da Mosca, prendendo di mira il debito sovrano della Russia e la sua economia in generale, a cui Putin ha risposto espellendo altrettanti funzionari americani dal territorio russo e deridendo le sanzioni del presidente americano.


Implicazioni degli attacchi


Pur essendo questa volta la cyberguerra solo uno degli strumenti utilizzati dalla Russia di Putin per cercare di sconfiggere l’Ucraina, facente parte di un piano di conquista ben più amplio che, purtroppo, sta includendo anche la guerra militare, una propaganda spregiudicata basata anche sull’utilizzo di fake-news, deep-fakes e bots, e infine un gioco di forza con le potenze occidentali fondata nel ricatto delle sanzioni economiche da un lato e nella minaccia di chiudere le forniture di materie prime come il gas dall’altro, è chiaro come questa guerra parallela possa essere egualmente letale per le popolazioni e i governi che le subiscono. Questi attacchi provocano perdite inestimabili di dati, preziosi e fondamentali per il corretto funzionamento di organizzazioni e Stati, e violano anche la privacy di terzi soggetti coinvolti, molto spesso privati cittadini. È inoltre estremamente costoso cercare di ripristinare i sistemi a seguito degli attacchi e, se possibile, recuperare i dati hackerati, il che, come nel caso di SolarWinds, può richiedere anche moltissimo tempo. Essendo i cyberattacchi pienamente entrati nelle dinamiche delle relazioni internazionali tra gli Stati, che li attuano sia in risposta a pregresse controversie politiche sia come offensiva iniziale, creando anche dei veri e propri schieramenti con altre nazioni, lo scacchiere politico mondiale ha riconosciuto in questi crimini, almeno fino alla recente invasione di Putin in territorio Ucraino, una sorta di via di mezzo fra il conflitto armato, che sarebbe risultato troppo drastico e avrebbe mobilitato l’azione internazionale, come è d’altronde poi successo, e la tradizionale azione diplomatica, che presenta meno “vantaggi” e risulta alle volte di difficile applicazione a causa della forte tensione e polarizzazione ideologica. Risulta chiaro come il ruolo della guerra informatica sia decisamente cambiato: se le finalità sono pressoché le stesse, ossia debilitare il bersaglio ricattandolo o sottraendogli dati e servizi, è certamente cambiato il contesto entro cui questi attacchi avvengono, non essendo più un’alternativa alla tradizionale guerra militare, magari più “soft” se comparata al massacro di vite umane a cui siamo assistendo in questi giorni perpetrato da Putin, ma una guerra parallela ausiliaria volta alla distruzione organica del nemico tramite un approccio che potrebbe essere definito quasi olistico. Certo è che la Russia sta subendo a sua volta notevoli attacchi hacker da parti di gruppi che si sono dichiarati a favore del popolo ucraino, in particolare fra tutti il più famoso Anonymous, il quale ha rivendicato un attacco al Ministero della Difesa russo da cui è conseguita la divulgazione del suo database e le interferenze con alcune reti televisive russe in cui sono state mandati in onda alcuni filmati e immagini della guerra in Ucraina. A seguito di ciò il presidente Putin ha dichiarato di voler escludere la Russia intera dall’accesso ad Internet, trasferendo tutti i database e i servizi su una rete nazionale parallela chiamata “Rucom”. Questo avrebbe grandissime conseguenze sia dal punto di vista strategico che politico, completando di fatto l’isolamento russo dalla comunicazione globale e segnalando la netta volontà di tagliare ogni possibilità di dialogo e mediazione fra le parti. Ancora una volta però questa mossa non arriva inaspettata: già nel 2021 alcuni test ufficiali furono condotti con successo, approvando la versione finale di Rucom, seppur rimasta apparentemente inutilizzata finora. All’inizio del conflitto era stato proprio il vice primo ministro ucraino Mykhailo Fedorov a chiedere l’isolamento russo dalla rete per evitare la diffusione di fake-news e messaggi d’odio, azione non attuata dalla comunità internazionale in quanto ritenuta troppo radicale e motivo di scontro per la Russia con il resto del blocco di paesi a supporto dell’Ucraina. Paradossalmente oggi è proprio la Russia stessa ad auto-isolarsi, al fine di evitare che le verità sulla guerra raggiungano il popolo russo e smentiscano l’impalcatura propagandistica con cui la guerra e le vite dei soldati russi messe a rischio vengono giustificate. È difficile stabilire come questa situazione già critica evolverà, certo è che lo scenario internazionale sta velocemente mutando la sua forma e le modalità di interazione fra le sue parti, ed è importante che l’Unione Europea così come qualsiasi altro governo che si voglia definire democratico si impegni da un lato per mantenersi al passo con la trasformazione cybernetica e dall’altro per difendere quei paesi che aspirano alla democrazia, lottano per la democrazia e che non sono disposti a scendere a patti con qualsiasi altra cosa che non sia democrazia.

Articoli Correlati

E-democracy, e-governance e cybersicurezza: il caso dell’Estonia

Il gasdotto della discordia

Facebook, l'ora più buia

Il gasdotto della discordia

Il gasdotto della discordia

Il gasdotto della discordia