Quando il 24 febbraio 2022 la Russia ha invaso l’Ucraina, nessuno di noi sapeva quale ruolo avrebbero potuto avere gli attacchi informatici in un’invasione su larga scala. La Russia ha condotto cyberattacchi contro l’Ucraina sin dall’occupazione della Crimea, nel 2014, e sembrava inevitabile che questi strumenti avrebbero svolto un ruolo importante, soprattutto dopo le violazioni della rete elettrica ucraina e la diffusione del worm NotPetya a livello globale.
Una delle sfide da affrontare quando si prova a valutare l’efficacia o l’impatto di attacchi informatici consiste nel provare a capire come si inseriscono nel quadro generale. Quando ci si trova nel bel mezzo di un conflitto, la cosiddetta “nebbia di guerra” spesso offusca e distorce la nostra visione relativamente all’efficacia di qualsiasi azione. Quindi ora, a più di 6 mesi dallo scoppio di questa guerra, diamo uno sguardo indietro a mente fredda e proviamo a determinare il ruolo che hanno avuto fino a questo momento le armi informatiche.
Secondo il Servizio statale per le comunicazioni speciali e la tutela dell’informazione (SSSCIP, State Service of Special Communications and Information Protection) dell’Ucraina, il Paese è stato attaccato 1.123 volte dall’inizio della guerra. Il 36,9% dei bersagli era composto da obiettivi correlati al Governo e alla Difesa e gli attacchi erano composti per il 23,7% da codice dannoso e per il 27,2% da raccolta di informazioni.
La parte informatica della guerra è iniziata quasi 24 ore prima dell’invasione del territorio. Nel mio diario quotidiano sul conflitto ho notato che gli attacchi DDoS e gli attacchi wiper erano iniziati il 23 febbraio intorno alle 16.00 ora locale. Immediatamente dopo le cose si sono fatte molto confuse e sono stati lanciati molteplici attacchi e distribuite varie tecnologie in parallelo.
Suddividiamoli in alcune categorie e proviamo ad analizzarne l’intensità, l’efficacia e gli obiettivi. A mio parere ricadono in quattro categorie più ampie: distruzione, disinformazione, hacktivismo e spionaggio.
Distruzione
Considerando il modo in cui la guerra ha dovuto evolversi man mano che divergeva dal piano originale della Russia, finora alcune di queste tecniche sono state usate in modo differente in fasi distinte della guerra. La prima, e più ovvia, è stata la fase del malware distruttivo.
Secondo lo SSSCIP, a partire dal gennaio 2022 gli aggressori russi e pro-Russia hanno iniziato a sferrare attacchi malware di tipo wiper e in grado di alterare il settore di avvio con lo scopo di cancellare i contenuti di un sistema o rendere tale sistema inutilizzabile. Principalmente hanno preso di mira i provider di servizi ucraini, le infrastrutture strategiche e le agenzie governative del Paese.
Tali attacchi si sono susseguiti per tutte le prime sei settimane del conflitto per poi diminuire gradualmente. La maggior parte di questa attività si è concentrata tra il 22 e il 24 febbraio, aprendo la strada e accompagnando l’invasione. Queste persecuzioni preparatorie hanno sicuramente avuto un impatto, ma in ultima analisi non sembra che abbiano avuto un effetto positivo sul successo dell’invasione dell’Ucraina da parte della Russia.
Alcuni giorni prima di questi attacchi il governo ucraino aveva trasferito molte delle sue funzioni ufficiali online in un’infrastruttura cloud gestita e controllata da terze parti non combattenti, evitando in tal modo che si verificassero interruzioni e consentendo all’Ucraina di mantenere i servizi e comunicare con il mondo. La decisione ricorda quella della Georgia, che trasferì siti web essenziali del governo in paesi terzi quando iniziò a subire gli attacchi DDoS da parte della Russia nel 2008.
Un altro attacco distruttivo era stato sferrato ai modem per comunicazioni satellitari Viasat utilizzati in tutta l’Europa centro-orientale non appena ha avuto inizio l’invasione. Secondo Raphael Satter della Reuters, un funzionario ucraino di alto livello responsabile della sicurezza informatica dichiarò che tale attacco causò “un’interruzione molto grave delle comunicazioni all’inizio della guerra”. Questo attacco causò anche danni collaterali a membri della NATO, interrompendo il funzionamento di oltre 5.800 turbine eoliche in Germania.
Probabilmente, tra tutti gli attacchi sferrati finora durante la guerra, questo è stato il più impattante. Se si pensa che la maggior parte degli esperti ha ipotizzato che la Russia aveva pianificato una guerra di 72 ore, l’interruzione delle comunicazioni militari avrebbe potuto avere un importante impatto iniziale. Per fortuna i comandanti ucraini sono stati in grado di riorganizzarsi e stabilire comunicazioni alternative per ridurre al minimo l’interruzione; nel lungo periodo si evince che la Russia ha avuto molti più problemi con le comunicazioni della sua catena di comando rispetto all’Ucraina.
Il successo dell’Ucraina nel bloccare gli attacchi distruttivi è stato impressionante e forse questo lo si deve in parte anche all’aiuto di compagnie tecnologiche come Microsoft ed ESET.
Una delle minacce malware più sofisticate che prendeva di mira infrastrutture critiche è stata rilevata e neutralizzata non appena è stata scoperta nella rete di un fornitore di energia ucraino. Noto come Industroyer2, il malware era una combinazione di wiper tradizionali, mirati a colpire sistemi Windows, Linux e Solaris, e malware specifico per sistemi ICS, pensato per colpire la tecnologia operativa (OT) usata per controllare e monitorare la rete elettrica.
In un recente report Microsoft ha fatto notare che apparentemente molti attacchi informatici russi sono stati coordinati con attacchi convenzionali a Dnipro, Kiev e all’aeroporto di Vinnytsia. Ma ancora non ci sono prove del fatto che la componente informatica abbia contribuito a un evidente progresso dell’offensiva russa.
Secondo i miei calcoli, finora le operazioni informatiche distruttive hanno avuto un impatto pressoché nullo sull’esito di qualsiasi battaglia in questa guerra. Hanno causato dei notevoli grattacapi a un sacco di persone, hanno fornito lavoro extra ai provider di sicurezza informatica (molti dei quali stanno mettendo a disposizione gratuitamente il proprio tempo e le proprie conoscenze) e hanno fatto molto parlare di sé, ma quello che non hanno fatto è stato influenzare in modo tangibile la direzione presa da questa guerra.
Guerra dell’informazione/disinformazione
La Russia non è nuova all’uso della disinformazione come arma per perseguire risultati politici. Sembra che la sua missione originale prevedesse una veloce vittoria, con una rapida invasione del Paese e l’instaurazione di un governo fantoccio. Con un piano di questo tipo la disinformazione sarebbe fondamentale, inizialmente in due ambiti di influenza e, man mano che la guerra prosegue, in tre.
L’obiettivo più ovvio è la popolazione ucraina, che doveva essere convinta del fatto che la Russia era un liberatore e, in ultima analisi, doveva accettare un leader pro-Cremlino. Sembra che i russi abbiano provato a mettere in atto numerose operazioni per influenzare l’opinione pubblica sfruttando gli SMS e i social network tradizionali, ma una popolazione ucraina sempre più patriottica si è mostrata impermeabile a tali tentativi.
La Russia ha avuto molto più successo in patria, il secondo obiettivo in ordine di importanza. Ha ampiamente censurato i media stranieri e indipendenti, bloccato l’accesso ai social media e criminalizzato l’uso del termine “guerra” per definire la sua invasione.
Può essere difficile giudicare l’impatto di queste azioni sulla popolazione generale, anche se alcuni sondaggi fanno pensare che la propaganda stia funzionando. Quantomeno, la sola opinione che è possibile esprimere pubblicamente è a sostegno della cosiddetta “operazione militare speciale”.
Con il perdurare della guerra il terzo bersaglio della disinformazione è il resto del mondo. Il tentativo di influenzare gli stati non allineati come India, Egitto e Indonesia può aiutare a impedire che votino contro la Russia nel contesto delle Nazioni Unite e magari convincerli anche a sostenere la Russia.
La diffusione di storie su laboratori USA di armi biochimiche, azioni di denazificazione e presunti genocidi perpetrati dall’esercito ucraino mira unicamente a sollevare dubbi sulla rappresentazione del conflitto fatta dai media occidentali. Sembra che la maggior parte di questa attività abbia origine da soggetti preesistenti che generano disinformazione, piuttosto che da violazioni di account o dalla diffusione di qualche tipo di malware.
Pare che le agenzie di intelligence statunitensi abbiano svolto un ruolo fondamentale nello smontare molte di queste affermazioni che hanno portato alla guerra, spesso anticipando i piani della Russia di foraggiare la disinformazione. Questa attività è stata intrapresa anche da organizzazioni civili di giornalismo investigativo come Bellingcat, che utilizzano l’intelligence open-source per verificare le affermazioni fatte sui social media.
La disinformazione sta chiaramente facendo effetto ma, come nel caso degli attacchi distruttivi, non influisce in alcun modo sull’esito della guerra. I civili non accolgono i militari russi come liberatori e le forze ucraine non depongono le armi e non si arrendono. Gli USA e l’Europa continuano a sostenere l’Ucraina e la popolazione russa sembra avere un atteggiamento diffidente, ma non spregevole. In particolare, negli ultimi giorni le forze ucraine hanno riconquistato dei territori che erano caduti sotto il controllo russo e i soldati sono stati accolti come liberatori da alcuni civili nei pressi di Kharkiv.
Hacktivismo
I più noti e abili hacker in tutta la Russia e in Ucraina sarebbero pronti a imbracciare le armi informatiche e sferrare ondate di attacchi dannosi, ciascuno a sostegno della propria parte? Sicuramente all’inizio sembrava che fosse così.
Alcuni noti gruppi di criminali informatici come Conti e Lockbit hanno immediatamente dichiarato da quale parte stavano, ma la maggior parte ha affermato di essere indifferente alla situazione e che avrebbe continuato la propria attività come se niente fosse. Tuttavia abbiamo osservato una decisa diminuzione degli attacchi ransomware dopo circa sei settimane dall’invasione iniziale. I normali volumi di attacchi sono ripresi intorno all’inizio di maggio e questo fa pensare che i criminali avessero subito interruzioni della catena di fornitura, proprio come tutti noi.
Uno dei gruppi più famigerati, Conti, aveva rilasciato dichiarazioni minacciose contro l’Occidente sul proprio sito che hanno spinto un ricercatore ucraino a svelare le identità dei suoi membri e le loro prassi, determinando in tal modo la dissoluzione del gruppo.
D’altro canto, gli hacktivisti di entrambe le parti erano partiti in quarta nei primi giorni della guerra. Con attività di web defacement (stravolgimento di siti web), attacchi DDoS e altre violazioni informatiche di poco conto prendevano di mira praticamente qualunque obiettivo fosse vulnerabile e chiaramente identificabile come russo o ucraino. Non è durata molto e non sembra che queste attività abbiano avuto un impatto duraturo. Una ricerca ha dimostrato che si erano annoiati ed erano passati a nuovi svaghi.
Questo non significa che non siano in corso nuovi tentativi di attacchi informatici, ma non hanno alcun impatto significativo sulla guerra. Ultimamente, ad esempio, sembra che qualcuno abbia hackerato la società Yandex Taxi per far confluire tutte le sue vetture nel centro di Mosca e creare in tal modo un blocco del traffico.
Spionaggio
L’ultima categoria è la più difficile da quantificare. Può essere estremamente difficile valutare l’impatto di un’attività che, per sua natura, è segreta. Il metodo principale per stimare la portata del ruolo svolto dallo spionaggio in questa guerra consiste nell’osservare quante volte è stata scoperta un’attività spionistica per provare a estrapolare la frequenza di successo di tali attività in base alla frequenza dei loro fallimenti.
A differenza degli attacchi distruttivi, la natura segreta degli attacchi spionistici e la difficoltà ad attribuirli a un autore specifico li rendono più utili contro tutti gli obiettivi antagonisti, non solo ucraini. Come per la disinformazione, in questo ambito si registra un’attività mirata a colpire i sostenitori dell’Ucraina di gran lunga maggiore rispetto ad altri tipi di attacco che potrebbero spingere gli USA e gli alleati della NATO a mettere gli scarponi sul campo di battaglia.
Le rivendicazioni di attacchi a entità non ucraine devono essere valutate attentamente. Non è una novità che la Russia prenda di mira gli Stati Uniti, l’Unione Europea e gli stati membro della NATO con malware, attacchi di phishing e furto di dati. In alcuni casi ci sono prove convincenti del fatto che gli attacchi sono motivati specificatamente dalla guerra in Ucraina.
Nel marzo 2022 il Threat Analysis Group (TAG, gruppo di analisi delle minacce) di Google ha pubblicato un report in cui si evidenziano attacchi di phishing lanciati da Russia e Bielorussia contro organizzazioni non governative (ONG) e think tank con sede negli USA, le forze armate di un Paese balcanico e un contractor della difesa Ucraina. Anche Proofpoint ha pubblicato una ricerca in cui si scopre che funzionari UE impegnati nell’assistenza ai rifugiati erano stati presi di mira con campagne di phishing provenienti da un account di posta elettronica ucraino, presumibilmente violato dall’intelligence Russa.
Ovviamente anche la Russia non è immune da azioni di raccolta e violazione di informazioni. Come ha fatto notare James Andrew Louis del Centro di Studi Strategici e Internazionali statunitense, durante la prima parte dell’invasione le tecnologie di comunicazione russa erano distribuite in modo non omogeneo e poco funzionale.
Questo lo ha portato a formulare la seguente conclusione: “In secondo luogo, affidarsi ai sistemi di comunicazione di un avversario crea numerose possibilità di sfruttamento. Molti ipotizzano che uno dei motivi dell’elevato tasso di vittime tra gli alti ufficiali russi fosse la vulnerabilità delle loro comunicazioni, che consentiva di localizzarli con precisione. ”
Gli attacchi russi contro obiettivi ucraini non si sono fermati e sono arrivati a sfruttare le vulnerabilità più recenti che venivano annunciate pubblicamente. Nel luglio 2022, ad esempio, gli attori di minacce ubicati in Russia hanno sfruttato ampiamente una nuova vulnerabilità di Microsoft Office chiamata “Follina“. Sembra che uno degli obiettivi fatti bersaglio di documenti dannosi in questa campagna fossero le organizzazioni dei media, uno strumento importante durante una guerra.
Conclusione
La guerra in Ucraina verrà insegnata e analizzata a lungo e ci insegna molto sul ruolo svolto dalla sicurezza informatica e dagli attacchi informatici in tempo di guerra. La Russia era impreparata e avrebbe potuto usare gli attacchi informatici in modo ben più impattante.
Le prime fasi della guerra sembravano concentrarsi su attività mirate a causare destabilizzazione, distruzione e scompiglio. Questo scopo sembra aver perso importanza man mano che la determinazione della popolazione ucraina ha imposto il protrarsi della guerra, con la conseguente esigenza di spostare l’attenzione su attività come spionaggio e disinformazione.
Resta da vedere come si evolverà la situazione, con la Russia che controlla gran parte delle forniture energetiche in Europa e l’inverno che si avvicina. La disinformazione spingerà sull’acceleratore per mettere pressione ai leader europei affinché riducano le sanzioni? I gruppi criminali si concentreranno ad attaccare i fornitori di energia europei, come li abbiamo già visti fare in scala ridotta?
La guerra non è finita e il ruolo degli attacchi informatici potrebbe evolversi in modi nuovi e imprevedibili. Quello che è improbabile è che tale ruolo diventi decisivo. Almeno in questo conflitto è solo uno mezzo da usare unitamente ad altre armi e strumenti bellici. E come per ogni altro aspetto della guerra, una difesa forte è spesso il miglior attacco.