Mai come nel conflitto tra Russia e Ucraina sembra evidente che, nel 2022, la guerra si combatte anche con i mezzi informatici.
Nei conflitti odierni gli attacchi informatici vengono utilizzati per colpire e disabilitare obiettivi strategici come reti elettriche, ferroviarie, sistemi informatici o per sottrarre dati alle organizzazioni politiche e militari dei Paesi nemici.
Lo dimostra il fatto che nell'attuale scontro tra Ucraina e Russia, i cyberattacchi si stanno susseguendo a un ritmo incredibile e molti si chiedono se la cosiddetta "quinta dimensione" della guerra, definizione che approfondiremo nei prossimi paragrafi, sia davvero il terreno di gioco sul quale si deciderà l'esito del conflitto in atto.
Ma proviamo innanzitutto a capire quando sono iniziati gli attacchi e quali sono stati gli effetti che hanno sortito e come questi stiano aumentando per numero e gravità di pari passo con l'escalation del conflitto bellico.
Cronologia degli attacchi, i primi risalgono a gennaio
Gli attacchi informatici ai danni dell'Ucraina sono iniziati mesi prima del conflitto armato al quale stiamo assistendo in questi giorni.
Nel mese di gennaio 2022 sono stati rilevati numerosi attacchi DDoS (Denial of Service) rivolti ai principali portali governativi ucraini. Il primo è avvenuto nella notte tra il 13 e il 14 gennaio, causando gravi disservizi sui siti delle principali istituzioni ucraine tra cui il ministero Esteri, delle politiche agrarie, dell'Istruzione e della Scienza e via dicendo.
Nelle home page dei domini attaccati appariva un messaggio scritto in tre lingue (russo, ucraino e polacco) nel quale gli hacker affermavano di essere entrati in possesso dei dati sensibili dei cittadini ucraini, minacciando poi di renderli pubblici.
Il cyber attacco è stato identificato dal Microsoft Threat Intelligence Center con il nome di WhisperGate e in seguito collegato a un gruppo hacker russi.
Nei giorni successivi, la Russia ha messo in atto una seconda ondata di attacchi basati su dei malware, molti dei quali sono risultati inediti e quindi creati appositamente per sfuggire agli attuali sistemi di detezione. Il primo malware identificato il 22 febbraio scorso risponde al nome di Hermetic Wiper; questo attacco ha la capacità di danneggiare irrimediabilmente i dati di sistema che vengono utilizzati nella fase di avvio del dispositivo infetto, oltre a sovrascrivere i file memorizzati in modo da renderli inutilizzabili.
A poche ore dall'annuncio ufficiale di invasione pronunciato da Putin, l'intelligence statunitense ha rilevato un triplice attacco hacker iniziato alle 4 di notte (ora italiana). Intorno alle 16:00 del 23 febbraio, un serie di attacchi DDoS ha colpito le principali agenzie governative ucraine, tra cui il sito della presidenza e del parlamento, il ministero degli Affari Interni e quello degli Affari Esteri e persino gli istituti bancari più importanti del Paese, Uvraini PrivatBank e Oschadbank.
In realtà l'attacco si è svolto in due fasi: la prima iniziata alle 16:00 e durata circa 40 minuti. La seconda iniziata alle 17:00 e protrattasi fino alle 19:00 creando una serie di gravi disservizi su diversi siti governativi ucraini.
Un analisi condotta da Cloudflare in collaborazione con il governo ucraino ha permesso di individuare la localizzazione dei responsabili che, da quanto emerso, hanno utilizzato IP Russi (il che è tutto dire). La strategia sembra la stessa utilizzata contro i siti del governo Ucraino nelle giornate del 15-16 febbraio.
Subito dopo, alle 21:00 del 23 febbraio, è partito un altro attacco identificato come Hermetic Wiper, un malware specializzato nella cancellazione dei dati salvati sul disco rigido dei dispositivi colpiti.
Una volta cancellati, i file non si possono più recuperare e i PC risultano inutilizzabili. Hermetic Wiper non è pensato allo scopo di sottrarre informazioni, ma serve a distruggerle. Questo malware è particolarmente difficile da scoprire facendo uso di diverse tecniche di occultamento molto efficaci che ne ostacolano l’identificazione in tempo reale. Il malware è stato identificato da due aziende specializzate nella sicurezza informatica, ESET e Symantec.
Per aumentare la diffusione del malware sui PC dei cittadini ucraini, gli attaccanti hanno poi creato dei siti civetta clonando i corrispettivi siti governativi. In questo modo i cittadini che accedevano agli indirizzi per ottenere informazioni digitavano i loro dati su un "clone" e scaricavano sui loro PC dei file PDF che in teoria avrebbero dovuto contenere informazioni importanti e linee guida, ma in realtà erano dei malware.
Il 24 febbraio è stato diffuso un secondo malware denominato Cyclops Blink attribuito a Sandworm, un gruppo di hacker russi schierati con Putin. Il malware ha infettato i firewall di WatchGuard (che di norma si usano per la protezione degli account business), per poi estrarre dati sensibili dai dispositivi e inviarli a un centro di comando e controllo esterno.
Cyclops Blink è un malware persistente che colpisce il firmware del PC infettato e non può essere rimosso con un semplice ripristino dell'OS.
Ai malware e agli attacchi DDoS si sono sommati numerosi furti di dati (data breach) contenenti le credenziali sottratte dai database degli enti governativi hackerati, poi diffusi nel Dark Web. Stiamo parlando di una grande quantità di informazioni sensibili sottratti non solo dai siti governativi, ma anche da altri portali come quello della motorizzazione ucraina.
Nel Dark Web sono state rivenute numerose tracce di un database compilato a partire dal servizio di tassazione dell'Ucraina del 2006, informazioni sull'immunizzazione da Covid-19 dei cittadini e perfino dati sensibili legati a PrivatBank, la più importante banca commerciale del Paese.
Di pari passo con l'intensificarsi degli scontri si sono moltiplicati anche gli attacchi informatici da ambedue le parti, e nell'ultima settimana di febbraio abbiamo assistito a una vera e propria battaglia informatica tra le due superpotenze, appoggiate da gruppi di hacker filogovernativi, oltre che dai più noti collettivi indipendenti.
Ma chi si cela dietro questi attacchi informatici e con chi sono schierati i diversi gruppi hacker?
Anonymous Vs Russia
L'Ucraina si è trovata a fronteggiare un numero di attacchi informatici insostenibile, tanto che il presidente Volodymyr Zelensky ha chiesto pubblicamente aiuto ricevendo l'appoggio del noto gruppo internazionale “Anonymous”, che sul proprio account Twitter ha dichiarato “guerra cibernetica” alla Russia.
The Anonymous collective is officially in cyber war against the Russian government. #Anonymous #UkraineFebruary 24, 2022
Nei giorni successivi, Anonymous ha attaccato il ministero della Difesa russo pubblicando in rete tutti i database contenuti al suo interno.
Il contrattacco è iniziato tra il 24 e il 25 di febbraio ai danni dei siti del Cremlino e delle forze armate russe. In seguito, con l'escalation della violenza nelle strade ucraine e i bombardamenti su Kiev, gli attacchi si sono intensificati.
Tra sabato 26 e domenica 27 febbraio, Anonymous ha attaccato la TV russa trasmettendo immagini di Kiev per mostrare cosa stava realmente accadendo fomentando delle rivolte che hanno portato all'arresto di centinaia di manifestanti russi. Al contempo, su tutti i canali attaccati sono state trasmesse canzoni tradizionali ucraine.
JUST IN: #Russian state TV channels have been hacked by #Anonymous to broadcast the truth about what happens in #Ukraine. #OpRussia #OpKremlin #FckPutin #StandWithUkriane pic.twitter.com/vBq8pQnjPcFebruary 26, 2022
Subito dopo, su uno degli account Twitter di Anonymous, il collettivo ha ribadito la sua posizione nei confronti della Russia, minacciando altri attacchi nel caso in cui le ostilità non si fossero interrotte:
UCRAINA | Anonymous sfida Putin: "Se continui la guerra, attacchi hacker mai visti". Il gruppo avverte: "I tuoi segreti non saranno piu' al sicuro, presto sentirai la nostra rabbia". #ANSA pic.twitter.com/lv2g5g6ouVFebruary 27, 2022
Non contenti, gli hacker del gruppo Anonymous hanno continuato la loro serie di attacchi passando sul piano personale e prendendo di mira lo yacht di Putin.
Gli hacker sono riusciti a bucare l'Automatic Identification System dello yacht, chiamato “Graceful” , e hanno cambiato il codice identificativo rinominandolo “FCKPTN” (la versione senza vocali di "Fuck Putin”) per poi cambiare la destinazione verso “HELL” (“Inferno”).
Hackers have manipulated the official callsign of Putin’s $100 million personal yacht to “FCKPTN” and changed its current maritime position to “hell” 🙃 pic.twitter.com/Sl2xLNakfvFebruary 28, 2022
Sempre in questi giorni diversi account Twitter collegati al collettivo Anonymous hanno indicato attacchi al sito del governo ceceno e nei confronti dell’azienda di armi bielorussa Tetraedr. Quest'ultimo avrebbe portato all'esfiltrazione di più di 200 GB di e-mail e documenti che contengono i dati di fabbricazione delle armi.
Il 28 febbraio, Anonymous ha annunciato di aver attaccato l’Istituto di Sicurezza Nucleare di Mosca, sottraendo decine di migliaia di documenti riservati.
A fianco di Kiev si sono schierati anche i gruppi Liberland e Pwn-Bär Hack Team, che si sono resi responsabili della pubblicazione di diversi documenti riservati collegati a un noto produttore di armi bielorusso.
Tra gli hacker che si sono schierati a sostegno dell'Ucraina c'è anche GhostSecurity, gruppo già noto per aver attaccato l'apparato informatico dell’Isis.
L'azione più incisiva è stata quella del gruppo di hacker bielorusso Belarus Cyber-Partisan, in aperto contrasto con il governo di Minsk, che è riuscito a penetrare nella rete ferroviaria mettendo fuori uso diversi servizi e bloccando alcune tratte ferroviarie per rallentare il trasferimento delle truppe russe dalla capitale.
Dalla parte opposta, la Russia ha ricevuto il sostegno di Sandworm, responsabile dell'attacco Cyclops Blink del 24 febbraio, oltre che del noto collettivo Conti e di Coming Projects, gruppo conosciuto per la creazione di ransomware.
Del resto, dopo le prime dichiarazioni in favore del governo di Mosca, Conti sembra aver subito una divisione interna che ha portato alla pubblicazione di centinaia di chat riservate del gruppo. In seguito, Conti sembra aver cambiato posizione esprimendosi pubblicamente contro la guerra in corso.
Come potete immaginare, parte di questi gruppi è legata in modo diretto ai governi centrali, altri agiscono in modo indipendente, quindi è chiaro che anche all'interno dei diversi collettivi possano esserci posizioni contrastanti.
Al contempo i governi impegnati nel conflitto, come gli alleati NATO e i Paesi che appoggiano l'invasione Russa in Ucraina, dispongono di un numero non identificato di hacker al loro servizio che possono attaccare in maniera del tutto anonima. Queste attività sono svolte principalmente dai servizi segreti dei governi e raramente si riesce a individuare gli attori responsabili.
In sostanza, ciò che stiamo vedendo è solo la punta dell'iceberg. Possiamo vedere solo gli effetti più eclatanti dei singoli attacchi, mentre nelle retrovie gli hacker stanno lavorando a tempo pieno a nuovi attacchi che si intrecciano con gli obiettivi militari delle due fazioni.
A dirlo è il numero sempre crescente di cyberattacchi che si stanno susseguendo a ritmo giornaliero, di cui sappiamo ben poco oltre a quello che dichiarano i governi attaccati e, in alcuni casi, gli attaccanti stessi.
Appare quindi chiaro che non esiste un fronte comune, ma una moltitudine di realtà differenti più o meno legate alle istituzioni e ai servizi militari dei Paesi belligeranti che possono in qualche modo influenzare il corso degli eventi.
Cyberwarfare, la guerra digitale può fare la differenza?
Proviamo a rispondere a una domanda che si stanno ponendo in molti.
Secondo la definizione contenuta nel trattato di Diritto penale intitolato Cybercrime di Utet Giuridica, la guerra cibernetica: "consiste nell’impiego di incisive tecniche di intrusione o sabotaggio delle risorse informatiche e fisiche di un Paese avversario, effettuate in un contesto bellico, attraverso l’impiego di computer e reti di telecomunicazioni informatiche, volte a compromettere le difese, il funzionamento e la stabilità economica e socio-politica del nemico."
La guerra cibernetica (cyberwar / cyberwarfare), si svolge su un terreno diverso dal campo di battaglia convenzionale, comunemente definito "quinta dimensione". Di fatto, oltre ai tipici scenari di guerra che comprendono scontri di terra, mare, cielo e spazio, lo spazio cibernetico rappresenta il quinto dominio.
La continua evoluzione dei sistemi informatici e delle reti internet hanno favorito la nascita di nuove modalità di aggressione che stiamo vedendo nel conflitto attuale.
Le forze in campo sono oggi in grado di effettuare attacchi informatici tali da compromettere, con minimo sforzo, le difese e le capacità militari di una intera nazione o il funzionamento di interi apparati governativi.
Per rispondere al quesito, i cyberattacchi messi in campo finora dalle due fazioni hanno sicuramente influenzato il conflitto, ma (almeno per ora) non si possono definire decisivi al pari delle operazioni militari che si stanno svolgendo sul territorio Ucraino.
Non possiamo dire con certezza quando e se gruppi come Anonymous e Conti decideranno di alzare il livello dello scontro, ma se dovesse succedere potremmo trovarci di fronte alla più grande cyberwar mai vista finora, nel vero senso del termine.
Nel frattempo, entrambi i governi hanno a disposizione degli strumenti più incisivi di quelli messi in campo finora, e potrebbero a loro volta decidere di utilizzarli se la situazione dovesse degenerare ulteriormente.
Oggi più che la cyberwar potrebbe essere un elemento importante, se non decisivo, per le sorti del conflitto tra Ucraina e Russia.
- Ransomware: cos'è e come funziona?
