La risposta degli Stati Uniti all’abbattimento del loro drone ad opera dell’Iran lo scorso 20 giugno rappresenta un nuovo ed interessante salto di qualità nell’ambito degli scenari di “hard” cyberwar. Infatti gli Stati Uniti hanno optato per una ritorsione mediante attacco cyber preferita ad un più “convenzionale” bombardamento per ridurre gli effetti collaterali sulla popolazione. L’azione, secondo quanto riferito da fonti Usa, avrebbe paralizzato le unità di difesa aerea della Guardia rivoluzionaria iraniana.
Occorre dire, peraltro, che la hard cyberwar ha avuto la sua prima concretizzazione proprio nell’ambito del conflitto Usa – Iran con il worm Stuxnet che è stata la prima evidenza empirica della capacità di un attacco cyber di indurre effetti in grado di alterare il normale funzionamento di sistemi, apparati ed infrastrutture fino alla loro “auto” distruzione . Il worm Stuxnet, infatti, nel 2010 fu in grado di modificare il funzionamento delle centrifughe per l’arricchimento dell’uranio presso la centrale di Natan comportando la rottura meccanica di oltre 500 centrifughe con conseguente forte rallentamento nel programma nucleare Iraniano. Sebbene non esistano prove, secondo la quasi totalità degli esperti, gli Stati Uniti (con la collaborazione di Israele) sarebbero gli autori del worm. Anche l’azione di Stuxet è sembrata a molti osservatori internazionali come una opzione attuata in alternativa ad un bombardamento aereo (sulla falsa riga dell’operazione Babilonia che nel 1981 produsse la distruzione del reattore nucleare Iraniano di Osiraq ad opera dei caccia israeliani) valutata una opzione troppo rischiosa stante il contesto geopolitico dell’area.
Esistono, però, sostanziali e significative differenze fra i due episodi.
In primo luogo il target degli Usa, sulla scorta di quanto desumibile dalle diverse fonti, è stato il sistema missilistico della contraerea iraniana, quindi una infrastruttura militare e non un sito industriale. in altri termini, il bersaglio era costituito da un sistema nato per essere “intrinsecamente” protetto, probabilmente operante su reti proprietarie e disconnesse da Internet, ma evidentemente con alcune falle di sicurezza che sono state sfruttate dagli attaccanti. L’ipotesi più accreditata individua la vulnerabilità nei sistemi di accoppiamento fra i sistemi radar e le batterie missilistiche. In ogni caso l’azione non sembra estemporanea, ma è il frutto di una attività di cyber-intelligence portata avanti su un ampio arco temporale al fine di acquisire le necessarie informazioni sulle modalità di attacco e di penetrazione all’interno della rete iraniana. Vista la tipologia di target, non è ipotizzabile che l’azione sia stata compiuta da uno o più hacker in grado di entrare nel sistema, ma appare più probabile che sia stata portata avanti mediante un virus o un worm in grado di penetrare in modo silente nella rete avversaria e di “apprenderne” il comportamento al fine di individuare azioni e comandi da attuare in modo autonomo per danneggiare l’infrastruttura di interesse.
Questo scenario non è di per se una novità. Un approccio analogo è stato sfruttato dai malware BlackEnergy3 e CrashOverride che, rispettivamente, nel dicembre 2015 e nel dicembre 2016 (strana coincidenza…) provocarono due ampi blackout in Ucraina. Gli analisti hanno evidenziato che, in entrambi i casi, i malware una volta penetrati nei sistemi Scada di controllo della rete elettrica gestita dalla Ukrenergo hanno primo “compreso” autonomamente le modalità di funzionamento del sistema di controllo per poi attuare un insieme di comandi tali da disconnettere una parte della rete elettrica ed indurre il blackout.
Interessante notare che secondo il Ics-Cert americano, il malware BlackEnergy3 è stato rinvenuto nei sistemi di controllo di diverse società di utility americane e, in alcuni casi, il malware era presente già dal 2011 (cinque anni prima dell’attacco in Ucraina). Per inciso, gli analisti attribuiscono questi attacchi al gruppo filo russo Atp28.
L’altro aspetto di novità nell’azione Usa è che l’azione è stata ampiamente pubblicizzata dichiarandone la paternità e la responsabilità. È come se gli Usa abbiano voluto mandare un messaggio all’Iran (e non solo) circa un sostanziale cambiamento delle dinamiche nel campo di battaglia che vede nella possibilità di compromettere i principali sistemi di comando e controllo dell’avversario mediante un attacco cyber una opzione reale, fattiva ed efficace.
Occorre, però, evidenziare che l’utilizzo di cyber weapon introduce dinamiche del tutto nuove, come evidenziato dal caso del malware NotPetya. La compagnia assicuratrice Zurich ha, infatti, rifiutato di risarcire il danno di 100 milioni di dollari lamentato dalla multinazionale dei dolciumi Mondelez e causati dal malware sostenendo che, sebbene la polizza assicurativa esplicitamente prevedesse il risarcimento anche per danni causati da software malevolo, la stessa era inefficace trattandodi in questo caso di un’azione bellica. Zurich ha motivato il diniego al risarcimento sulla base, fra le altre cose, di una dichiarazione ufficiale della Casa Bianca in cui si afferma che NotPetya fa parte della strategia del Cremlino di destabilizzazione dell’Ucraina e che dimostra il diretto coinvolgimento della Russia nella guerra civile in Ucraina. Il giudizio attualmente pendente innanzi alla corte dell’Illinois non si è ancora concluso ma in ogni caso evidenzia due aspetti significativi. In primo luogo, si pone la questione di cosa sia un atto di cyberwar e quali siano i soggetti titolati ad acclararne la sussistenza e la responsabilità. Dall’altro, aspetto ancora più importante, si osserva il dissolversi del concetto di “zona” di guerra, in quanto le distanze geografiche risultano del tutto insignificanti alla luce delle caratteristiche di spazio iperbolico di internet. Questo implica che il solo fatto di essere connesso al cyberspace espone un qualunque soggetto ad essere oggetto di effetti “collaterali” di un’azione di cyberwar il cui bersaglio può, indifferentemente, essere situato nella strada affianco o a diecimila kilometri di distanza.
