Skip to main content

Viaggio nella cyber-geopolitica dei gruppi hacker finanziati dagli Stati

Ecco come gli Advanced Persistent Threat stanno modificando gli equilibri geopolitici contemporanei. I casi di Estonia, Iran e Ucraina nell’analisi di Domenico Vecchiarino, ricercatore di geopolitica, intelligence e infrastrutture critiche

Negli ultimi anni gli attacchi informatici sono sempre più spesso al centro delle tensioni tra le grandi potenze mondiali. Nell’attuale contesto geopolitico, divenuto fluido e imprevedibile, il cyber-spazio è divenuto il nuovo campo di battaglia dove gli attacchi informatici, caratterizzati da azioni di cyber-intelligence, campagne di informazione e disinformazione e attacchi alle infrastrutture critiche, stanno avendo ripercussioni importanti nelle relazioni internazionali tra gli Stati, tanto da far diventare lo strumento cibernetico un nuovo elemento geopolitico.

DEFINIZIONE

In dottrina non esiste una chiara e unica definizione di geopolitica, ma generalmente possiamo definirla come una disciplina che studia le relazioni tra spazio geografico e azione politica; utilizzando questa definizione, e riportandola in termini cibernetici, possiamo definire la cyber-geopolitica come la relazione tra spazio cibernetico e azione politica, dove gli atti compiuti in questo ambiente, ricadono nello spazio geografico – politico modificandone gli equilibri precedenti. Vediamo come.

GLI ATTORI GEOPOLITICI

Nell’odierno scenario fatto di reti di telecomunicazione, di cavi sottomarini, di hub e di landing point attraverso i quali passa il traffico di internet, gli attori principali sono gli state-sponsored group o APT, Advanced Persistent Threat, che sono sostanzialmente dei gruppi di hacker dietro i quali si cela uno Stato sovrano, che ne finanzia e supporta le attività malevoli. In realtà, il termine APT ingloba due concetti: attacco e gruppo hacker. Nel primo caso, si intente un cyber-attacco mirato e persistente. Nel secondo caso, ci riferiamo al gruppo, che ha organizzato l’attacco, dietro cui si cela uno Stato.

CYBER-CAPABILITY

Gli APT rappresentano quindi una proiezione degli Stati nel cyber-spazio essendo dei soggetti geopolitici non statali ma sempre subordinati all’interesse dello Stato che, attraverso le loro capability esercitano una minaccia all’ordine internazionale precostituito, specie in caso di pesanti attacchi alle infrastrutture critiche nazionali che potrebbero avere conseguenze devastanti. Questi attacchi informatici sono tipici negli scenari di cyber warfare e di hybrid warfare soprattutto nella misura in cui sono “non attribuibili”. Infatti, nessuno degli Stati, presunti originatori di un attacco, ha mai confermato di averlo generato, rimanendo quindi nell’ambito della plausible deniability che non dà origine a processi sanzionatori da parte della comunità internazionale. Ed è proprio questo il terreno geopolitico di scontro delle conflittualità contemporanee e di quelle future, terreno in cui si scontrano gli Stati con i loro eserciti cibernetici e con i loro APT che avranno un ruolo sempre più importante e pervasivo nello scenario internazionale perché dove la conflittualità non può passare attraverso le armi, può passare nel cyber-spazio.

CYBER-DETERRENZA

Allo stesso tempo però questa capacità cibernetica altamente distruttiva ci porta a ragionare in termini di cyber-deterrenza, cioè le nazioni che hanno sviluppato capacità cyber molto importanti, hanno il potere di distogliere altre da un’azione dannosa per il timore di una rappresaglia o risposta cibernetica; sostanzialmente un cyber-potere deterrente.

IL CASO ESTONE

L’importanza geopolitica dei cyber-attacchi si è evidenziata in Estonia il 27 aprile 2007 quando fu rimossa dal centro della capitale Tallin la statua di bronzo del soldato russo dell’Armata Rossa. Il governo estone temeva una rappresaglia militare da parte della Russia, ma non successe nulla sul piano convenzionale, perché pochi giorni dopo, si scatenò un cyber-attacco senza precedenti nella storia. Una massiccia ondata di attacchi DDoS bloccò i computer di banche, strutture governative e media nazionali, che erano connessi in rete. Gli attacchi furono lanciati a sciami, anche a distanza di giorni e si susseguirono per tre settimane su larga scala. Tallin ha incolpato Mosca dell’accaduto, ma senza mai spingersi a un’accusa ufficiale, per non alzare ulteriormente la tensione con l’ingombrante vicino di casa, ma anche perché non aveva le prove certa della colpevolezza della Russia.

STUXNET

Esempio ormai diventato dottrinale è stato l’attacco informatico di Stuxnet che ha sabotato parte del programma nucleare iraniano. Creato e utilizzato nell’operazione Giochi Olimpici, promossa e diffusa dal governo americano in collaborazione con Israele, e secondo le ultimissime indiscrezioni anche di altri Stati, il virus informatico ha messo fuori uso 5.000 centrifughe della centrale di Natanz provocandone un ritardo almeno di tre anni. Alla base dell’azione non ci sarebbe stata “la volontà di distruggere del tutto il programma nucleare iraniano, ma quella di guadagnare il tempo necessario per le sanzioni e per far sì che le azioni diplomatiche facessero effetto”. Strategia che ha portato poi all’Intesa del 2015.

CYBER-ATTACCHI ALLE ELEZIONI

Come poi non ricordare le sospette ingerenze da parte della Russia nella campagna elettorale per le elezioni presidenziali negli Stati Uniti d’America del 2016, sfociate poi nel Russiagate e in tutte le altre polemiche politiche che ne sono derivate. Queste ingerenze hanno poi spinto gli Stati, specie quelli occidentali, a pianificare continue strategie di cybersecurity per proteggere i loro sistemi elettorali dagli attacchi su Internet e manipolazione dei social media da parte di potenze straniere come la Russia e la Cina durante le votazioni.

L’ARTICOLO 5 DELLA NATO

Anche i 30 Stati membri della NATO, durante l’ultimo summit di Bruxelles a giugno 2021, hanno confermato come i cyber-attacchi siano equiparati a qualsiasi altro attacco per l’attivazione dell’articolo 5 del Trattato, che prevede l’assistenza collettiva degli Stati a un Paese alleato qualora esso sia vittima di un attacco armato, e hanno approvato una nuova Cyber Defence Policy per rispondere adeguatamente alle minacce attuali.

IL CASO UCRAINA

Ma l’esempio più esplicativo della dirompenza degli attacchi informatici è riscontrabile nel caso dell’Ucraina che, per via dei rapporti più che burrascosi con la confinante Russia, è nel mirino degli hacker di Mosca della protesta di Euromaidan. Kiev, infatti, è stata oggetto di una campagna di attacchi informatici cha hanno riguardato non solo azioni di hacking utilizzate nell’infowar russa sulla questione della Crimea e del Donbass, ma anche di attacchi alle infrastrutture critiche. Per due volte l’Ucraina è stata attaccata con due intrusioni alla rete elettrica, una nel 2015 con il malware BlackEnergy, e l’altra nel 2016 con il malware Industrioyer (detto anche Crashoverraide), che hanno causato estesi e lunghi blackout. Nel 2017, invece, il virus NotPetya provocò il caos in banche, giornali e aziende. L’ultimo attacco avvenuto qualche giorno fa, nel quale sono state colpite alcune strutture strategiche del Paese e soprattutto il ministero degli Esteri, con un malware distruttivo secondo Microsoft, i cui sospetti ricadono su Mosca, ha ulteriormente aumentato le tensioni tra est e ovest, alimentando i timori di un’invasione russa in Ucraina.



×

Iscriviti alla newsletter