La guerra in Ucraina è combattuta su tutti i fronti, e oltre a soldati e aerei, sono impiegate anche le tattiche cibernetiche, non meno nefaste. Per la sopravvivenza dello Stato, è fondamentale diffonderne la consapevolezza nella società, implementare forme di deterrenza, investire nella formazione e sviluppare nuove tecnologie. L’analisi per Airpress di Emanuele Galtieri, amministratore delegato di Cy4Gate
Diceva il generale Carl Von Clausewitz, nel suo famoso trattato di strategia militare “Della guerra”, del 1830, che “la guerra non è che la continuazione della politica con altri mezzi, essa è un atto di forza per disarmare il nemico e ridurre l’avversario al nostro volere”.
La degenerazione a cui abbiamo assistito tra Russia e Ucraina, a cui è conseguita l’invasione territoriale, fa nuovamente riecheggiare come attuali le parole dello stratega prussiano, e anima le discussioni sui giornali, nei blog e nei salotti dei think tank di tutto il mondo intorno a una guerra combattuta su più fronti: alla tradizionale mobilitazione fisica di truppe e mezzi terrestri, navali e aerei russi, si affiancano tattiche più subdole, apparentemente meno distruttive (ma di certo non meno nefaste) dei conflitti simmetrici, che si estendono all’impalpabile nuova dimensione cibernetica: è la cyber war.
A supportare le truppe sul campo di battaglia, a complemento e integrazione delle operazioni belliche condotte sul terreno, si moltiplicano le operazioni cibernetiche a danno delle Istituzioni e della società civile ucraina nonché contro quegli Stati schieratisi in aperto contrasto con le politiche dello zar Putin.
La cyber war è solo una nuova modalità di condurre un conflitto, a volte complementare ad esso, con le stesse finalità di una guerra tradizionale, così come magistralmente descritta nel 1830 da Von Clausewitz, seppur con il ricorso ad alcune peculiarità tattiche e strategiche proprie dello specifico dominio.
Il conflitto cibernetico fa leva, infatti, su una escalation di tecniche e tattiche cibernetiche che vanno a incidere prioritariamente sulla sfera emotiva di una comunità, puntando ad indebolirla attraverso la creazione di dubbi e incertezze idonei a generare nell’attaccato la percezione di un attaccante capace di esprimere una forza soverchiante e tale da indurre l’opponente ad accettare più agevolmente le condizioni per la resa. È una guerra che, pur non neutralizzando le capacità di impiego della forza da parte dell’avversario, si insinua tra le crepe di una supposta inferiorità, piegandone il volere sino alla resa.
E man mano che passano i giorni e le settimane, i contorni della strategia di cyber attacco adottata dalla Russia risultano sempre più nitidi: nei giorni antecedenti l’invasione si è assistito a importanti “bombardamenti cibernetici” nelle forme del Distributed denial of service (DDoS) a danno di istituzioni o aziende. Si è trattato di un attacco massiccio consistente nell’inviare contemporaneamente e da più parti grandi quantità di dati a specifici target strategici (organizzazioni governative e infrastrutture critiche) per impedire agli utenti di accedere alle risorse di rete, impedendo così l’erogazione di servizi essenziali.
Ed era da subito chiaro che la guerra nel dominio cyber non si sarebbe combattuta solo a colpi di DDoS; in realtà questo incipit voleva essere un modo per occultare temporaneamente agli occhi dell’Ucraina e della comunità internazionale la pianificazione di una seconda e più cruenta fase dell’attacco con l’impiego (tutt’oggi in atto) di un’arma più potente del DDoS, i malware. Si tratta spesso di malware di recente creazione, quindi sconosciuti e capaci di sfuggire ai sistemi di detezione: sono delle vere e proprie “bombe cibernetiche” create ad hoc da gruppi di attivisti hacker, talora legati allo Stato attaccante.
Il primo malware è stato individuato dagli esperti Usa e Uk il 22 febbraio scorso; si tratta di HermeticWiper, un prodotto capace di danneggiare irrimediabilmente i dati di sistema necessari all’avvio di un Pc nonché di sovrascrivere altri dati sui dischi di storage per rendere inutilizzabili tutte le informazioni ivi immagazzinate. Una volta cancellati, i file non sono più recuperabili e i Pc non sono più riavviabili. Lo scopo di Hermetic Wiper non è quindi rubare informazioni, ma semplicemente distruggerle. Il malware, particolarmente insidioso, utilizza tecniche di occultamento molto efficaci, che ne ostacolano l’identificazione in tempo reale.
E il 24 febbraio fa la sua comparsa un secondo malware, denominato Cyclops Blink, attribuito a Sandworm, gruppo di hacker russi asseritamente vicini agli apparati statali del Paese. Il malware ha agito infettando i firewall prodotti dalla società statunitense WatchGuard (usati generalmente a protezione di account business), per poi impiantarsi sui dispositivi infetti con la finalità di esfiltrare i dati memorizzati verso un comando e controllo esterno. È un malware persistente e che – andando ad attecchire in profondità sul firmware del dispositivo infettato – con un semplice riavvio o con il ripristino delle informazioni di fabbrica non si riesce ad eliminarlo.
Ci si trova, insomma, a fronteggiare una guerra in cui i fiancheggiatori non sono solo i tradizionali Stati amici, ma possono esserlo anche gruppi che non vestono l’uniforme, che non hanno prestato un giuramento di fedeltà alla Patria, che non hanno un’identità e un quadro di regole di ingaggio a cui obbedire: oltre a Sandworm, difatti, i russi sono appoggiati da altri threat actors aggressivi, come Conti, che ha creato l’omonimo potente ransomware, Red Bandits (che si descrive come un gruppo di cyber criminali russi) e Coming Projects (un gruppo che crea ransomware).
Sul fronte ucraino, invece, alla chiamata alle armi cibernetiche del presidente ucraino Volodymyr Zelensky non ha ufficialmente risposto l’Ue o la Nato, ma il noto gruppo attivista internazionale “Anonymous”, che sul proprio account twitter ha dichiarato “guerra cibernetica” alla Russia e ha già provocato un breach sul sito del ministero della Difesa russo, pubblicando on line tutti i database lì disponibili. Permane il dubbio che dietro Anonymous possano anche celarsi apparati di Stati occidentali intenzionati a sostenere, seppur non dichiaratamente per ovvi motivi, la causa del popolo ucraino.
L’esperienza ucraina ci conferma come la disponibilità di tecnologie e competenze cibernetiche avanzate abilitino la consumazione di guerre che nascono, si diffondono e spengono alla velocità della luce, guerre in grado di abbattere ogni barriera imposta dalle distanze e dai confini fisici e politici di una nazione (si dice infatti che la cyber war ha sostituito i confini nazionali con quelli meno palpabili dei fire-wall), guerre in cui l’”imboscata” tradizionale è soppiantata da un “effetto sorpresa” cibernetico perpetrato con malware sconosciuti e insidiosi, che rendono lo scenario ancor più complesso e incerto.
Si tratta di guerre che possono essere combattute con armi tecnologiche molto più economiche delle armi tradizionali. E anche le nazioni con minori disponibilità finanziarie possono più agevolmente equipaggiare delle “cyber troops” o arruolare threat actors esterni agli apparati statali in grado di scatenare efficaci attacchi contro Stati che nei domini storici (air, land, maritime) sono considerati “potenti”.
In questo complesso scenario di precari equilibri geo-politici mondiali, in cui sempre più spesso la spregiudicatezza di alcuni governanti induce a ricorrere alla guerra per il perseguimento di fini politici non conseguiti attraverso la diplomazia, è imprescindibile, per la stessa sopravvivenza dello Stato, percorrere quattro direttrici. Primo, sviluppando opportunamente tra le Istituzioni e la società civile un elevato grado di sensibilità sul tema, nella consapevolezza che si è ormai entrati in uno stato di guerra cibernetica permanente. Poi, abilitando gli attori istituzionali (dall’Agenzia per la cybersicurezza nazionale alle Forze armate, dall’Intelligence alle forze di polizia), attraverso la definizione di un chiaro quadro normativo e ben strutturate regole di ingaggio, ad esercitare in tutta la sua pienezza il ruolo di tutori della sicurezza cibernetica nazionale, autorizzandoli all’implementazione di contromisure cibernetiche di deterrenza e dissuasione verso gli attaccanti.
Terzo, investendo massivamente in formazione, sin dalla tenera età, nelle discipline afferenti al dominio cyber per creare un vivaio di risorse che renda sostenibili nel lungo periodo le politiche di sviluppo e crescita delle competenze necessarie ad irrobustire la capacità di difesa cibernetica nazionale. Infine, favorendo lo sviluppo di prodotti e tecnologie nazionali proprietarie anche attraverso il ricorso a partnership pubblico-private e dedicati incentivi all’industria che investe in ricerca e sviluppo nel settore cyber.
