Tutti gli attori della cyber war in Ucraina

Da una settimana il mondo sta assistendo all’invasione delle truppe russe in Ucraina. Minuto per minuto vediamo le immagini di blindati, carri armati ed elicotteri impegnati nelle operazioni belliche, in quel che fino adesso sembrerebbe essere un classico conflitto convenzionale. Quello che non riusciamo a vedere, almeno nelle immagini, è lo scontro cibernetico in corso, altrettanto violento, che sta coinvolgendo numerosi attori sul fronte.

LA GUERRA IBRIDA

In questi anni Kiev, per via della «Gibridna viyna», ovvero la guerra ibrida, è finita spesso nel mirino degli hackers di Mosca. Sin dell’inizio delle proteste di Euromaidan, la Russia è stata protagonista di una campagna di attacchi informatici cha hanno riguardato non solo azioni di hacking utilizzate nell’Infowar sulla questione della Crimea e del Dombass, ma anche di attacchi alle infrastrutture critiche. Per due volte, infatti, l’Ucraina è stata attaccata con due intrusioni alla rete elettrica: una nel 2015 con il malware BlackEnergy, e l’altra nel 2016 con il malware Industrioyer (detto anche Crashoverraide), che hanno causato lunghi ed estesi blackout. Nel 2017, invece, il virus NotPetya provocò il caos in banche, giornali e aziende. Nei primi giorni di quest’anno, con un ulteriore attacco informatico, sono state colpite alcune strutture strategiche del Paese, soprattutto il ministero degli Esteri, con un malware definito distruttivo da Microsoft.

GLI ATTACCHI PRE INVASONE

A partire dal 15 febbraio, una serie di attacchi informatici DSoS, Distributed Denial of Service, che consistono nel tempestare di richieste un sito fino a metterlo ko e renderlo irraggiungibile, hanno colpito numerosi enti e servizi in Ucraina. Il 23 febbraio le agenzie di sicurezza americane Cisa, Fbi, National Security Agency, a cui ha fatto seguito l’alert del Csirt Italia, hanno segnalato la diffusione di Cyclops Blink, un malware modulare distribuito verso dispositivi di rete esposti su Internet, in particolare relativi al prodotto WatchGuard. Le agenzie hanno ricondotto Cyclops Blink a Sandworm, noto gruppo di cybercriminali legata al governo russo. Nelle stesse ore l’Ucraina veniva colpita da ulteriori attacchi informatici in cui sono stati presi di mira i siti web di diverse banche e dipartimenti governativi diventati inaccessibili. Dalle analisi svolte i tecnici di Eset e Symantec, due società di sicurezza informatica, hanno individuato un malware, chiamato poi ‘HermeticWiper’ in grado di distrugge i dati presenti su un dispositivo rendendolo inutilizzabile.

INFOWAR

Poche ore prima dell’invasione, e soprattutto dopo il discorso del Presidente Putin, l’apparato mediatico pro-Cremlino ha invece preparato il terreno per l’invasione, classificando il governo ucraino come nazista e genocida, proponendo l’immagine delle forze russe come una forza di liberazione. Una infowar che ha spinto l’Unione Europea all’interdizione di Russia Today e Sputnik dal mercato dell’Ue su tutti i media.

IL CONFLITTO CIBERNETICO

Ma quello che sta accadendo nel cyberspazio, va oltre la propaganda e le fake news. Dopo l’ingresso dei tank di Mosca in Ucraina, a fianco di Kiev si sono schierati diversi gruppi internazionali di hackers, che attraverso le loro incursioni stanno trasformando il conflitto convenzionale anche in una cyber war.

ANONYMOUS

Il primo gruppo a mettere i “boots on the cyberspace” è stato Anonymous, uno dei più noti gruppi di hacker al mondo, che ha avviato l’operazione #OpRussia con la quale ha finalizzato alcuni attacchi informatici contro i media russi, bloccando temporaneamente il sito del Cremlino, di alcuni media e agenzie di news tra cui l’agenzia Tass e l’emittente RT. Gli hacker del gruppo hanno attaccato anche il Graceful, lo yacht di Vladimir Putin, che per diverse ore e sui dati di navigazione del portale Vesseltracker, dove sono tracciate tutte le navi del mondo, è apparso come FCKPTN, sigla che è facile riconoscere come un insulto al presidente russo ma senza vocali.

GHOSTSEC

Con lo slogan “A sostegno del popolo ucraino, SIAMO CON TE!” si è schierato anche il gruppo Ghost Security. Questo gruppo, considerato una propaggine di Anonymous, si era originariamente formato per attaccare i siti web dell’ISIS che predicano l’estremismo islamico.

CYBERPARTISANS BIELORUSSI

A prendere posizione al fianco degli ucraini sono attivati anche i CyberPartisans bielorussi, gruppo hacker anti Lukashenko, già autore di numerosi attacchi informatici. Il gruppo di hacker è riuscito ad accedere ai computer che controllano il sistema ferroviario bielorusso, fermando i treni a Minsk e Orsha, nonché nella città di Osipovichi con lo scopo di rallentare il trasferimento in Ucraina delle truppe russe stanziate in Bielorussia.

IT ARMY OF UKRAINE

Ma i volontari ucraini non si sono arruolati solo nelle milizie locali, ma anche in quelle cibernetiche. Secondo Mykhailo Fedorov, vice primo ministro ucraino e ministro per la trasformazione digitale, in questo Esercito Cibernetico Ucraina si sarebbero iscritte 175000 persone. Molti sono stati incaricati di attacchi DDoS contro siti Web russi, inclusi siti Web governativi, banche e società energetiche. Il 27 febbraio, i funzionari hanno anche detto ai volontari di prendere di mira i siti web registrati in Bielorussia. Fedorov ha rilasciato l’elenco degli obiettivi, tra cui secondo Reuters ci sarebbe anche la rete elettrica russa.

SANDWORM

A scendere in campo al fianco di Mosca c’è Sandworm, gruppo di hacker sponsorizzato dall’intelligence russa, in particolare al GRU, il servizio informazioni delle Forze armate russe, che in Ucraina è di casa, dato che al gruppo vengo attributi gli attacchi alla rete elettrica del 2015 e 2016. Sandworm è poi responsabile del già citato attacco con il malware Cyclops Blink dei giorni scorsi.

IL GRUPPO RANSOMWARE CONTI

Curioso poi il caso del gruppo ransomware Conti che si è schierato a favore della Russia, esprimendo pieno sostegno al governo di Putin e minacciando di rispondere ad eventuali attacchi portati alle infrastrutture critiche russe. Ma un infiltrato ucraino nel gruppo ha deciso di uscirne e ha rilasciato oltre 60.000 conversazioni private degli hackers causando un duro colpo all’organizzazione.

THE RED BANDITS

Sul fronte russo ci sono poi i The Red Bandits, un gruppo che con un tweet ha dichiarato di aver hackerato la Polizia ucraina e ha minacciato Kiev di ulteriori attacchi con ransomware “se l’Ucraina non fa ciò che vuole la #Russia, aumenteremo i nostri attacchi contro l’Ucraina”.

GLI APT RUSSI

Ma quelli che in realtà fanno più paura (e più danni) sono tutti gli state sponsored group, o APT, finanziati dalla Russia, come Fancy Bear, Turla, The Dukes e Armagedon. Questi gruppi, già autori in passato di importanti attacchi informatici, sono quelli che stanno danno più preoccupazioni alle agenzie di intelligence e cyber security nazionali perché sono quelli che hanno le maggiori capacità di attacco, specie alle infrastrutture critiche.

L’ALLARME DALL’AGENZIA PER LA CYBERSICUREZZA NAZIONALE

E proprio agli operatori delle infrastrutture digitali sono stati rivolti i numerosi alert dall’Agenzia per la Cybersicurezza Nazionale. L’ultimo, di qualche giorno fa, tramite un nuovo bollettino emesso dallo CSIRT Italia, segnala l’acuirsi delle attività malevole nello spazio cibernetico e raccomanda nuovamente tutti gli operatori di infrastrutture digitali nazionali di adottare una postura di massima difesa cibernetica.

LA POSIZIONE DELLA NATO

A fare da sponda all’ANC è arrivato anche il monito del Segretario Generale della Nato, Jens Stoltenberg, che ha ribadito che un attacco cyber a un Paese dell’Alleanza può innescare l’articolo 5 del Trattato, e quindi una assistenza o intervento da parte di tutti gli altri Stati membri. Segnale che nella Nato c’è una forte attenzione per una possibile cyber escalation oltre l’Ucraina.

GLI ATTACCHI ALLE INFRASTRUTTURE CRITICHE ENERGETICHE

Infatti, l’allarme di cyber attacchi contro le infrastrutture critiche è altissimo, specie per quelle energetiche. Questo settore, già oggetto di numerosi cyber attacchi negli ultimi anni, è al centro del mirino perché potrebbe essere oggetto di ritorsioni di Mosca. Con i governi europei alla ricerca di fonti energetiche alternative alla Russia, le infrastrutture non collegate alle reti di Mosca potrebbero essere oggetto di attacco informatico di quest’ultima, volto a paralizzarne le attività per mettere sotto maggiore pressione l’Europa.