A marzo, pochi giorni dopo l’allaccio della rete elettrica ucraina a quella europea, i servizi segreti del Cremlino hanno tentato – senza successo – di fare saltare le centrali di controllo sfruttando un malware noto come Industroyer 2. Ecco cos’è successo
Emergono notizie dal fronte cyber in Ucraina, che finora pareva più quieto di quanto non si aspettassero gli analisti. Martedì sono stati resi noti i dettagli delle operazioni nel quinto dominio, condotte dalla Russia ai danni dell’infrastruttura energetica ucraina. A metà marzo i servizi russi avrebbero provato a far saltare la rete elettrica attaccando diverse centrali, ma non è andata come speravano.
Le informazioni arrivano da un documento stilato dalla Computer Emergency Response Team (Cert) del governo ucraino, condiviso con diversi partner internazionali e visto da alcune testate statunitensi. Si parla di “almeno due tentativi andati a termine”; uno è avvenuto pochi giorni dopo che l’Ucraina si è collegata alla rete energetica europea per ridurre la rua esposizione alla Russia.
Quando la notizia è stata resa nota, il vicedirettore della divisione governativa per lo Sviluppo digitale Victor Zhora ha definito il documento “preliminare”. Questo non ne invalida i contenuti: anzi, l’ufficiale ha riconosciuto l’apporto di squadre internazionali, tra cui il Cybercommand statunitense, e di due aziende, Microsoft ed ESET. Le informazioni condivise da queste ultime hanno permesso di ricostruire quanto avvenuto.
Il contesto: l’Ucraina è vittima di una sequela di ciberattacchi russi da almeno otto anni, come ha ricordato Zhora. Ma secondo gli esperti, gli attacchi avvenuti a marzo 2022 ricordano da vicino due istanze, nel 2015 e 2016, in cui gli aggressori – che gli Stati Uniti e altri hanno identificato come Sandworm, ossia l’unità 74455 dei servizi segreti russi – erano riusciti a interrompere le operazioni della rete elettrica russa.
In particolare, l’incidente del 2016 fu condotto mediante un codice malevolo soprannominato Industroyer. Un esperto di ESET ha spiegato ad ABC che il programma era costruito per accendere e spegnere gli interruttori in una sequenza progettata per causare un blackout, oltre a distruggere i computer. Gli Usa hanno poi accusato sei ufficiali del Gru, e diversi Paesi occidentali hanno incriminato Sandworm, responsabile anche dei disastri causati da un altro malware – NotPetya – nel 2017.
Anche lo scorso marzo gli aggressori sono riusciti a penetrare e mettere fuori uso parte del sistema di controllo della rete elettrica ucraina, usando un’iterazione del malware che i ricercatori hanno soprannominato Industroyer 2. Stavolta, però, la la squadra di difesa ucraina è stata in grado di prevenire i blackout, nonostante fosse più difficile intervenire manualmente per rimediare all’emergenza per via degli invasori.
“Abbiamo a che fare con un avversario che ci ha perforato per otto anni nel ciberspazio”, ha detto Zhora ai giornalisti martedì. “Il fatto che siamo stati in grado di impedirlo dimostra che siamo più forti e preparati [rispetto all’ultima volta]. La minaccia era seria, ma è stata prevenuta in modo tempestivo: sembra che siamo stati molto fortunati”.
