Come la guerra sul campo, anche la guerra cyber russa contro l’Ucraina si adatta, cambia, evolve. Dagli hacker pluripremiati del Cremlino alle gang bielorusse, chi si muove sul campo per colpire la resistenza. L’analisi di Federico Berger, esperto di social media intelligence
Che la disinformazione in ambienti digitali non sia più un mestiere per pochi amatoriali, desiderosi di racimolare qualche spicciolo in più con articoli sensazionalistici fabbricati ad hoc dai titoli roboanti, è ormai ampiamente sotto gli occhi di governi e istituzioni. A partire dalle elezioni Usa 2016 (vero e proprio spartiacque per quanto riguarda le campagne di influenza informativa online) si è assistito alla progressiva sofisticazione e pervasività di queste attività sia dal punto di vista delle narrative impiegate, sia per quanto riguarda gli aspetti squisitamente tecnici.
Anche se le operazioni di hack and leak al comitato elettorale di Hillary Clinton sembrano un lontano ricordo, la guerra in Ucraina ha dimostrato come le campagne di disinformazione odierne richiedano necessariamente infrastrutture informatiche con un certo costo e capacità di programmazione di buon livello. Due componenti cardine nelle manovre dei cosiddetti gruppi di hacker state-sponsored o Apt, collettivi che vengono finanziati da attori statuali e agiscono per conto di governi o dei servizi di intelligence a vario scopo. Anche se questi avversari si occupano in larga parte di infiltrarsi nei network nemici o di compromettere i sistemi, talvolta possono anche essere impiegati come supporto tecnico nelle InfoOps e nelle attività disinformative strutturate.
Stando quindi a un report pubblicato dal gigante della cybersecurity Mandiant sulle Information Operation del Cremlino durante l’invasione del Paese vicino, il conflitto tra Mosca e Kiev è solo il più recente esempio di come i gruppi Apt abbiano un ruolo di primo piano nel processo, alcuni di questi noti da diverso tempo e riconducibili alla stessa Russia o all’amica Bielorussia.
Come il collettivo noto con il nome di Apt28, manovrato dalla principale agenzia di intelligence militare russa o Gru. Secondo i servizi segreti ucraini, questo avversario state-sponsored sembra controllare una fitta rete di canali Telegram particolarmente attivi dallo scoppio del confronto bellico. Nonostante il processo di attribuzione risulti piuttosto complesso, in concomitanza con l’invasione militare è stato rilevato come i contenuti delle chat fossero tesi a minare la fiducia della popolazione ucraina nei confronti del governo Zelensky (impreparato a rispondere all’aggressione) e ad allontanare l’Ucraina dai suoi partner occidentali (che avrebbero abbandonato il Paese al suo destino).
Anche Minsk sembra aver partecipato alle InfoOps contro Kiev tramite Ghostwriter, gang già nota per le sue InfoOps contro la Nato allo scoppio della pandemia. Il gruppo ha fatto leva su un portale craccato e su un mix di account compromessi o già controllati sui social media per fomentare sfiducia e tensione tra il popolo ucraino e il Governo polacco. Le azioni del collettivo (manovrato con buona probabilità dai servizi di spionaggio bielorussi) si sono incentrate anche sulla promozione di articoli d’opinione contro l’Alleanza atlantica e la sua presenza nei Paesi baltici, portando esempi e riferimenti alla delicata situazione in Ucraina con grande frequenza. Inoltre, nelle settimane appena precedenti all’invasione, sono state registrate diverse campagne di phishing condotte dagli avversari bielorussi (specialmente in Lituania) che potrebbero aver fornito la base tecnica per le successive campagne disinformative.
Anche le campagne di lungo corso di bandiera russa hanno modificato il loro modus operandi allo scoppio del conflitto. Secondary Infektion, orchestrata con buone probabilità dal Cremlino, è stata particolarmente attiva, con le operazioni malevole che si sono concentrate sulla distribuzione di fonti falsificate, documenti creati ad hoc (forgery), screenshot o interviste contraffatte per minare la credibilità della controparte ucraina. Le principali narrative impiegate riguardano il presunto suicidio del presidente Zelensky in un bunker a Kiev (tracciata a marzo) e la presunta voglia di vendetta del battaglione Azov (risalente ad aprile) contro la stessa figura apicale di Kiev, colpevole di aver lasciato morire i suoi combattenti a Mariupol.
In conclusione, non poteva mancare all’appello l’Internet Research Agency (Ira), già celebre per i tentativi di influenza nel dibattito pubblico sui social media durante USA 2016. Alcuni report sottolineano come l’Ira stia portando avanti una sofisticata InfoOps attraverso il canale Telegram “Cyber Front Z”.
La chat è dedicata alla promozione delle istanze russe nel contesto della guerra in Ucraina attraverso la pubblicazione di materiale propagandistico (inclusi diversi meme) presso il pubblico domestico, nel paese invaso e nell’infosfera occidentale attraverso le piattaforme digitali. Dalle analisi sembrerebbe come il canale sia manovrato da individui collegati ad entità attualmente sotto sanzioni da parte degli Stati Uniti. Mentre queste accuse sembrano complesse da verificare, è possibile affermare come le procedure osservate siano piuttosto simili a quelle adottate dall’Ira con altri asset e in altre circostanze.
