L’operazione internazionale Eastwood, guidata dalla Procura di Roma e supportata da Europol e Interpol, ha portato a mandati di arresto contro hacker filorussi responsabili di attacchi DDoS su infrastrutture critiche. Mettendo a segno un colpo di rilievo nel contrasto alle campagne ibride di sabotaggio e sovversione contro obiettivi strategici di Mosca. Il punto di Beniamino Irdi, Atlantic Council e ceo di Highground
La Russia è impegnata in un’intensa campagna di guerra ibrida contro obiettivi strategici europei e statunitensi, in aggiunta alla guerra su larga scala in Ucraina. Il numero di attacchi russi in Europa è quasi triplicato tra il 2023 e il 2024, dopo essere quadruplicato tra il 2022, l’inizio dell’invasione in Ucraina, e il 2023. Il servizio di intelligence militare russo, la Direzione Generale dello Stato Maggiore delle Forze Armate della Federazione Russa (Gru), congiuntamente alle altre agenzie di intelligence russe, hanno spesso reclutato risorse locali per pianificare ed eseguire missioni di sabotaggio e sovversione.
Chi sono gli attori coinvolti
Per quanto riguarda il dominio cibernetico, i gruppi di hacker maggiormente coinvolti sono l’Unità 26165, appartenente al servizio militare russo e nota nel mondo cyber come “Fancy Bear” ed il gruppo di hacktivisti NoName057. Se i target (organizzazioni governative e aziende private nei settori della difesa, dei trasporti, della navigazione marittima, della gestione del traffico aereo e dell’informatica), non differiscono a seconda del gruppo, sono le modalità di reclutamento a costituire una differenza strategica. Mentre l’Unità 26165 è appartenente all’intelligence di Mosca, che ne delinea target e modalità di attacco, il gruppo NoName è costituito da civili, cittadini russi, occidentali, europei, italiani. Questi, reclutati tramite Telegram, il cui utilizzo per i fini di hybrid warfare è ormai noto, vengono scelti per via della loro vicinanza alle ideologie e alla causa di Mosca ed attivati come vere e proprie cellule operative cibernetiche, di varia provenienza, per la conduzione di operazioni coordinate.
L’operazione Eastwood
Guidata dalla Procura di Roma, coordinata dalla Dna e condotta dal Centro Nazionale per la Protezione delle Infrastrutture Critiche e dalla Polizia Postale, l’inchiesta ha visto la cooperazione di Italia, Germania, Stati Uniti, Paesi Bassi, Svizzera, Francia e Spagna ed il supporto di Interpol ed Europol. Il risultato è stato l’emanazione di 5 mandati di arresto internazionale contro gli hacker filorussi, responsabili di attacchi informatici Ddos contro sistemi di trasporto, banche, operatori sanitari e reti di telecomunicazioni.
Ripensare i fondamenti della sicurezza nazionale attraverso collaborazione e consapevolezza
Secondo Beniamino Irdi (Atlantic Council e Ceo di Highground), l’operazione Eastwood mette in luce due punti fondamentali: la dispersione e la gradualità delle minacce. “L’inchiesta mette in luce due delle caratteristiche fondanti delle minacce ibride”, avverte il ceo di Highground. Secondo Irdi, la dispersione interna delle minacce, ovvero il targeting di obiettivi che appartengono a domini completamente diversi tra loro e la scarsa comunicazione tra i loro settori di appartenenza avrebbero l’effetto di rendere “più complesso il lavoro di costruzione di un quadro completo da parte delle autorità competenti”, rendendo necessario “un ripensamento del concetto stesso di sicurezza nazionale”. Irdi individua poi nell’attività degli hacker filorussi un secondo elemento costitutivo delle minacce ibride: la gradualità. “Il modus operandi di questi gruppi mostra come l’intento non sia quello di condurre un unico attacco massivo e dirompente, bensì migliaia di piccoli attacchi che possano erodere lentamente e gradualmente il normale andamento della società”.
La collaborazione e la cooperazione tra i Paesi europei ed Europol e Interpol mostrano poi, secondo Irdi, “un segnale molto incoraggiante perché di fondamentale importanza per il contrasto alle minacce ibride”. La consapevolezza diffusa dei paradigmi di attacco ibrido e la difesa comune, collaborativa e partecipativa costituiscono, dunque, un punto di partenza per il ripensamento tattico ed operativo – nonché cognitivo – dei pilastri della sicurezza nazionale ed europea. Sperando che questo approccio di collaborazione ed efficace contrasto possa espandersi, dal singolo vettore di attacco cibernetico all’intero ventaglio delle minacce ibride – e cinetiche – rivolte verso l’Europa e l’Italia.
