La Russia è da anni ritenuta responsabile di attacchi informatici contro altri Stati, che ha ripetutamente negato. Ora, l’inchiesta “Vulkan Files” mostra come una società di software di Mosca, la Vulkan, stia sviluppando armi digitali per le agenzie di intelligence russe. Il materiale su cui si è basata la ricerca proviene da un anonimo informatore e dimostra come la Russia possa effettuare attacchi cibernetici su scala globale. I documenti analizzati da oltre 50 giornalisti di otto Paesi diversi – che collaborano con il Guardian, il Der Spiegel, Le Monde o il Washington Post, e la cui autenticità è stata confermata da cinque agenzie di intelligence – dimostrano che la società lavora anche per l’intero apparato dell’intelligence russa: il servizio segreto interno Fsb, quello estero Svr e quello militare Gru.

Secondo Marina Krotofil, della Rete europea per la sicurezza informatica, questi attacchi cibernetici “certamente violano la Convenzione di Ginevra”, perché diretti “contro infrastrutture civili”. Oltre a questo software per la guerra informatica, Vulkan ha prodotto lo Skan-W, programma per la scansione del web alla ricerca di vulnerabilità che possono essere utilizzate per penetrare in altri server, causando danni. Servizi segreti occidentali che hanno visionato i “Vulkan Files” valutano i documenti “autentici e preoccupanti”. Per un’agenzia di intelligence, aziende come Vulkan “consentono al Gru di condurre le sue operazioni informatiche” e programmi come Skan-W sono “decisamente destinati a scopi offensivi”. La minaccia cresce se si considera che la Vulkan è attiva da diversi anni. Google ha, infatti, confermato che un indirizzo e-mail intestato alla società di Mosca era già stato identificato nel 2012, in relazione al malware del gruppo di pirati informatici Cozy Bear. Ritenuti responsabile di numerosi attacchi in Europa e negli Stati Uniti, questi hacker sarebbero in realtà un reparto dello Svr.

Dall’inchiesta giornalistica emerge poi come la Vulkan potrebbe avere contribuito a un ulteriore obiettivo della Russia nella guerra cibernetica: il controllo di Internet nei territori che occupa per determinare i contenuti da mostrare agli utenti. L’azienda ha, infatti, sviluppato il software Amesit che permette di bloccare l’accesso ai canali indesiderati e reindirizzare le richieste degli utenti alle “risorse Internet desiderate nei territori designati”. Secondo una e-mail interna datata 22 novembre 2019, Amesit sarebbe già operativo presso l’Accademia militare dello Stato maggiore russo. Tuttavia, non è noto se il software venga utilizzato anche in operazioni legate alla guerra in Ucraina.

I “Vulkan files”, inoltre, permettono di collegare l’azienda all’Unità 74455 del Gru, nota come Sandworm. In particolare, il materiale trapelato suggerisce che il reparto sia un partner contrattuale di Vulkan. Secondo Krotofil, le parti potrebbero aver condiviso informazioni su potenziali bersagli attraverso un database. Sandworm è ritenuto responsabile di numerosi attacchi informatici su scala globale, tra cui quello che nel giugno 2017 ha colpito anche il gruppo per logistica statunitense Fedex, con danni per circa 370 milioni di euro. Interpellato sui “Vulkan Files”, il presidente del Comitato di controllo del Bundestag sui servizi segreti tedeschi, Konstantin von Notz dei Verdi, ha dichiarato che l’inchiesta rende evidente “l’esistenza di un pericolo reale dal cyberspazio per le infrastrutture critiche in Germania”.

“Se queste informazioni dovessero risultare autentiche, come sembra e com’è anche già stato confermato da diverse agenzie di intelligence occidentali, lo scenario che emerge è ancora una volta legato all’utilizzo da parte di alcuni governi – tra cui quello russo – di soggetti e strutture terze per la conduzione delle operazioni cibernetiche offensive politicamente più rischiose”, spiega Stefano Mele, partner e responsabile del dipartimento cybersecurity law dello Studio legale Gianni & Origoni, a Formiche.net. “Il subappalto di queste attività, infatti, risulta molto utile per tenere ancora più lontane dal governo che le commissiona e le sponsorizza le eventuali responsabilità morali, politiche e giuridiche che dovessero emergere all’esito del processo di attribution del soggetto colpito. In sostanza, è una specie di ‘filtro’ che viene frapposto tra il governo che richiede, finanzia e autorizza le operazioni cibernetiche e il soggetto che subisce l’effetto dell’attacco cyber. Tuttavia, questo schema funziona bene solo finché non emergono i legami tra il governo e il soggetto che ha agito, come parrebbe essere accaduto in questo caso”, aggiunge il legale.

Si tratta di un modus operandi abbastanza noto e ben documentato, soprattutto se guardiamo al mondo delle organizzazioni criminali che operano nel cyberspazio, osserva ancora Mele. “In alcune parti del mondo, infatti, è ormai molto frequente che, in cambio della più ampia impunità per i reati commessi, le principali organizzazioni di cyber criminali offrano i loro ‘servizi’ a uno o più governi. Le regole di questo patto sono due e sono molto semplici: essere sempre a disposizione delle strutture governative con cui hanno un accordo e non colpire mai soggetti pubblici e privati, in patria e all’estero, della loro stessa nazionalità”, conclude l’avvocato.