Oggi il sito del ministero, domani il bancomat in tilt, dopodomani la luce elettrica. C’è un’escalation nell’escalation dentro la crisi ucraina. Nel dominio cibernetico, in Ucraina, la guerriglia è già scoppiata. L’ultimo blitz a Luhansk, la regione ad Est che la Russia vorrebbe annettere. Un blackout della rete di Vodafone, unico operatore della zona, ha isolato intere città. Per Stefano Zanero, docente di Computer security al Politecnico di Milano, la cyberwarfare nel Donbas ha un obiettivo preciso.

Quale?

La tenuta psicologica della popolazione, per questo vengono colpiti servizi essenziali. È un copione noto in prossimità di una guerra. Soprattutto in Ucraina dove in tempi recenti ci sono stati attacchi contro le centrali elettriche.

Sono solo un avvertimento?

Gli attacchi ai sistemi di distribuzione e ai servizi essenziali servono a diffondere caos tra la popolazione civile, un classico durante un conflitto militare. È un concetto già proprio della guerra elettronica, quando ancora la cyberwarfare non esisteva.

Nello specifico di che attacchi parliamo?

Stando alle cronache, siamo di fronte a classici attacchi Ddos (Denial of service), particolarmente efficaci quando colpiscono siti molto visibili, come appunto quelli istituzionali. Non sono una rarità né richiedono gruppi sofisticati. E raramente riguardano le infrastrutture critiche.

Perché?

Perché le infrastrutture più sensibili solitamente non sono interamente dipendenti dalla disponibilità di internet, hanno sistemi per resistere a guasti e sospensioni della rete. Non sappiamo ancora se si tratta di un attacco coordinato: lo capiremo dai frutti che darà.

Come funziona un attacco Ddos?

Il classico meccanismo consiste in una competizione a chi riesce a generare più traffico su un server per mandarlo in tilt. Tutti i sistemi informatici sono vulnerabili a questi attacchi. Se hai una capacità pari a “dieci” e un aggressore genera un traffico pari a “cento”, il sistema salta.

Cosa serve per far saltare una centrale di energia?

Solitamente un malware. È un metodo già sperimentato contro l’Ucraina: il “virus” viene iniettato in una delle aziende che gestiscono la rete elettrica intercettando le password dei tecnici che lavorano negli impianti. Di qui gli aggressori possono causare danni gravissimi, anche fisici. Magari manipolando gli Ups, gli apparecchi che gestiscono il flusso di energia in caso di guasto.

È il caso della Colonial Pipeline, il gasdotto americano colpito da un attacco cyber l’anno scorso?

Difficile dirlo, anche se una differenza si può sicuramente ravvisare. In quel caso gli aggressori erano finanziariamente motivati. Intervistato sotto anonimato, uno degli hacker ha confessato l’unico obiettivo di un attacco che ha messo in ginocchio il Paese: fare i soldi.

Qui invece?

Mi sembra che la finalità sia diversa. Stiamo assistendo ad attacchi contro servizi essenziali per generare caos che, per il momento, non hanno un ritorno economico per gli aggressori.

In questi mesi si è parlato di “killware”: un attacco contro un’infrastruttura critica che può portare all’uccisione di persone in carne ed ossa. È fantasy o realtà?

Non è fantasy, ma non c’è bisogno di inventare nuovi termini: esistono già. Ci sono attacchi che assieme ai danni informatici provocano danni cinetici. Gli stessi causati da un missile o un proiettile. Difficile però coglierne l’utilità in una zona di guerra.

L’Agenzia per la cybersicurezza nazionale ha messo in guardia le aziende italiane in Ucraina. C’è una lezione da imparare?

Direi di sì: questa minaccia è molto più vicina di quanto pensiamo. Il nostro Paese spesso si crede poco rilevante. Dovremmo ricordarci che siamo uno Stato chiave dell’Ue e della Nato e abbiamo infrastrutture di fondamentale interesse strategico.