Una penetrazione informatica di dimensioni massicce, tra le più estese registrate dall’inizio della guerra, ma capace di rimanere nascosta agli occhi esterni. È lo stesso Sbu, il servizio segreto ucraino, a rendere pubblico quanto avvenuto al colosso ucraino delle telecomunicazioni Kyivstar. La compagnia ucraina è stata infatti vittima di un attacco hacker russo definito da Illia Vitiuk, capo del dipartimento informatico del Sbu, come causa di enormi distruzioni e mirato, oltre che alla raccolta di informazioni sensibili, a lanciare un “grande avvertimento, non solo per l’Ucraina, ma per tutto il mondo occidentale, affinché capisca che nessuno è intoccabile”.

Un’operazione messa in atto con tempistiche dilatate. La vera e propria azione disruptive è iniziata infatti il 12 dicembre del 2023, mentre il presidente ucraino Volodymyr Zelensky si recava a Washington per chiedere ulteriori aiuti militari, ed è durata per alcuni giorni, impedendo la corretta erogazione dei servizi offerti dalla compagnia a circa 24 milioni: Vitiuk descrive l’attacco come il probabile primo esempio di cyberattacco distruttivo che “ha completamente distrutto il cuore di un operatore di telecomunicazioni”, inficiando l’operatività di migliaia di server virtuali e computer. I bancomat che utilizzano le Sim Kyivstar per internet hanno smesso di funzionare e la sirena antiaerea (utilizzata durante gli attacchi con missili e droni) non ha funzionato correttamente in alcune regioni. Inoltre, code e disagi si sono verificati in tutto il Paese per l’urgenza delle persone affette dai malfunzionamenti di dotarsi di una Sim funzionante.

Ma le investigazioni del Sbu seguite a questi eventi hanno dimostrato come gli hacker fossero riusciti a penetrare nel sistema di Kyivstar già molto tempo prima. Anche se non è possibile stabilire la data esatta dell’intrusione nell’infrastruttura, il dipartimento informatico del servizio di sicurezza ucraino ha reso noto che gli agenti ostili “erano nel sistema almeno dal maggio 2023”, sebbene il pieno accesso sarebbe stato raggiunto soltanto nel mese di novembre. In questo lasso di tempo il livello di accesso ottenuto dagli hacker avrebbe permesso loro di rubare informazioni personali, capire la posizione dei telefoni, intercettare i messaggi Sms, e forse rubare gli account di Telegram coinvolti. Ma la compagnia coinvolta ha dichiarato che le indagini “non hanno rivelato casi di compromissione di dati personali”.

Dopo il verificarsi delle disruption, Kyivstar e Sbu hanno collaborato per ripristinare rapidamente i sistemi della compagnia di telecomunicazioni (tornati a essere pienamente funzionanti già dal 20 dicembre), oltre che per respingere nuovi attacchi informatici. Che non sono mancati: “Dopo la grave interruzione ci sono stati numerosi nuovi tentativi volti a danneggiare ulteriormente l’operatore”, ha dichiarato Vitiuk. Il capo del Sbu ha anche rassicurato che l’attacco non ha avuto un grande impatto sull’esercito ucraino, il quale non si affida agli operatori di telecomunicazioni privati, e utilizza “algoritmi e protocolli diversi” come base per le proprie capacità di natura militare, come il rilevamento dei droni o dei missili.

I sospetti delle autorità ucraine cadono su un gruppo di hacker russi noto come Sandworm, un’unità dell’intelligence militare russa (il celebre Gru) dedita alla guerra informatica che è stata collegata ad attacchi informatici sia in Ucraina che altrove; e in particolare, un gruppo affiliato noto come Soltsepyok. Già un anno fa, secondo Vitiuk, Sandworm avrebbe tentato un’intrusione nel settore delle telecomunicazioni ucraine, intrusione fallita grazie alla pronta reazione di Kyiv, che non aveva peraltro reso nota la cosa.

Gli investigatori dell’Sbu stanno ancora proseguendo. Innanzitutto per capire come Kyivstar sia stata penetrata, se grazie a un trojan horse malware, al phishing, o grazie all’aiuto di un insider (di basso livello). Nonostante la distruzione creata dal malware stesso nel sistema infettato, alcuni campioni sono stati recuperati e stanno venendo analizzati in questo momento. Inoltre, c’è il sospetto che l’attacco sia stato facilitato dalle somiglianze tra la struttura infrastrutturale di Kyivstar e quella del provider russo Beeline.

Un grande attacco cibernetico ai danni dell’Ucraina, sicuramente il più esteso dai tempi dell’incursione realizzata ai danni di Viasat in concomitanza con l’invasione del 24 febbraio. D’altronde, non è certo un mistero che la Federazione Russa disponga di capacità cibernetiche di alto livello. Capacità già messe in pratica nel lontano 2007, quando l’Estonia fu vittima di una serie di attacchi cibernetici di vastissima portata, sulla cui origine c’erano, e ci sono tutt’ora, pochi dubbi. Eppure, dal febbraio dell’anno scorso la componente cibernetica non ha pesato particolarmente tra le dinamiche di un conflitto che invece ci si aspettava fosse il primo vero grande conflitto cibernetico della storia. Varie le possibili risposte alla domanda sul perché ciò non sia accaduto, dal preventivo rafforzamento delle difese cyber ucraine alla perdita di capacità russe per motivi non meglio definiti. Anche se l’avvenuto attacco a Kyivstar smentisce parzialmente entrambe le ipotesi. Che Mosca abbia tenuto in serbo la sua cyber-arma segreta per il momento giusto?