Per anni la Russia ha bombardato l’Ucraina con una serie di attacchi informatici invadenti e distruttivi. Inoltre, la recente guerra si è aperta a febbraio con attacchi informatici russi eseguiti tramite attacchi DDoS e malware di cancellazione dati mirati ai ministeri del governo e alle istituzioni finanziarie ucraine.
La stessa Ucraina di recente ha inoltre lanciato una campagna per la creazione di un esercito informatico volontario, chiamato “IT Army of Ukraine”, composto da hacker di tutto il mondo che andranno a supportare la difesa del paese anche dal punto di vista cibernetico.
Infine, centinaia di migliaia di esperti informatici indipendenti hanno preso parte ad attacchi informatici contro il governo, i media e le istituzioni finanziarie russe negli ultimi giorni. Altri gruppi, tra cui il collettivo di hacker Anonymous, si sono uniti alla lotta, dichiarando “guerra informatica” al presidente Putin.
In questo articolo verranno spiegati alcuni concetti di sicurezza informatica applicati ad uno scenario di guerra, una realtà purtroppo con la quale dovremo iniziare a convivere.
Indice degli argomenti:
Guerra informatica
Viktor Zhora, vice capo del Servizio statale per le comunicazioni speciali e la protezione delle informazioni dell’Ucraina, responsabile della sicurezza informatica nel paese, ha affermato che l’Ucraina da anni affronta continui attacchi informatici, presumibilmente di origine russa, contro il governo e le reti infrastrutturali, e descrive l’attuale situazione di guerra, combattuta sia sul campo che nel regno digitale, come una “guerra ibrida”.
L’intensificazione degli attacchi informatici russi contro l’Ucraina risale al 2015 quando il 23 Dicembre la rete elettrica ucraina subì un attacco che causò una prolungata interruzione di corrente per circa 230.000 persone. L’attacco ebbe luogo durante un intervento militare russo in Ucraina ed è stato attribuito a un gruppo russo noto come “Sandworm“, ritenuto essere un’unità cybermilitare facente parte della GRU (Glavnoe razvedyvatel’noe upravlenie) che rappresenta il servizio di intelligence delle Forze armate russe. Gruppi come Sandworm sono specializzati nello sviluppo e impiego di APT “Advanced Persistent Threat” (minacce persistenti avanzate).
Nelle settimane precedenti l’invasione di febbraio, l’Ucraina ha subìto tre ondate di attacchi informatici:
- DDoS dei siti web del governo e dei servizi finanziari;
- Defacement di siti web del governo con un avvertimento agli ucraini di “aspettarsi il peggio”;
- Malware di tipo “wiper” che hanno distrutto tutti i dati delle macchine infettate.
Esercito IT ucraino (IT Army of Ukraine)
Dall’inizio dell’invasione, l’Ucraina ha cercato di migliorare la propria posizione nel cyberspazio in modo da difendersi dagli attacchi informatici russi e passare al contrattacco. Il ministero per la sicurezza informatica ucraino ha anche intrapreso una campagna finalizzata alla creazione di un “esercito informatico dell’Ucraina”. Il gruppo Telegram dell’organizzazione conta ora più di 300.000 membri, ma gli esperti stimano che il numero totale di hacker che combattono online per l’Ucraina sia molto più elevato. Altri gruppi, tra cui il collettivo di hacker Anonymous, si sono uniti alla lotta, dichiarando “guerra informatica” al presidente Putin.
Hacktivist, APT e la guerra
Quando la Russia ha iniziato la sua invasione dell’Ucraina a fine Febbraio, il collettivo di hacker Anonymous ha twittato che era “ufficialmente in guerra informatica contro il governo russo”. Il gruppo ha rivendicato alcuni attacchi che hanno interrotto brevemente l’accesso a siti governativi russi, tra cui quello dell’agenzia di stampa e del governo stesso.
L’attività degli hacktivist tuttavia è antecedente alla guerra vera e propria. Un gruppo bielorusso noto come Cyber Partisans ha rivendicato un attacco al sistema ferroviario bielorusso alla fine di gennaio, dichiarando come obiettivo il rallentamento dell’accumulo di truppe russe lungo i confini ucraini.
L’impatto e il reale valore dell’hacktivism in uno scenario di guerra sul campo come quello attuale in Ucraina sono di difficile valutazione. Gli esperti di sicurezza informatica ritengono che una situazione come questa, per quanto possa avere intenzioni nobili, potrebbe sfuggire di mano e avere risvolti negativi.
“L’hacktivismo per sua stessa natura è sempre rumoroso e l’intelligence, di solito, è silenziosa”, afferma l’ex hacker della NSA (National Security Agency) Jake Williams. Ciò significa che un’attività hacktivist potrebbe involontariamente portare sotto il radar nemico una rete o una infrastruttura dove sono in corso delle attività di intelligence, portando così un danno ed escludendo da quella rete le forze alleate. Inoltre attacchi poco impattanti, come il deface di una pagina web o l’interruzione dell’accesso a un sito, potrebbero essere usati come pretesto per una intensificazione del conflitto.
Ma che cosa si intende con hacktivism? E cosa si intende con APT?
Hacktivism: penetrare in un sito Web o in una rete come atto di dichiarazione politica. Si potrebbe tradurre in italiano con Attivismo informatico. Appartengono a questa categoria gruppi indipendenti di persone, che aderiscono ad una stessa ideologia che spesso si manifesta in forme di disobbedienza civile e promozione di cambiamenti sociali e ha come fine ultimo quello di promuovere i diritti umani nonché la libertà di pensiero e di parola.
APT: Advanced Persistent Threat sono attacchi mirati a risorse strategiche di un paese in quanto possiedono un carattere di sicurezza nazionale o di importanza economica strategica. Questi attacchi utilizzano tecnologie che riducono al minimo la loro visibilità sulle reti di computer e sui singoli sistemi di rilevamento delle intrusioni. Gli APT sono diretti contro specifici obiettivi industriali, economici o governativi. Una volta che un APT ha raggiunto il suo obiettivo, l’attacco può durare mesi o anni in quanto rappresenta una minaccia “persistente”. Appartengono a questa categoria gruppi finanziati dai diversi stati, e sono i più pericolosi nonché i reali protagonisti delle guerre informatiche.
Conclusioni
Le guerre del nuovo millennio si combatteranno non solo sul campo militare classico ma anche su quello informatico.
Essere coscienti di questo cambiamento significa considerare la sicurezza delle proprie infrastrutture e applicazioni a rischio anche di attacco da parte di altri paesi e, per questo motivo, dovrebbe essere ritenuta una priorità per tutte le aziende che devono gestire tali asset e per gli utenti che usano questi servizi.