Le campagne cyber russe in Ucraina: ben oltre un semplice campo di battaglia digitale

A cura di:Redazione 22 Marzo 202523 Marzo 2025

La guerra Russia-Ucraina ha stravolto la sicurezza globale in innumerevoli modi. Mentre l’attenzione mondiale si è concentrata sugli sviluppi del campo di battaglia e sulle crisi umanitarie, una guerra parallela ha infuriato nel cyberspazio. Le operazioni cyber della Russia contro l’Ucraina rappresentano una delle campagne informatiche più significative e sostenute della storia, con implicazioni che si estendono ben oltre i confini ucraini.

L’evoluzione delle campagne cyber russe

Molto prima che i carri armati attraversassero il confine nel febbraio 2022, la Russia aveva utilizzato l’Ucraina come banco di prova per le sue capacità cyber. Questo campo di battaglia digitale ha rivelato come la guerra moderna si estenda ormai oltre i domini tradizionali fino al cyberspazio.

Dal 2014 almeno, dopo la rivoluzione di Euromaidan e l’annessione della Crimea da parte della Russia, l’Ucraina ha subito una raffica di sofisticati attacchi informatici. Non si trattava di azioni casuali od opportunistiche, ma di componenti coordinate della più ampia strategia di guerra ibrida della Russia.

“L’Ucraina è essenzialmente diventata un laboratorio per le attività russe”, nota Alina Polyakova, sottolineando come la Russia abbia utilizzato il territorio ucraino per testare varie tattiche di guerra ibrida, incluse quelle cyber, prima di potenzialmente impiegarle contro altri obiettivi occidentali.

Dalle reti elettriche alla guerra dell’informazione

La campagna cyber russa contro l’Ucraina ha preso di mira praticamente ogni settore dell’infrastruttura critica. Alcuni degli attacchi più allarmanti si sono concentrati sulle reti elettriche: nel 2015, l’attacco BlackEnergy ha causato un’interruzione di corrente che ha colpito 225.000 clienti nella regione ucraina di Ivano-Frankivsk; nel 2016, il malware Industroyer/CrashOverride ha provocato un’interruzione minore a Kiev; nel 2022, una versione aggiornata di Industroyer ha preso di mira sottostazioni elettriche ad alta tensione.

Gli attacchi alla rete elettrica hanno dimostrato la capacità della Russia di colmare il divario cyber-fisico, utilizzando codice maligno per causare interruzioni nel mondo reale. Questo rappresenta un’evoluzione significativa nelle capacità di guerra cibernetica.

Ma le operazioni cyber della Russia si estendono ben oltre le infrastrutture critiche. Includono vasti sforzi di raccolta di intelligence e sofisticate campagne di guerra dell’informazione progettate per plasmare le narrative e minare il morale ucraino. Queste operazioni seguono quella che gli esperti chiamano la tattica delle “4D” dell’informazione russa: screditare, distorcere, distrarre e demoralizzare.

La risposta occidentale e l’importanza della difesa cyber

Ciò che ha sorpreso molti osservatori è stata l’efficacia della difesa cyber ucraina. Contrariamente alle aspettative iniziali, l’Ucraina è riuscita a mitigare molti degli attacchi più distruttivi grazie all’assistenza senza precedenti fornita dalle aziende tecnologiche occidentali e dalle agenzie governative.

Microsoft, Amazon, Google e altre aziende hanno fornito supporto cruciale, aiutando a migrare dati governativi sensibili nel cloud, fornendo intelligence sulle minacce in tempo reale e rafforzando le difese delle infrastrutture critiche ucraine. Questa collaborazione pubblico-privato rappresenta un nuovo modello di difesa collettiva nel cyberspazio che potrebbe avere profonde implicazioni per futuri conflitti.

L’intensificazione degli attacchi e la strategia di guerra ibrida

Nel 2024 e 2025, le operazioni cyber russe hanno continuato a svolgere un ruolo cruciale nella strategia contro l’Ucraina. Gruppi come APT44 (Sandworm), APT28 (Fancy Bear) e Gamaredon, spesso operanti sotto la direzione delle agenzie di intelligence russe, hanno intensificato gli attacchi contro infrastrutture critiche, informazioni sensibili e sistemi governativi ucraini.

Tra gli esempi recenti di attacchi significativi figura AcidPour, considerato il successore del wiper AcidRain utilizzato contro il provider di telecomunicazioni Viasat nel febbraio 2022. Inoltre, a dicembre 2023, un attacco devastante ha colpito l’operatore mobile Kyivstar, interrompendo i servizi per milioni di clienti. Secondo Illia Vitiuk, capo del servizio di intelligence SBU ucraino, il gruppo Sandworm è riuscito a piazzare malware distruttivo “attraverso un insider dell’azienda”, distruggendo “il nucleo della rete”.

Gli attacchi russi si distinguono per la loro scala, coordinamento e sofisticazione tecnica. Sostenuti dalle risorse statali, queste operazioni spesso sfruttano vulnerabilità zero-day, malware personalizzati e campagne di spionaggio a lungo termine. A differenza della natura decentralizzata degli attacchi ucraini, le operazioni russe sono controllate centralmente, consentendo attacchi altamente organizzati e precisi su obiettivi critici.

Il ruolo di Starlink e le incertezze future con Trump

Un elemento cruciale nella resilienza digitale ucraina è stato il sistema satellitare Starlink di Elon Musk. Questa tecnologia ha fornito connettività Internet vitale quando le infrastrutture terrestri erano compromesse, permettendo alle forze ucraine di mantenere le comunicazioni e coordinare le operazioni anche nelle aree più remote o colpite. Il capo della cybersicurezza ucraina ha definito Starlink “la forma di assistenza digitale più utile” ricevuta durante la guerra.

Tuttavia, con l’elezione di Donald Trump alla presidenza degli Stati Uniti, emergono nuove incertezze. Trump ha espresso in passato posizioni scettiche sul sostegno all’Ucraina e ha mantenuto relazioni cordiali con il presidente russo Vladimir Putin. Questa situazione politica, unita al rapporto altalenante tra Musk e le autorità ucraine su questioni di finanziamento e utilizzo dei terminali Starlink, potrebbe complicare ulteriormente un quadro già delicato. La continua disponibilità di questa tecnologia critica potrebbe dipendere tanto dalle decisioni aziendali di Musk quanto dall’orientamento della nuova amministrazione americana verso il conflitto, creando nuove vulnerabilità potenziali nella strategia di difesa cyber ucraina.

L’evoluzione delle tattiche di attacco

L’arsenale di attacco russo è in continua evoluzione. Oltre agli attacchi diretti alle infrastrutture critiche, la Russia ha intensificato le operazioni di esfiltrazione dati e spionaggio, furti di informazioni sensibili da agenzie governative ucraine, appaltatori della difesa ed entità allineate con la NATO. Questi dati vengono utilizzati per intelligence militare, propaganda e operazioni di influenza cyber.

Le campagne di ransomware mascherate da hacktivismo sono diventate sempre più comuni, con attacchi che, sebbene presentino richieste di riscatto, sono spesso motivati politicamente e mirano a causare caos operativo. Inoltre, massive campagne DDoS vengono frequentemente lanciate contro siti web governativi ucraini, banche e infrastrutture critiche per interrompere comunicazioni e servizi essenziali.

L’espansione degli attacchi verso l’Occidente

La guerra cyber si è estesa ben oltre i confini ucraini, con gruppi hacker filo-russi che prendono di mira paesi occidentali che sostengono Kyiv. Un esempio significativo è avvenuto nel febbraio 2025, quando il gruppo NoName057(16) ha lanciato una serie di attacchi DDoS contro istituzioni italiane in risposta alle dichiarazioni del Presidente Mattarella, che aveva paragonato l’offensiva russa in Ucraina alle “guerre di conquista” del Terzo Reich.

Gli attacchi hanno colpito ministeri, forze armate, aeroporti, porti, istituti finanziari e industrie della difesa italiane. Sebbene questi attacchi si siano limitati a bloccare temporaneamente l’accesso ai siti, dimostrano l’evoluzione dell’hacktivismo in una forma di guerra ibrida più organizzata e strategica, dove i gruppi come NoName057(16) e Killnet operano con un coordinamento sempre maggiore.

La Russia ha direzionato la sua strategia di guerra ibrida verso gli stati occidentali che sostengono l’Ucraina. Negli ultimi mesi, un’ondata di sabotaggi e attacchi cyber ha colpito diversi paesi europei. Secondo Nils Andreas Stensønes, capo del servizio di intelligence estero norvegese, il Cremlino ha intensificato gli sforzi per sabotare le infrastrutture di petrolio e gas in Europa.

Funzionari occidentali sospettano che Mosca sia dietro attacchi incendiari in Polonia, Regno Unito, Repubblica Ceca, Germania, Lituania e Lettonia. In luglio, una bomba incendiaria è scoppiata in un container di trasporto aereo DHL all’aeroporto di Lipsia in Germania, e un ordigno simile è esploso in un magazzino vicino a Birmingham. Secondo le agenzie di intelligence, questi potevano essere test per attacchi più ampi.

In ottobre, la Germania ha dichiarato che due cavi di telecomunicazioni sottomarini nel Mar Baltico sono stati tagliati a seguito di un sabotaggio, mentre una nave spia russa, la Yantar, è stata scortata fuori dal Mare d’Irlanda dalla marina irlandese dopo essere entrata in acque controllate dall’Irlanda e aver pattugliato un’area contenente infrastrutture critiche.

Limiti delle operazioni cyber

Nonostante l’intensità degli attacchi informatici, l’esperienza ucraina ha mostrato che le operazioni cyber hanno limiti significativi. Come evidenziato dai ricercatori, le operazioni cyber sono vincolate da trade-off tra velocità, intensità e controllo degli effetti. Gli attacchi più devastanti, come quelli contro l’operatore telefonico UKRTelecom nel marzo 2022 e Kyivstar nel dicembre 2023, sono stati resi possibili grazie all’accesso ottenuto tramite dipendenti situati in territori occupati.

Questo sottolinea l’importanza persistente dei metodi tradizionali di sovversione – utilizzando insider nelle organizzazioni per sabotare sistemi – rispetto alle pure operazioni cyber. In effetti, la sovversione tradizionale ha prodotto guadagni strategici molto più tangibili e significativi in questo conflitto rispetto alle operazioni cyber, come dimostra l’annessione della Crimea nel 2014 o la presa non violenta della strategicamente importante centrale nucleare di Chernobyl nelle prime ore dell’invasione del 2022.

La risposta europea e le sfide future

“Siamo semplicemente troppo educati“, ha dichiarato la prima ministra danese Mette Frederiksen a margine di un vertice NATO. “Ci attaccano ogni giorno ora“. Questa passività europea viene attribuita in parte ai timori nelle capitali occidentali di essere trascinati in un conflitto per il quale non sono preparati.

In risposta a queste minacce ibride, l’UE ha istituito un nuovo quadro che consente di sanzionare individui ed entità coinvolti nella guerra ibrida russa, mentre la NATO ha creato una Cella di Coordinamento dell’Infrastruttura Sottomarina e una Task Force UE-NATO sulla Resilienza delle Infrastrutture Critiche.

Come ha sottolineato Gabrielius Landsbergis, ministro degli Esteri lituano uscente: “Perché la chiamiamo guerra ibrida? Perché fondamentalmente quando la chiami ibrida non devi fare nulla. Se la chiami terrorismo, allora implica una reazione“.

La guerra in Ucraina ha indubbiamente definito un nuovo capitolo nella storia della guerra cibernetica, dimostrando che il cyberspazio è ormai un campo di battaglia essenziale in cui si combattono non solo le guerre di oggi, ma anche quelle del futuro. La sua lezione principale è che, sebbene le operazioni cyber pure abbiano limiti, quando vengono integrate con metodi tradizionali di sovversione e sabotaggio fisico, possono rappresentare una formidabile arma nella guerra moderna.

Condividi sui Social Network:

Il ruolo del Consiglio di amministrazione nella Cybersecurity

A cura di:Redazione Pubblicato il22 Marzo 202520 Marzo 2025

Il Consiglio di amministrazione è pronto ad affrontare la minaccia cyber? Gli attacchi informatici non sono più un’eventualità remota, ma una certezza che le aziende devono affrontare quotidianamente. E quando si parla di cybersecurity, il peso delle decisioni non ricade solo sui team IT, ma direttamente sul Consiglio di amministrazione. Oggi, i Board non possono…

cyber mafia crimine organizzato mafia digitale

Cyber Mafia: dal Crimine Tradizionale alla Criminalità Digitale

A cura di:Redazione Pubblicato il21 Marzo 202520 Marzo 2025

La cyber mafia rappresenta un’evoluzione fondamentale nel panorama criminale contemporaneo, delineando un fenomeno ibrido che sintetizza elementi tradizionali delle organizzazioni mafiose classiche con le potenzialità offerte dal dominio digitale. Questo concetto identifica un complesso ecosistema criminale formato da organizzazioni strutturate che hanno integrato in modo sistematico e strategico gli strumenti informatici e le tecnologie digitali…

Affidabilità dell'intelligenza artificiale: strategie, sfide e opportunità per progettare sistemi AI trasparenti, sicuri ed etici nel mondo digitale

Misurare e rendere affidabile un sistema di AI

A cura di:Vincenzo Calabrò Pubblicato il21 Marzo 202519 Febbraio 2025

Questo articolo fa parte di una serie di contenuti dedicati alla Generative AI ed esplora la complessa dimensione dell’affidabilità nei sistemi di intelligenza artificiale, analizzando le sfide psicologiche, tecniche ed etiche nella progettazione di tecnologie AI che conquistino la fiducia degli utenti finali. Attraverso una prospettiva multidisciplinare, vengono identificati criteri, metodologie e raccomandazioni per sviluppare…

La Cyber Capacity Building (CCB) come asset strategico nella governance italiana

A cura di:Redazione Pubblicato il20 Marzo 202518 Marzo 2025

In un ecosistema digitale sempre più interconnesso e vulnerabile, la Cyber Capacity Building (CCB) rappresenta una dimensione fondamentale della sicurezza nazionale e della cooperazione internazionale. Per l’Italia, sviluppare un approccio strutturato e coordinato alla CCB significa rispondere a una triplice esigenza: rafforzare la propria sicurezza nazionale, contribuire alla stabilità nell’arena internazionale e affermare la propria…

Paragon Solutions e il caso Graphite: nuove frontiere e rischi dello Spyware di Stato

A cura di:Redazione Pubblicato il23 Marzo 202520 Marzo 2025

Uno degli ultimi sviluppi nel panorama della cybersecurity e della sorveglianza digitale riguarda Paragon Solutions, un’azienda israeliana fondata nel 2019, il cui spyware Graphite si distingue per le sue avanzate capacità di infiltrazione nei dispositivi mobili e per il controverso posizionamento etico che la società sostiene di adottare. Questo articolo analizza le operazioni di Paragon,…

Security Breach: conseguenze e profili di responsabilità

A cura di:Redazione Pubblicato il23 Marzo 202520 Marzo 2025

Il termine security breach (violazione della sicurezza) rappresenta uno degli scenari più complessi e critici che aziende e organizzazioni possano affrontare nel contesto attuale. Questa espressione si riferisce a qualsiasi episodio in cui un sistema di sicurezza viene compromesso, permettendo l’accesso non autorizzato a risorse, reti o strutture protette. La portata del concetto è vasta…

Le campagne cyber russe in Ucraina: ben oltre un semplice campo di battaglia digitale

L’evoluzione delle campagne cyber russe

Dalle reti elettriche alla guerra dell’informazione

La risposta occidentale e l’importanza della difesa cyber

L’intensificazione degli attacchi e la strategia di guerra ibrida

Il ruolo di Starlink e le incertezze future con Trump

L’evoluzione delle tattiche di attacco

L’espansione degli attacchi verso l’Occidente

Limiti delle operazioni cyber

La risposta europea e le sfide future

Il ruolo del Consiglio di amministrazione nella Cybersecurity

Cyber Mafia: dal Crimine Tradizionale alla Criminalità Digitale

Misurare e rendere affidabile un sistema di AI

La Cyber Capacity Building (CCB) come asset strategico nella governance italiana

Paragon Solutions e il caso Graphite: nuove frontiere e rischi dello Spyware di Stato

Security Breach: conseguenze e profili di responsabilità

Il ruolo del Consiglio di amministrazione nella Cybersecurity

Cyber Mafia: dal Crimine Tradizionale alla Criminalità Digitale

Misurare e rendere affidabile un sistema di AI

La Cyber Capacity Building (CCB) come asset strategico nella governance italiana

Paragon Solutions e il caso Graphite: nuove frontiere e rischi dello Spyware di Stato

Security Breach: conseguenze e profili di responsabilità

Il ruolo del Consiglio di amministrazione nella Cybersecurity

Cyber Mafia: dal Crimine Tradizionale alla Criminalità Digitale

La Prima Rivista Italiana Dedicata alla Sicurezza Informatica

ICT Security Magazine

L’evoluzione delle campagne cyber russe

Dalle reti elettriche alla guerra dell’informazione

La risposta occidentale e l’importanza della difesa cyber

L’intensificazione degli attacchi e la strategia di guerra ibrida

Il ruolo di Starlink e le incertezze future con Trump

L’evoluzione delle tattiche di attacco

L’espansione degli attacchi verso l’Occidente

Limiti delle operazioni cyber

La risposta europea e le sfide future

Ultimi Articoli

La Prima Rivista Italiana Dedicata alla Sicurezza Informatica

ICT Security Magazine

Argomenti