Cyber attacchi e attività di sabotaggio cibernetico nella guerra ibrida tra Russia e Ucraina. Intervista a Pierluigi Paganini

Quali sono le armi cyber usate durante il conflitto russo-ucraino?

Volendo fotografare quello che sta accadendo in questo contesto di guerra ibrida, tale perché accanto alle strategie militari convenzionali si affianca un massivo ricorso allo strumento informatico. Elemento che contraddistingue questo conflitto sul fronte cyber è il gran numero di attori statali e non che sono presenti sul campo di battaglia. Sul fronte nation-state le principali azioni sono riconducibili a gruppi che operano per conto del governo di Mosca a cui cui si sono affiancati gruppi che operano per il governo Bielorusso. Di fatto però sul campo di battaglia notiamo la componente russa che sta conducendo diverse tipologie di operazioni e le azioni che abbiamo osservato nel tempo, non solo relativo agli ultimi giorni ma anche negli ultimi anni, sono essenzialmente di tre tipologie:

  • Operazioni di spionaggio, condotte da lunga data da gruppi nation-state riconducibili al governo Russo e che ovviamente avevano e hanno tuttora l’interesse ad acquisire informazioni relative alla postura diplomatica dei paesi occidentali rispetto a questioni di loro interesse come un’eventuale invasione. Queste attività completano una complessa attività di intelligence condotta dai russi relativa agli obiettivi degli attacchi e alle componenti militari riguardanti il governo ucraino.
  • Attività di sabotaggio, l’utilizzo dello strumento informatico per tale scopo è accaduto in concomitanza dell’invasione russa e abbiamo potuto osservare due tipologie di attacchi principali:
    • Utilizzo di malware, in particolare Wiper che consistono in codici malevoli sviluppati e concepiti per distruggere il sistema preso di mira. Un cyber attacco di questo tipo è in grado di arrecare gravi danni ad una infrastruttura critica, qualora ne infettasse i sistemi.
    • Distributed Denial of Service (DDoS), ovvero attacchi che mirano a saturare le risorse esposte in rete, come ad esempio un sito Web di un’agenzia governativa piuttosto che una banca, con l’intento di non rendere più disponibile quel tipo di servizio. Cyber attacchi di questo tipo potrebbero avere un effetto anche a catena arrivando a generare paura nel momento in cui una popolazione si vede sotto attacco e non è più in grado, ad esempio, di accedere al servizio di home banking, oppure di consultare gli organi di stampa resi irraggiungibili dall’attacco DDOS informatico. E’ un po’ come accecare l’avversario nel momento in cui è già sotto pressione a causa di una campagna militare in corso.
  • Campagne di disinformazione che sono tra le tecniche più antiche di guerra, in passato venivano lanciati bigliettini sui campi di battaglia dagli aerei, oggi questo è più semplice. Strumenti come social network e applicazioni di instant messaging consentono di diffondere comunicazioni di varia tipologia su larga scala. La finalità è tipicamente quella di destabilizzare il contesto che si va ad aggredire creando malcontento e sfiducia nelle istituzioni, con l’obiettivo di creare terreno fertile ad un’azione militare e rendere la popolazione avversaria in qualche modo più accondiscendente e meno aggressiva, meno predisposta alla resistenza. Questa strategia non ha però tenuto conto di una realtà molto importante, quella dell’attivismo. In risposta a questo scenario di guerra, all’interno del campo di battaglia del cyberspazio, troviamo così operazioni condotte da gruppi di attivisti, il più popolare è sicuramente Anonymous, schieratisi accanto all’Ucraina. Questi gruppi sono in grado di condurre una serie di azioni volte a disabilitare e rendere offline siti governativi russi, così come hackerare e reperire informazioni sensibili relative alle operazioni militari in corso piuttosto che compromettere le principali aziende russe. Abbiamo osservato una una vera e propria chiamata alle armi da parte del governo Ucraino che ha invitato esperti di tutto il mondo a fornire loro supporto per operazioni di difesa così come di offesa. La risposta è stata importante, migliaia gli esperti che hanno dichiarato la loro disponibilità attraverso molteplici canali.

Perché la presenza di Anonymous in questo scenario è importante?

Attacchi come quelli del Collettivo Anonymous potrebbero avere un impatto importante su alcune aziende private nazionali russe, immaginiamo una fuga di dati, il furto delle informazioni e il conseguente rilascio online delle informazioni relative a colossi come Gazprom, una situazione di questo tipo potrebbe rappresentare un duro colpo per l’economia del paese sta già pagando il prezzo che lo scoppio del conflitto ha innescato poichè ovviamente l’inflazione correrà gravando pesantemente sull’economia. Tutto questo concorre in una strategia globale per indebolire le difese avversarie.

Non possiamo inoltre escludere che un altro attore di stato appartenente ad un altro governo possa sfruttare come copertura le operazioni intraprese da Anonymous per muovere i propri attacchi e le proprie campagne di ricognizione e sabotaggio mascherandosi dietro l’azione del collettivo. Altri Stati potrebbero di fatto inserirsi ed attaccare risorse e obiettivi russi che sono stati compromessi in precedenza, nascondendosi così facilmente dietro alle azioni dei collettivi di attivisti.

Su questo scenario, sempre più complesso, si affaccia la comunità di esperti di cyber security mondiale, in particolare quella ucraina, che chiamata all’azione dal proprio Ministro ha invocato il supporto delle comunità di hacker vedendo unirsi alla battaglia circa 130.000 esperti che offrono volontariamente le proprie capacità in alle infrastrutture ucraine insieme ad attività di tipo offensivo nei confronti della Russia. E’ un contesto estremamente complesso e dinamico, che varia di ora in ora, ed è difficile prevederne le dinamiche.

Solidarietà da parte delle società di cyber sicurezza verso l’Ucraina e hacktivismo, come si schierano i gruppi cyber?

Quando ci si muove nel cyberspazio uno dei problemi principali è l’attribuzione delle operazioni, rimane difficile “attribuire” un attacco cibernetico ad uno specifico attore governativo, perché ovviamente si possono utilizzare diverse metodiche per mascherare la provenienza di una offensiva. Molti infatti dubitano che dietro lo stesso Anonymous ci possano essere alcune componenti dell’intelligence internazionale con l’intenzione di sfruttare il momento adatto a condurre una serie di attacchi, rendendo impossibile stabilire se dietro un’azione di questo tipo vi siano solo membri di un determinato collettivo piuttosto che agenti dell’intelligence coinvolti a vario titolo. Non possiamo neppure escludere operazioni false flag che utilizzano brand come quello Anonymous per attività diversive.

In questa escalation nel cyberspazio, qual’è il ruolo degli Stati Uniti e della Cina, come si allineano le nazioni? Quali sono le motivazioni economiche e strategiche?

Dal punto di vista geopolitico abbiamo dei blocchi che sono importantissimi, da un lato gli Stati Uniti – di fatto tutto il blocco Nato – e dall’altra parte c’è la Cina che in questo momento non si è espressa contro la Russia. Dietro ci sono interessi economici, la società cinese è in piena espansione, la Cina è una nazione energivora e che potrebbe sfruttare il momento di difficoltà finanziaria della Russia per operare una politica economica aggressiva nei suoi confronti. Di fatto potrebbe entrare nel mercato Russo acquistandone le principali aziende e creando le condizioni per un importante controllo economico. Ad osservare lo scenario geopolitico ci sono anche gli Stati Uniti, che riconosciamo da sempre come leader dell’Alleanza Atlantica, e che stanno condannando in maniera importante le operazioni militari in corso ma senza dimenticare il contesto, analizzando quello che sta accadendo all’economia mondiale, con un approccio più prudenziale e teso a restare a guardare e a difendere quello che è l’interesse di una Alleanza Atlantica, e cioè che non vi siano sconfinamenti da parte delle truppe russe perché questo potrebbe far venir meno la legittimità di questa alleanza. Se ciò si dovesse verificare gli USA e la NATO sarebbero costretti a rispondere, ma in questa fase l’atteggiamento rimane attendista, a parte l’aver condannato in maniera aperta il comportamento di Putin, non sono state intraprese operazioni serie in risposta al Cremlino.

Come si colloca l’Italia nel conflitto Russia-Ucraina?

L’Italia da sempre, anche per la sua posizione geografica, è un obiettivo strategico sia perchè è all’interno dell’Alleanza Atlantica, sia perché in passato ha trattenuto rapporti importanti con la Russia dal punto di vista energetico e politico, quindi l’Italia in questo momento si trova in mezzo, ha poco margine di movimento, segue quello che è la linea guida dell’alleanza di cui fa parte. Non dimentichiamoci però che, se si analizza la situazione dal punto di vista cyber, l’Italia potrebbe essere un obiettivo strategico proprio per la sua vicinanza ad entrambi i lati, potrebbe essere oggetto di campagne di spionaggio volte a capire per esempio quale postura l’alleanza intende adottare nei confronti dell’evoluzione degli avvenimenti.

L’Italia ha una adeguata postura di difesa nei confronti dei cyber attacchi?

L’Italia rincorre quello che è già stato fatto da altri paesi con 10 anni di anticipo, sotto il profilo della postura cyber abbiamo adottato una serie di misure che vedono come baluardo principale la costituzione dell’Agenzia per la Cybersicurezza Nazionale, una nuova e importante entità che è espressione del commitment voluto dal Governo. In questo si è fatto un balzo in avanti importante, però va detto che sotto il profilo cyber, l’assenza di un’agenzia – che in altri paesi invece è stata costituita 10 anni prima – ha portato inevitabilmente ad un ritardo e tale gap non può essere colmato dalla sera alla mattina, servono ulteriori sforzi atti ad aumentare il livello di sicurezza. Da italiano ed esperto di cyber security ritengo sia un mio obbligo mettere a disposizione dello stato e delle sue strutture le mie capacità, dobbiamo supportare l’Agenzia nelle sue attività.

Quello che però mi preoccupa è il contesto delle piccole e medie imprese nazionali, meno le aziende italiane di grandi dimensioni che oggettivamente hanno innalzato in maniera significativa il loro livello di sicurezza grazie anche al contributo delle istituzioni. Pensiamo a quello che fa oggi il Computer Security Incident Response Team (CSIRT), che insieme alla nuova agenzia, emana alert e informative circa le minacce correnti e quant’altro. Dall’altro lato non dimentichiamoci che il tessuto sociale italiano è fatto di piccole e medie imprese e queste, molto spesso oggi, sono completamente impreparate agli attacchi cibernetici. Altro aspetto che non dobbiamo trascurare è che queste PMI fanno parte di catene del valore, di filiere che arrivano anche a grosse realtà nazionali e internazionali e quindi per tale motivo, vediamo nella piccola e media impresa il nostro tallone di Achille in quanto molto spesso non vi sono risorse e non vi sono né capacità tecnologiche nè consapevolezza della minaccia cibernetica. Tutto ciò fa sì che una buona fetta del nostro ecosistema economico, che si fonda in gran parte su questa tipologia di imprese, sia fortemente esposta ad attacchi cibernetici.

La Russia punta verso una autarchia digitale, qual è la sua opinione in merito?

Per quanto concerne il concetto di guerra cyber, oggi non possiamo negare che il cyberspazio ha una sovrapposizione importantissima con la realtà che noi viviamo.

La quasi totalità dei servizi che utilizziamo in maniera più o meno consapevole dipende dalla tecnologia, se pensiamo alle nostre macchine che dialogano con dispositivi satellitari scambiando informazioni, così come i servizi che vengono erogati in un ospedale, abbiamo una forte penetrazione della tecnologia nella vita di tutti i giorni. E’ chiaro che questa tecnologia va preservata e difesa, perciò si riconosce ad un governo che abbia una capacità di offensiva importante e che sia in grado di destabilizzare questo contesto tecnologico colpendo gli aspetti principali delle infrastrutture critiche di uno Stato – quelle infrastrutture dal cui funzionamento dipende la sopravvivenza dello Stato stesso – una minaccia importante. In un contesto di guerra, questa tipologia di minaccia spaventa molto e bisogna investire in capacità di difesa, essere in grado di cominciare ad imporre dei requisiti di sicurezza delle varie infrastrutture ed aumentarne la resilienza collettiva.

Questo è quello che sta accadendo, voluto anche dall’Unione Europea con una serie di direttive emanate e con una agenzia, l’ENISA, che opera affinché la sicurezza delle reti e il dialogo tra i vari centri su scala europea sia il più fluido ed efficace possibile.

Quanto sono efficaci le sanzioni imposte alla Russia nell’era delle cryptocurrencies?

Il principale sistema parallelo che possa avvicinarsi al concetto di circuito finanziario globale è rappresentato dalle cryptovalute. Nel contesto attuale gli aspetti legati al mondo delle criptovalute sono ancora trascurabili se comparati a quello che è l’economia globale e l’impatto che ha sulla Russia la sanzione di non rendere più disponibile il sistema SWIFT. Sicuramente l’utilizzo delle criptovalute potrebbe rappresentare un’alternativa, ma non per movimentazioni finanziarie tali da contemplare quelli che sono i volumi di denaro necessari al governo russo, compresi quelli degli oligarchi o delle multinazionali che operano in un contesto internazionale. Sicuramente le criptovalute potrebbero essere un vettore utilizzabile per eludere alcune sanzioni, ma per la portata e la dimensione dell’azione russa questo vettore non è assolutamente sufficiente, una misura come quella dello SWIFT ag oggi è l’unica in grado di mettere in ginocchio l’economia russa a meno che qualche altro stato come la Cina non si offra di operare per conto di Mosca con i suoi strumenti finanziari, di fatto operando come una sorta di proxy. Le criptovalute possono essere utilizzate per bypassare le sanzioni, ma stiamo parlando ancora oggi di volumi che non sono comparabili ai circuiti tradizionali. I danni che provocherà la chiusura dello SWIFT per le organizzazioni sovietiche dovrebbero essere compensati dalla possibilità dell’interscambio in criptovalute degli stessi volumi di affari e in questo notiamo due tipologie di problematiche, quella tecnologica, perché non tutte le entità sono strutturate per operare in criptovalute, e dall’altro lato troviamo problemi come l’inflazione che in questi giorni sta galoppando, il governo dovrà adottare delle misure per evitare che il valore della moneta russa possa arrivare ai minimi storici. Il rischio default per la Russia è dietro l’angolo.

Quali prospettive future?

Oltre all’auspicio che questa guerra possa terminare quanto prima, mi duole rimarcare quanto tale contesto possa essere rischioso per le aziende a livello internazionale.

Il coinvolgimento di criminali accanto ad attori state-sponsored, questo connubio, potrebbe dar luogo nelle prossime settimane e nei prossimi mesi a delle situazioni estremamente pericolose nelle quali i gruppi potrebbero fornire accessi ad obiettivi strategici, che a loro volta possono essere penetrati e compromessi da attori nation-state.

Il rischio è estremamente alto e per questo motivo le infrastrutture critiche più esposte su scala globale ad attacchi devono necessariamente innalzare il loro livello di sicurezza, per fare questo è necessaria una coordinazione a livello internazionale dai vari centri di risposta degli incidenti in modo da potersi scambiare in tempo reale informazioni relative agli attori, alle minacce, alle tecniche e procedure che si stanno adoperando. Solo così possiamo evitare il peggio.

E’ fondamentale in questa fase la condivisione delle informazioni, più si è coesi sotto il profilo cyber e meno spaventa la minaccia mossa dall’avversario.

 

Intervista a Pierluigi Paganini, Experto di Cybersecurity ed intelligence CEO Cybhorus

Condividi sui Social Network:

Ultimi Articoli