di Carola Frediani – Guerre di rete

Giorni dopo in cui avevamo accennato, in questa newsletter, alla possibilità che un incidente informatico in qualche modo collegato alla situazione in Ucraina avesse creato problemi ai servizi satellitari di Viasat – azienda americana che fornisce connettività satellitare a molti utenti in Europa – il quadro si è fatto più dettagliato e inquietante. E forse possiamo dire che questo sembra essere uno degli episodi cyber più significativi emersi dalla guerra in Ucraina (se confermato che l’attacco informatico sia riconducibile a uno degli attori in campo). Per ora abbiamo molti indizi.

In settimana infatti Victor Zhora, a capo della trasformazione digitale del State Service of Special Communication and Information Protection (il dipartimento ucraino per la sicurezza delle informazioni) ha dichiarato che la rete satellitare di Viasat sarebbe stata colpita da un sabotaggio digitale che avrebbe provocato dei notevoli disservizi nelle comunicazioni, in concomitanza con l’invasione russa.

L’incidente, su cui Zhora non ha voluto dare più dettagli, avrebbe messo fuori uso anche decine di migliaia di modem satellitari in tutta Europa a partire dalla mattina del 24 febbraio, determinando “una enorme perdita di comunicazioni proprio all’inizio della guerra”. Il funzionario ucraino ha dunque avallato l’ipotesi che un cyberattacco abbia disabilitato migliaia di modem in Europa, bloccando i servizi internet di ignari utenti e di aziende. Del resto anche Viasat ha attribuito il disservizio a un “evento cyber”.

Secondo Reuters, sia la NSA americana che l’agenzia per la cybersicurezza francese ANSSI stanno ora indagando sull’attacco e valutando se possa essere stato il lavoro di hacker di Stato russi o filorussi.

Ma l’attacco non ha messo fuori uso solo i modem di connessioni casalinghe. Ha anche scollegato una serie di turbine eoliche gestite da Enercon, azienda tedesca del settore energetico. Che ha confermato come un fallimento delle comunicazioni satellitari abbia tagliato il collegamento per una parte dei servizi da remoto di quasi 6mila turbine che forniscono energia in Europa centrale e orientale.

Le turbine hanno continuato a operare ma sarebbe saltata una parte del canale di comunicazione (qui i dettagli tecnici di Enercon). Un portavoce di Enercon ha dichiarato a Recharge di avere avuto conferma che la causa del problema sarebbe stato un cyberattacco. L’azienda tedesca ha anche specificato di dover cambiare tutti i modem, ma che ci sarebbero alcune difficoltà nel rifornimento. E che nel frattempo le comunicazioni con le turbine sono state ristabilite attraverso collegamenti LTE (wireless broadband, rete mobile). Sempre secondo Enercon (che dice di essere in contatto con le autorità federali tedesche) sarebbero 30mila i terminali satellitari colpiti in Europa.

Colpiti anche aziende e utenti italiani

A livello di consumatori, invece, il disservizio ha interessato decine di migliaia di utenti in Europa, in particolare in Francia, Germania, Polonia, Ungheria, avrebbe confermato ai media Eutelsat, operatore satellitare leader in Europa che controlla il servizio internet satellitare bigblu.

Ma i disservizi hanno colpito anche utenti italiani. L’azienda italiana OpenSky, parte di bigblu, ha inviato ai suoi clienti una mail che è stata vista da Guerre di Rete. In sostanza, l’azienda spiega di aver avuto notizie dal proprietario del satellite, Viasat, sulla causa dell’evento informatico che ha messo fuori uso il servizio per decine di migliaia di utenti in Europa. E che la soluzione confermata da Viasat sarebbe di sostituire tutti i modem dei clienti colpiti, in quanto resi inutilizzabili, e che quindi è necessario rimpiazzare l’hardware.

Con grande chiarezza e trasparenza, OpenSky ha anche messo un avviso sul suo sito dove fornisce più dettagli per i clienti italiani. “Giovedì 24 febbraio siamo venuti a conoscenza di un’interruzione parziale del servizio che continua ad avere un impatto su alcuni clienti bigblu sul satellite KA Sat.

Abbiamo ricevuto una dichiarazione ufficiale dal proprietario del satellite e fornitore di rete, Viasat, che sta ancora indagando sull’interruzione. Ci hanno confermato che stanno prendendo tutte le misure necessarie per ripristinare il servizio nel modo più rapido e sicuro possibile. La causa dell’interruzione non è completamente chiara, ma parrebbe che questo sia il risultato di un’azione informatica intenzionale”. (..)  Ha qualcosa a che fare con l’invasione della Russia in Ucraina?” – prosegue l’avviso – “Viasat sta ancora indagando sull’interruzione. Sfortunatamente, la causa non è ancora completamente chiara, ma supponiamo che potrebbe trattarsi di un incidente informatico”.

Gli utenti del servizio, che abitano perlopiù in zone rurali, si sono trovati così senza internet. “Personalmente ho dovuto ripiegare su un modem LTE”, ha commentato a Guerre di Rete un cliente che preferisce non essere nominato.  E che, spiega, pur essendo contento del servizio offerto fino ad oggi, si è trovato costretto ad avviare le procedure di cessazione del contratto a causa dell’incidente.

Viasat, oltre a essere alla base di servizi commerciali in Europa e dintorni, è anche un contractor per le forze armate britanniche e Nato. La multinazionale europea del settore spaziale Airbus usa la tecnologia Viasat nel suo network satellitare Skynet che rifornisce il ministero della Difesa britannico e altre forze della Nato e dell’alleanza di intelligence Five Eyes (Usa, Uk, Australia, Canada, Nuova Zelanda).
Parliamo di “cyberwar” ma con giudizio

Come dicevo all’inizio questo potrebbe essere uno degli episodi più significativi (e da capire e analizzare) di questo cyber conflitto che sta assomigliando sempre più a una “cyberwar”, anche se coperta e con impatti specifici e limitati (senza scenari apocalittici o allarmisti, che in verità non erano mai stati tratteggiati dalle persone più addentro nel settore).

Uso questo termine sempre con molta cautela e virgolette, anche se lo ha ormai sdoganato lo stesso Thomas Rid, professore della Johns Hopkins University che è probabilmente il maggior esperto mondiale del tema nonché colui che scrisse anni fa un bellissimo libro dal titolo Cyberwar Will Not Take Place proprio per ridimensionare l’hype sul tema. Oggi, scrive Rid, “la cyberwar è arrivata, sta avvenendo e probabilmente vedrà una escalation. Ma il confronto digitale si sta svolgendo nell’ombra, tanto poco appariscente quanto insidioso”.

C’è stato un discreto dibattito sulle forme prese dal conflitto cyber, su quanto fosse tanto o poco di impatto (tendenzialmente meno di quello che fuori dagli addetti ai lavori ci si aspettava).

Sintetizzo qua un mix di posizioni che ho letto e condivido, aggiungendoci del mio.
Quando c’è una guerra in corso, sul campo, la parte cyber perde alcuni suoi vantaggi strutturali: il fatto di poter agire con una plausible deniability (cioè la possibilità di negare di essere autori dell’azione); di muoversi in modo coperto, nascosto; di prendere alla sprovvista l’avversario: di raggiungere sistemi e infrastrutture da remoto e normalmente non accessibili in nessun altro modo. E si carica invece di uno svantaggio: in uno scenario estremamente rapido e frenetico, come quello di una guerra, gli attacchi più sofisticati su obiettivi sensibili richiedono tempo, preparazione, e possibilmente una guardia abbassata dall’altra parte (ricordo che da mesi sono arrivati specialisti americani, europei, Nato in Ucraina per rafforzare le sue difese cyber).

Sviluppi della info e cyber guerriglia

Nel frattempo la cyber guerriglia e info guerriglia di Anonymous, hacktivisti vari e forze pro-Ucraina raccolte nell’IT Army dal governo di Kiev (ne avevo scritto qua) ha continuato, portando a casa anche alcuni colpi significativi (soprattutto a livello mediatico). Ci sono due leak attribuiti a due organizzazioni russe, pubblicati sul sito Ddosecrets (che raccoglie fughe di dati anche da fonti anonime mettendoli a disposizione di giornalisti). Il primo sembra essere un leak di 360.000 file di Roskomnadzor, l’agenzia russa che monitora e censura i media (anche se in buona parte sembrano riferirsi ad attività della repubblica di Bashkortostan o Baschiria, parte della Federazione russa). Alcuni giornalisti hanno provato a verificare alcuni file e dicono che il leak appare genuino. Il secondo sarebbe un leak di 79 gigabyte di email da OMEGA, il dipartimento di ricerca e sviluppo di Transneft, colosso statale russo che controlla oleodotti. Email che sarebbero anche piuttosto recenti e tratterebbero anche il tema delle sanzioni, secondo Ddosecrets.

Poi ci sono state alcune azioni da infowar che hanno di nuovo ottenuto discreta visibilità. Una è un sito – creato da Squad303 (qua il VIDEO di lancio), gruppo di anonimi cyber esperti polacchi – che permette a chiunque di inviare messaggi a numeri di telefono o email di utenti russi a caso.

L’idea è di sensibilizzare i cittadini aggirando la censura. Il sito,1920.in, si riferisce a forze polacche che hanno combattuto contro i sovietici nel 1920 (ne parlano tra gli altri il WSJ, mentre The Record li ha intervistati). Ci sono utenti americani che dicono di aver iniziato anche delle conversazioni in questo modo (oltre a aver presi degli insulti).

Poi c’è un’azione rivendicata da Anonymous, in cui sarebbero state violate una serie di videocamere CCTV in Russia, col risultato di mettere in sovraimpressione frasi contro Putin nei filmati. Gli autori di questa azione hanno anche creato un sito, Behind Enemy Lines, in cui sono raccolte le videocamere violate. Divise tra quelle nei ristoranti, quelle all’aperto, quelle in uffici e via dicendo (vedi anche Hackread e altri).

Infine, un gruppo di area hacktivista ha annunciato di voler usare ransomware o comunque la violazione di dati di aziende russe a scopo estorsivo, chiedendo soldi (per evitare la pubblicazione dei dati sottratti) che girerebbero poi all’Ucraina. Che questa modalità prettamente cybercriminale entri nell’armamentario hacktivista è piuttosto inquietante. Senza contare che in futuro potrebbe essere usata anche da cybercriminali che si fingano hacktivisti per contribuire al depistaggio del proprio operato.

Bonus: qualcuno dice di aver avvistato hacker cinesi sul fronte cyber, su infrastrutture e obiettivi ucraini. Premesso che anche questo è da verificare (anche se chi lo dice, il gruppo anonimo Intrusion Truth, è una entità tanto misteriosa quanto solitamente ben informata sulle cyberspie cinesi, avevo scritto di loro in passato), la ragione potrebbe essere legata a quello che gli hacker di Stato cinesi sanno fare al meglio: raccogliere informazioni (approfittando del caos).

Il falso video con la resa di Zelensky

Un falso video, con un falso discorso di resa, realizzato grazie all’intelligenza artificiale. Protagonista Volodymyr Zelensky, o meglio una sua riproduzione digitale. La clip manipolata ha iniziato ad essere condivisa sui social media dopo che il canale televisivo Ukraine 24 aveva denunciato un attacco informatico ai suoi danni nel corso del quale – a detta dell’emittente – sul suo sito era stato pubblicato il video incriminato. Si tratta infatti del primo vero impiego, in un contesto di guerra, di quella manipolazione dei video comunemente chiamata “deepfake”, scrive SkyTg24.

Sempre sul fronte propaganda si segnala l’articolo “Ascesa della Z pro-Russia: il conflitto simbolico nell’era dei social” di Gio9vanni Boccia Artieri su Agenda Digitale.

 Il caso Kaspersky

La guerra in Ucraina ha scatenato anche una serie di reazioni rispetto ad aziende russe, specie quelle che lavorano in ambito sicurezza. E dunque, scrive Repubblica, il Consiglio dei ministri starebbe ultimando una norma “per consentire alle pubbliche amministrazioni di non utilizzare più l’antivirus russo Kaspersky. Stanziando fondi per acquistarne uno nuovo ed evitando problemi di natura erariale a chi, legittimamente, in questi anni lo aveva acquistato.

Un provvedimento d’urgenza, che sarà approvato già nelle prossime ore dal Consiglio dei ministri”.
In Germania, scrive Wired Italia, l’organizzazione per la cybersecurity tedesca, Bsi, ha rilasciato un comunicato pubblico nel “quale “consiglia di sostituire le applicazioni del portafoglio di software di protezione antivirus di Kaspersky con prodotti alternativi”, si legge nel testo originale”. Mentre la Francia, tramite il Centro governativo di sicurezza informatica (Anssi), negli scorsi giorni ha diramato un comunicato nel quale evidenzia come “nel contesto attuale, l’uso di alcuni strumenti digitali, in particolare gli strumenti della società Kaspersky, può essere messo in discussione a causa del loro legame con la Russia”.

In ogni caso, l’Anssi precisa che, al momento, non ci sono “elementi oggettivi per giustificare una modifica della valutazione del livello di qualità dei prodotti e servizi forniti”.

Scrive la testata tedesca Der Spiegel in riferimento alla decisione della Bsi: “La frase chiave della dichiarazione della Bsi è questa: Un’azienda russa dell’IT può condurre essa stessa operazioni offensive, può essere obbligata ad attaccare sistemi contro la sua volontà, o può essere spiata come vittima di una operazione cyber a sua insaputa o può essere abusata come uno strumento per attacchi contro i suoi clienti”.

Foto: Twitter, Red Hot Cyber e Prosyscom

Guerre di Rete ora ha anche un sito, una pagina Facebook, un profilo Twitter,  Linkedin e Instagram. Seguiteli! I podcast della newsletter (che escono il lunedì in genere) li trovate sulle principali piattaforme (Apple Podcasts; Spotify; Google Podcast; Anchor.fm).