Da Guerre di Rete – newsletter di notizie cyber a cura di Carola Frediani

La scorsa settimana avevo raccontato la quantità di attacchi cyber subiti dall’Ucraina da poco prima dell’inizio della guerra a oggi, e di come secondo un rapporto di Microsoft ci fossero correlazioni fra alcuni di questi attacchi e le azioni sul campo da parte dei russi.

Anche secondo l’amministrazione americana, la Russia sta combinando le sue capacità cyber con le operazioni militari sul territorio in Ucraina. Attività di hacking “distruttivo” legate a Mosca sono state un aspetto significativo della guerra, ha commentato nei giorni scorsi Anne Neuberger, deputy national security adviser per la cybersicurezza al Consiglio per la sicurezza nazionale (NSC) americano, in pratica colei che coordina le operazioni dell’amministrazione Biden sulla cyber. “Abbiamo visto i russi avere un approccio integrato nell’utilizzo di attacchi fisici e cyber, per raggiungere i loro brutali obiettivi in Ucraina”, ha commentato. E tuttavia, riferisce il WSJ, malgrado queste operazioni su larga scala, non ci sono stati (o non si sono visti) incidenti con impatto devastante da parte degli attaccanti. Oppure questi sono stati bloccati dagli ucraini.

Quanto le capacità di difesa ucraine (coadiuvate da uno sforzo internazionale) abbiano davvero giocato un ruolo nello smorzare i cyberattacchi russi resta una domanda aperta. Di sicuro il ruolo degli americani è stato importante anche sul fronte cyber. Perfino la guardia nazionale americana (forza militare di riservisti di ogni Stato federato) ha inviato personale. E quella della California ha anche mandato delle unità per aiutare gli ucraini a difendersi da cyberattacchi e per lanciare operazioni cyber, scriveva giorni fa lo stesso sito della Guardia nazionale.

L’aiuto statunitense sul campo informatico è iniziato in modo robusto dopo il 2015 (ad esempio nel 2017 l’esercito Usa assegnava un contratto da 22,7 milioni di dollari alla società Black Box per assistere il ministero della Difesa ucraino a sviluppare le sue capacità cyber; dal 2020 arrivavano altri soldi Usa in varie tranche). Ma si è intensificato dallo scorso ottobre e novembre, quando è aumentato il personale specializzato inviato in Ucraina.

Moldavia e Paesi Baltici nel mirino

La cyberwarfare è sicuramente stata meno visibile del previsto (o di quanto alcuni si aspettavano, cosa di cui ho scritto e detto ampiamente). Ma forse sarebbe il caso di prestare più attenzione, e prima, ai segnali su questo fronte, perché possono essere degli indicatori importanti su come si indirizzano le tensioni internazionali.

“Aiuteremo la Moldavia a rafforzare la sua resilienza e ad affrontare le conseguenze dello spill-over dell’aggressione della Russia in Ucraina fornendo ulteriori aiuti militari alla Moldavia, e aiutandola a contrastare la disinformazione e a resistere ai cyberattacchi”, ha dichiarato (e twittato) qualche giorno fa il presidente del Consiglio europeo Charles Michel. Il riferimento alla parte cyber non è di prammatica. I servizi di intelligence della Moldavia sostengono che il gruppo di hacking filorusso di nome Killnet abbia lanciato una serie di cyberattacchi contro i siti governativi del Paese. “La Russia fa un passo in avanti nella sua aggressione contro la Moldavia, mentre le tensioni divampano in Transnistria”, ha commentato il ricercatore Samuel Ramani.

Nei giorni scorsi nei messaggi sul proprio canale Telegram, come verificato da Guerre di Rete, il gruppo Killnet minacciava attacchi contro la Moldavia, la Lituania e la Lettonia. Anche per l’esperta di cyberwarfare e consulente Nato Chris Kubecka, intervistata dal WSJ, gli Stati Baltici sono al momento uno dei possibili target dell’estensione del conflitto cyber, insieme alle infrastrutture critiche di aziende che si sono espresse in favore delle sanzioni alla Russia.

Tornando a Killnet, il gruppo raccoglie decine di migliaia di utenti nei suoi canali Telegram ed ha delle modalità “hacktiviste” di azione non molto lontane da quelle dell’IT Army ucraino (di cui avevo scritto qua). Nei giorni scorsi Killnet ha preso di mira anche siti governativi rumeni, e per il presunto contributo a questa azione è stato identificato e indagato in Gran Bretagna un cittadino rumeno di 23 anni. Per altro le azioni di Killnet avevano suscitato anche una controreazione immediata da parte di Anonymous Romania, che aveva preso di mira dei siti governativi russi, a dimostrazione che lo scenario internazionale dei conflitti cyber appare sempre di più come una polveriera attorno a cui si agitano una quantità di soggetti dotati di cerini (con la tentazione per i governi di sfruttare la plausibile deniability, la copertura diciamo così, offerta dalla quantità di sigle presenti, per forzare la mano).

Le conseguenze (impreviste?) di questo fronte

Tra l’altro nei giorni scorsi un report della società di cybersicurezza Crowdstrike ha segnalato l’abuso di infrastrutture cloud e container di aziende da parte dell’IT Army ucraino per lanciare attacchi DoS (che puntano a rendere irraggiungibile un sito o servizio) contro la Russia. E avvisava: “L’uso di infrastrutture compromesse ha conseguenze di vasta portata per organizzazioni che possono trovarsi senza volerlo a partecipare ad attività ostili contro il governo russo e obiettivi militari e civili”.

E comunque gli attacchi DDoS da parte dell’IT Army ucraino stanno producendo alcuni effetti. Ad esempio hanno colpito EGAIS, il sistema governativo che regola e gestisce la produzione di alcol in Russia, causando ritardi nella produzione e nel rifornimento nel Paese. Tanto che alcuni birrifici hanno dovuto bloccare la produzione, riferiscono vari media russi. Gli attacchi sono stati confermati dagli stessi canali Telegram dell’IT Army ucraino.

Questa settimana è anche uscito un report di Google che si concentra sulle attività cyber in corso nell’Europa orientale in riferimento alla guerra in Ucraina. E segnala un numero crescente di attori malevoli che usano la guerra come un’esca per campagne di malware e phishing. Attori sostenuti dal governo in Cina, Iran, Corea del Nord e Russia, così come altri gruppi senza attribuzione, hanno usato vari temi legati alla guerra per arrivare ai target con email malevole. Attori criminali e motivati dai soldi stanno usando gli eventi correnti per fare attacchi (vi ricordate del liberi tutti di cui avevo parlato tempo fa? Pare si stia concretizzando).

Il rischio per le infrastrutture critiche

Ma, come avvenuto col report di Microsoft o con quelli di altre società di sicurezza specializzate in sistemi industriali, Google rileva anche che vari attori malevoli stanno prendendo di mira le infrastrutture critiche, nel settore dell’energia, delle telco e della manifattura.

Di attacchi di questo genere abbiamo già parlato qua in newsletter. Vale la pena segnalare che sono ormai tre le aziende europee dell’eolico colpite da cyberattacchi dall’inizio della guerra. Sebbene le aziende in questione non abbiano fatto una attribuzione, la preoccupazione che in alcuni casi possano essere state prese di mira (e non siano solo un casuale danno collaterale) è alta, almeno secondo alcuni rappresentanti dell’industria, come il portavoce di Wind Europe, Christoph Zipf, intervistato dal WSJ. Le tre aziende colpite sono Enercon (di cui avevo scritto nell’ambito del cyberattacco a Viasat a febbraio); Deutsche Windtechnik AG, colpita ad aprile, con il down dei suoi sistemi di controllo remoto per duemila turbine in Germania. E Nordex SE, colpita a fine marzo dal gruppo criminale russo Conti, sospettato di legami con l’intelligence di Mosca.

Su Conti il governo americano ha appena messo una taglia da 15 milioni di dollari (data a chi possa fornire informazioni).

Nel mentre sembra essere ricomparso il gruppo cybercriminale REvil, che a ottobre aveva fermato le attività dopo un’operazione di polizia in cui erano stati sequestrati dei server e arrestati alcuni membri da parte delle autorità russe (che dicevano di aver agito su informazioni fornite dagli americani). Ma dopo l’invasione dell’Ucraina la Russia ha dichiarato che gli Stati Uniti avevano interrotto la cooperazione sulle attività cyber (incluse quelle criminali).

Foto: Ministero della Difesa Ucraino