Da Guerre di Rete – newsletter di notizie cyber a cura di Carola Frediani

A un anno dall’inizio della guerra in Ucraina e della cyberwarfare collegata, la maggior parte degli osservatori ritengono ancora (come già ritenevano mesi fa) che la risposta di Kiev sul fronte cyber sia stata al di sopra di molte aspettative. Se seguite questa newsletter da tempo sapete che ho dedicato molte edizioni a questo tema (ad esempio: qua, qua e qua) e che le ragioni sono complesse e hanno anche a che fare con la diversa rilevanza dei cyberattacchi in un contesto di pace formale (sia pure percorsa da forti tensioni sotterranee), situazione in cui le aggressioni e incursioni informatiche raggiungono forse il massimo delle loro potenzialità, rispetto invece a uno scenario di guerra aperta in un territorio specifico.

Ciò detto, è tempo di bilanci. Cosa abbiamo imparato finora, sul fronte cyber, dalla guerra in Ucraina? Ad esempio che l’assistenza da parte di altri è stata fondamentale. A scriverlo è un report dell’Aspen Institute. “Una difesa cyber efficace e adattabile sarà essenziale nei conflitti futuri e quindi la capacità di fornire assistenza in materia di difesa informatica deve essere un aspetto centrale per la sicurezza nazionale. Esaminare come i partner dell’Ucraina le abbiano fornito assistenza per la difesa informatica può insegnarci a condurre con successo operazioni simili in futuro”, scrivono gli autori.

Gran parte di questa assistenza è arrivata attraverso iniziative come la Cyber Defense Assistance Collaborative (CDAC), un gruppo volontario di aziende e organizzazioni occidentali di cybersicurezza che ha fornito intelligence, tecnologia, formazione, consulenza e altri servizi alle istituzioni ucraine. “L’assistenza alla difesa informatica in Ucraina sta funzionando – scrive ancora il report – Il governo e le organizzazioni ucraine che si occupano di infrastrutture critiche si sono difese meglio e hanno raggiunto livelli più elevati di resilienza grazie agli sforzi del CDAC e di molti altri”.

In realtà, sono sforzi che nascono da lontano. La CDAC – che oggi include aziende e alleanze come Avast, Cyber Threat Alliance, LookingGlass Cyber Solutions, Palo Alto Networks, Recorded Future, Symantec – è una sorta di spin-off della Civilian Research and Development Foundation (CRDF), un’organizzazione nata nel 1995 da una precedente legge del Congresso Usa, la Freedom Support Act, “che autorizzava gli Stati Uniti a fornire assistenza ai 12 Stati dell’ex Unione Sovietica, divenuti indipendenti, per costruire mercati liberi e sistemi democratici nella regione”.

In Ucraina, dal 2019, si è focalizzata sulla resilienza cyber (con un contributo del Dipartimento di Stato). Già nel 2021 la CRDF organizzava workshop e hackathon in Ucraina per proteggere le infrastrutture critiche da cyberattacchi. Due esperti americani di cybersicurezza, che hanno ricoperto anche ruoli governativi, Greg Rattray e Matthew Murray, hanno lavorato da prima della guerra con la CRDF per aiutare Kiev a creare la sua strategia di cybersicurezza nazionale. E poi, con l’inizio del conflitto, hanno mobilitato una rete di organizzazioni.

Oltre a ciò, ad assistere l’Ucraina sul fronte cyber è stata la NATO, tanto che a gennaio è stata infine approvata la richiesta di adesione del Paese al Centro di eccellenza per la difesa cibernetica dell’alleanza militare (CCDCOE), domanda che era in attesa dal 2021 e ha chiaramente avuto un’accelerazione con la guerra. Ora Kiev fa parte dei membri non appartenenti alla NATO che partecipano al suo centro cyber, benché la collaborazione con lo stesso andasse avanti da tempo.

L’Unione europea a dicembre ha fornito invece un cyber lab, un ambiente di training in tempo reale per simulare attacchi in modo da testare e rafforzare le difese cyber militari di Kiev. Il laboratorio rientra nel programma di assistenza inquadrato nell’European Peace Facility, uno strumento dell’Ue per “costruire la pace e rafforzare la sicurezza internazionale” attraverso il quale nel 2021 sono stati stanziati 31 milioni di euro a sostegno delle forze armate ucraine, inclusa la parte cyber.

Infine va ricordato che il Cyber Command americano aveva inviato unità in Ucraina a fine 2021. E che due mesi fa per la prima volta ha reso pubblico di aver condotto operazioni di “hunt forward” insieme al personale del Cyber Command ucraino dal dicembre 2021 al marzo 2022 (ma la presenza americana risale fino al 2018). “Nel periodo che ha preceduto l’invasione, avevamo anche team cyber sul posto. Abbiamo aiutato gli ucraini a fare una valutazione della loro infrastrutture, a rimuovere il malware, a eliminare le vulnerabilità e a prepararsi a quella che credevamo sarebbe stata una vera e propria invasione”, ha commentato ancora pochi giorni fa il generale Charles “Tuna” Moore.

Le operazioni di hunt forward (condotte dagli americani anche in Croazia, Montenegro, Lituania, Macedonia del Nord) sono presentate dal Cyber Command come attività puramente difensive: di fatto il loro obiettivo è eliminare le attività cyber malevole avversarie individuate nelle reti di un Paese attraverso una ricerca (una “caccia”) attiva. Operazioni in realtà delicate, che infatti hanno prodotto alcune ripercussioni diplomatiche tra Francia e Stati Uniti, come evidenziato da un articolo di Le Monde di qualche tempo fa.

“La nebbia della cyber guerra”

A questi bilanci si aggiunge questa settimana anche un report di Google, che più che alle difesa ucraine guarda agli attaccanti. La conclusione ve la anticipo subito, dato che è anche un po’ scontata: che gli aggressori sostenuti dal governo russo continueranno a condurre attacchi informatici contro l’Ucraina e i partner della NATO per favorire gli obiettivi strategici russi.

Ma sono alcuni dettagli del report che ho trovato più interessanti. Il primo è un tuffo nell’analisi di alcuni di questi gruppi russi o filorussi, a partire da quello che Google chiama Frozenbarents (sulla caterva di nomi dati a questi gruppi, noti anche come APT, dai ricercatori e dalle aziende di sicurezza potremmo tranquillamente farci un calendario ormai, da quanti ce ne sono.

Se lo fate, non voglio royalties ma almeno un giorno a me dedicato). Ad ogni modo Frozenbarents sarebbe quello che altri chiamano Sandworm (o Voodoo Bear, o Iridium), ovvero una unità del GRU (l’intelligence militare russa) che in passato è stata protagonista di colpi clamorosi, sia nel campo del cyberspionaggio che degli attacchi più “distruttivi”, come NotPetya nel 2017 partito proprio dall’Ucraina, o gli attacchi al settore energetico del Paese, senza dimenticare le incursioni per destabilizzare le elezioni francesi del 2017.

Perché è interessante, oltre ovviamente al suo pedigree? Perché, scrive Google, Frozenbarents sintetizza la sovrapposizione tra le diverse sfere dell’attività cyber, conducendo in concomitanza campagne di spionaggio, attacchi distruttivi alla rete, operazioni (dis)informative e “persino utilizzando servizi di “hack-for-hire” (comprando cioè il risultato di attacchi fatti da altri – ndr) per assicurarsi l’accesso iniziale ad alcuni obiettivi”.

Il gruppo ha preso di mira un produttore di droni turco, i cui sistemi erano utilizzati dall’Ucraina fin dalle prime settimane di guerra. Si tratta dei droni TB2, prodotti dall’azienda privata turca del settore della difesa Baykar, venduti a Kiev prima della guerra e celebrati sui media per il ruolo svolto a vantaggio delle forze armate ucraine (non senza imbarazzo per Ankara e le sue relazioni con Mosca). Anche se nel corso dell’anno sono poi scomparsi di scena e su questa scomparsa ci sono diverse teorie.

Una è che dietro ci sia una leva diplomatica (della Russia sulla Turchia). L’altra è che i russi siano migliorati nella guerriglia elettronica (electronic warfare) e siano riusciti a neutralizzare i droni, attraverso varie tecniche (jamming e interferenza nella trasmissione, secondo questo resoconto). Il report di Google sembra dare credito a questa seconda teoria (corroborata anche da alcuni esperti occidentali) ovvero che la Russia sia riuscita a “mettere fuori uso” (disabled) i droni turchi.

Altre campagne hanno preso di mira informazioni sensibili come le comunicazioni militari ucraine e i movimenti delle truppe. I ricercatori di Google hanno poi rilevato diverse campagne di furto di credenziali che avevano come obiettivo le infrastrutture critiche. Nel mirino del gruppo fornitori di energia ucraini, ma anche organizzazioni della logistica, inclusi i settori dello shipping e dei treni, in Ucraina e in altri Paesi europei. Insomma, Frozenbarents interessa perché è in grado di colpire là dove fa più male.

Invece a un altro gruppo, denominato Frozenlake, sempre riconducibile al GRU (e una vecchia conoscenza di questa newsletter e del mio libro #Cybercrime, visto che è noto come APT28 o Fancy Bear, ed è stato protagonista degli attacchi ai Democratici americani nel 2016) è affidato il compito di coordinarsi con i gruppi di hacktivisti filorussi, cui passare anche dei leak. Sull’autonomia di questi gruppi avevo scritto qua in newsletter, ma diciamo che secondo società come Mandiant (parte di Google) molti di questi hacktivisti sarebbero collegati ai militari russi attraverso il già citato APT28, ovvero Frozenlake.

Gli attacchi all’Italia dei gruppi russi

E così veniamo anche ai recenti attacchi da parte del gruppo russo NoName057 contro alcune istituzioni e aziende italiane che hanno conquistato TG e prime pagine. Si tratta di attacchi DDoS, che puntano a sovraccaricare le risorse di un sito e a mandarlo offline (o renderlo inagibile) per un certo periodo di tempo, quindi essenzialmente “dimostrativi”. Esattamente come era già avvenuto mesi fa con gli attacchi di un altro gruppo russo di presunti “hacktivisti”, Killnet, che avevano preso di mira alcuni siti italiani (ne avevo scritto qua).

La società di cybersicurezza Avast, che monitora il gruppo da mesi (gruppo che ha fatto attacchi simili in Ucraina, Polonia, Estonia, Lituania e Norvegia), a settembre scriveva che NoName057 “effettua esclusivamente attacchi DDoS”. Che “il gruppo ha una percentuale di successo del 40 per cento, e le aziende con infrastrutture ben protette possono resistere ai suoi tentativi di attacco”.  Ad esempio, banche come la danese Danske Bank e la lituana SEB non avrebbero subito ripercussioni dagli attacchi. E infine che il 20 per cento dei successi rivendicati dal gruppo potrebbe non essere opera loro.

Dall’inizio della guerra in Russia sono nati diversi gruppi di questo genere: secondo alcuni ricercatori in alcuni casi ci sarebbe un evidente legame con l’intelligence, in altri non è chiaro. Come avevo scritto in precedenza, la modalità scelta da tali gruppi, quella hacktivista, che si articola in vari canali, anche aperti a chiunque, “ricalca da vicino non solo i vari collettivi di Anonymous ma anche l’IT Army ucraino. È la risposta russa, “non governativa” o presunta tale, a questi gruppi e alla loro capacità di attrazione, anche simbolica”.

Infatti, proprio in questi giorni, la società americana di cyber intelligence Recorded Future scrive: “Questi cosiddetti gruppi di hacktivisti sono assurti nella percezione pubblica a simbolo della “cyberguerra” in corso, parallela al conflitto (perché più visibili e mediatici, ndr), sebbene il loro impatto sia stato limitato”.
Dunque – aggiungo io –  se il piano è quello simbolico e della (dis)informazione e pressione psicologica, la reazione di chi si difende non dovrebbe fare il gioco degli attaccanti.

Cybercriminalità in movimento

Infine, tornando al report di Google, si nota come l’invasione abbia innescato un notevole cambiamento nell’ecosistema criminale informatico dell’Europa orientale, che probabilmente avrà implicazioni a lungo termine sia per il coordinamento tra i gruppi criminali sia per la portata della criminalità informatica a livello mondiale. “Alcuni gruppi si sono divisi per motivi politici e geopolitici, mentre altri hanno perso operatori di spicco (…) Abbiamo anche assistito a una tendenza alla specializzazione nell’ecosistema del ransomware che mescola le tattiche dei vari attori, rendendo più difficile una attribuzione definitiva”.

Google ritiene anche che alcuni ex membri della gang cybercriminale russa Conti si siano messi a colpire l’Ucraina, con particolare attenzione al suo governo e alle organizzazioni umanitarie e no-profit europee (e al settore alberghiero).
Il report: Fog of War: How the Ukraine Conflict Transformed the Cyber Threat Landscape
Sul gruppo Conti il nostro articolo su Guerre di Rete: Startup malware: come lavorano le gang cybercriminali.