Tiscali.it
SEGUICI

Russia e Ucraina: la guerra si combatte anche nel cyberspazio

Il Cyber Peace Institute ha contato 85 attacchi subiti dall’Ucraina e 83 subiti dalla Russia. La capacità di cyber-resilienza ucraina è dovuta a una tempestiva e cruciale decisione presa poco prima dell’inizio dell’invasione.

Alessandro Spaventadi Alessandro Spaventa   
(Ansa)
(Ansa)

Siamo ormai alla fine del quarto mese di guerra in Ucraina. Centoventi giorni dal quando le truppe russe hanno varcato i confini e lanciato l’assalto verso Kyiv. Oggi i combattimenti si sono spostati e infuriano e est, nelle provincie di Lugansk e Donetsk, e a sud, in quella di Kherson. C’è però un territorio dove attacchi, arroccamenti in difesa, contrattacchi, non si sono mai fermati: il cyberspazio.

Operazione fallita

All’inizio della guerra era opinione comune che i gruppi di hacker collegati ai servizi russi avrebbero rapidamente messo in ginocchio le difese ucraine e guadagnato libero accesso alle infrastrutture e alle reti informatiche del paese. Non è avvenuto. E non perché gli attacchi non vi siano stati, ma perché anche nel mondo virtuale, come in quello reale, hanno incontrato una capacità di difesa imprevista. E molto più che in quello reale hanno dovuto difendersi da contrattacchi insidiosi portati avanti non solo da gruppi ucraini, ma da collettivi di attivisti di paesi confinanti come la Bielorussia o che raggruppano attivisti di diversi paesi, come Anonymus. Il Cyber Peace Institute ha contato 85 attacchi subiti dall’Ucraina e 83 subiti dalla Russia.

La decisione cruciale

La capacità di cyber-resilienza ucraina è dovuta a una tempestiva e cruciale decisione presa poco prima dell’inizio dell’invasione. Per anni nel paese è stata in vigore una legge sulla protezione dei dati che imponeva agli enti pubblici di conservare i dati di cui erano in possesso in server che fossero localizzati all’interno dei confini nazionali. La legge eliminava quindi di fatto la possibilità di trasferirli e processarli su sistemi cloud i cui computer sono invece sparsi per il mondo. Ancora una settimana prima dell’attacco russo il settore pubblico ucraino si appoggiava totalmente a server localizzati in uffici pubblici e quindi in edifici che avrebbero potuto essere oggetto di attacchi missilistici o bombardamenti.

Col precipitare della situazione, consapevoli del rischio cui era esposta l’infrastruttura informatica del paese, il governo e il parlamento hanno rapidamente promosso un emendamento, approvato il 17 febbraio, che ha consentito l’utilizzo dei sistemi cloud. Subito dopo l’approvazione, con l’aiuto di Microsoft e di altre società di IT, è cominciata la “evacuazione” dei dati più rilevanti verso i data centre europei. Dopo dieci settimane i dati più rilevanti erano stati trasferiti lontano dal teatro di guerra e in ambienti in cui il livello di sorveglianza e protezione contro minacce esterne era ed è estremamente elevato e costantemente aggiornato.

L’attacco

Appena in tempo. Il 23 febbraio, un giorno prima dell’invasione, i russi scatenano una cyberoffensiva contro i server del governo ucraino e contro i gestori di infrastrutture e reti. Per l’attacco viene utilizzato “Foxblade”, un software “wiper” in grado di spazzare via ogni dato dalle memorie e dagli hard disk dei server. Proprio grazie al trasferimento e alla dispersione dei dati sui sistemi cloud, tuttavia, i danni sono limitati. I tecnici di Microsoft hanno attribuito l’attacco a “Sandworm”, gruppo legato ai servizi militari russi, il GRU, che nel 2017 era già stato protagonista di un vasto attacco contro molteplici obiettivi ucraini.

Offensiva respinta

L’operazione è stata solo la prima di una nutrita serie che ha utilizzato otto diversi malware, programmi costruiti per danneggiare computer, server o reti, per colpire almeno 48 obiettivi ucraini e migliaia di computer. Nella maggior parte dei casi gli attacchi sono falliti o sono stati respinti grazie alle contromisure di difesa messe in atto dalle società di IT statunitensi e dalla loro capacità di monitorare la rete per individuare possibili anomalie e quindi segnali di potenziali attacchi. Solo Microsoft riceve e analizza ogni giorno 24 trilioni di segnali provenienti dalle reti e dai cloud di tutto il mondo e una volta identificato il malware è in grado di distribuire in tempi minimi le opportune contromisure.

Fase due: attacchi circoscritti e coordinati

Dopo gli attacchi a largo raggio, con il fallimento dell’offensiva inziale e il progressivo assestarsi del fronte, i gruppi russi hanno cominciato ad agire in coordinamento con le truppe sul terreno colpendo e disattivando reti e sistemi di obiettivi poche ore prima di un attacco militare convenzionale. È accaduto il 2/3 marzo nell’attacco alla centrale nucleare di Zaporizhzhia, il 4 marzo all’aeroporto di Vinnytsia, l’11 marzo nella città di Dnepro, ad aprile e maggio a Leopoli contro un centro logistico di materiale militare e civile e poi ancora a Odessa e a Kyiv. Ora gli attacchi paiono avere come obiettivo soprattutto le infrastrutture che consentono il trasporto di rifornimenti e armi verso il fronte del Donbass, ma le conseguenze continuano a essere limitate.

L’operazione che si ritorse contro

Il passaggio sul cloud e il poter contare sui migliori esperti, analisti e programmatori delle principali società di IT del mondo ha fatto la differenza rispetto al 2015 e 2017, quando l’Ucraina fu oggetto di rilevanti cyber-operazioni russe contro le quali non riuscì ad opporre difesa. La più devastante fu senza dubbio quella del 2017 quando un gruppo legato al GRU, i servizi militari russi, lanciò duemila assalti con il malware NotPetya contro i sistemi di Kyiv colpendo la centrale di Chernobyl, aziende energetiche, aeroporti, trasporti pubblici e metropolitane, aeroporti, siti governativi, banche e persino la banca centrale. Presto tuttavia il malware si diffuse oltre i confini ucraini contagiando più di 60 paesi tra cui, oltre a Europa e Stati Uniti, e anche la stessa Russia e facendo in totale danni stimati in 10 miliardi di dollari.

Il tesoro dell’esperienza

L’esperienza di allora sulla difficoltà di controllare certi tipi di attacchi, con il rischio che si diffondano anche in patria, e la volontà di non compiere azioni che possano essere interpretate come dichiaratamente ostili verso paesi Nato, ha portato almeno per ora i gruppi russi a condurre operazioni circoscritte non utilizzando malware che possano diffondersi rapidamente da una rete all’altra (i cosiddetti “wormable”). Il fatto che si sia voluta evitare una diffusione incontrollata non vuol dire tuttavia che non siano stati condotti attacchi mirati anche contro obiettivi al di fuori dell’Ucraina. Microsoft nel suo rapporto “Defending Ukraine: Early Lessons from the Cyber War” pubblicato lo scorso 22 giugno ne ha contati 129 in 42 paesi, in larga parte stati Nato, il 70% dei quali è stato respinto.

Conflitto per procura

Al contrario di quanto accade nel modo reale nel cyberspazio il terreno di scontro sembra essere dilatato e i limiti assai più labili. Pur coinvolgendo direttamente i paesi occidentali, tuttavia, il confronto nel mondo virtuale ha per ora caratteristiche ben diverse che attenuano il rischio di un’escalation. Ciò è dovuto non solo al fatto che le forze in campo siano assai più equilibrate, ma anche al fatto che a confrontarsi non sono direttamente e dichiaratamente Russia e Nato, ma soggetti in qualche modo separati e sconfessabili come i gruppi legati ai servizi russi da un lato e aziende private e gruppi di attivisti dall’altro. Si potrebbe definire un caso di conflitto per procura o proxy war. Ma è pur sempre un conflitto.

Alessandro Spaventadi Alessandro Spaventa   

I più recenti

Polizia, 'aggressore a Sydney era solo, non è chiaro il movente'
Polizia, 'aggressore a Sydney era solo, non è chiaro il movente'
Gaza, attacco aereo su Deir el-Balah: distrutta la moschea Abu Bakr al-Siddiq
Gaza, attacco aereo su Deir el-Balah: distrutta la moschea Abu Bakr al-Siddiq
Turchia: crolla pilone cabinovia Antalya, in 43 bloccati da ieri
Turchia: crolla pilone cabinovia Antalya, in 43 bloccati da ieri
Attacco in un centro commerciale a Sydney, persone accoltellate: diversi morti
Attacco in un centro commerciale a Sydney, persone accoltellate: diversi morti

Le Rubriche

Alberto Flores d'Arcais

Giornalista. Nato a Roma l’11 Febbraio 1951, laureato in filosofia, ha iniziato...

Alessandro Spaventa

Accanto alla carriera da consulente e dirigente d’azienda ha sempre coltivato l...

Claudia Fusani

Vivo a Roma ma il cuore resta a Firenze dove sono nata, cresciuta e mi sono...

Carlo Di Cicco

Giornalista e scrittore, è stato vice direttore dell'Osservatore Romano sino al...

Claudio Cordova

31 anni, è fondatore e direttore del quotidiano online di Reggio Calabria Il...

Massimiliano Lussana

Nato a Bergamo 49 anni fa, studia e si laurea in diritto parlamentare a Milano...

Stefano Loffredo

Cagliaritano, laureato in Economia e commercio con Dottorato di ricerca in...

Antonella A. G. Loi

Giornalista per passione e professione. Comincio presto con tante collaborazioni...

Lidia Ginestra Giuffrida

Lidia Ginestra Giuffrida giornalista freelance, sono laureata in cooperazione...

Carlo Ferraioli

Mi sono sempre speso nella scrittura e nell'organizzazione di comunicati stampa...

Alice Bellante

Laureata in Scienze Politiche e Relazioni Internazionali alla LUISS Guido Carli...

Giuseppe Alberto Falci

Caltanissetta 1983, scrivo di politica per il Corriere della Sera e per il...

Michael Pontrelli

Giornalista professionista ha iniziato a lavorare nei nuovi media digitali nel...