Russia e Ucraina: la guerra si combatte anche nel cyberspazio
Il Cyber Peace Institute ha contato 85 attacchi subiti dall’Ucraina e 83 subiti dalla Russia. La capacità di cyber-resilienza ucraina è dovuta a una tempestiva e cruciale decisione presa poco prima dell’inizio dell’invasione.
Siamo ormai alla fine del quarto mese di guerra in Ucraina. Centoventi giorni dal quando le truppe russe hanno varcato i confini e lanciato l’assalto verso Kyiv. Oggi i combattimenti si sono spostati e infuriano e est, nelle provincie di Lugansk e Donetsk, e a sud, in quella di Kherson. C’è però un territorio dove attacchi, arroccamenti in difesa, contrattacchi, non si sono mai fermati: il cyberspazio.
Operazione fallita
All’inizio della guerra era opinione comune che i gruppi di hacker collegati ai servizi russi avrebbero rapidamente messo in ginocchio le difese ucraine e guadagnato libero accesso alle infrastrutture e alle reti informatiche del paese. Non è avvenuto. E non perché gli attacchi non vi siano stati, ma perché anche nel mondo virtuale, come in quello reale, hanno incontrato una capacità di difesa imprevista. E molto più che in quello reale hanno dovuto difendersi da contrattacchi insidiosi portati avanti non solo da gruppi ucraini, ma da collettivi di attivisti di paesi confinanti come la Bielorussia o che raggruppano attivisti di diversi paesi, come Anonymus. Il Cyber Peace Institute ha contato 85 attacchi subiti dall’Ucraina e 83 subiti dalla Russia.
La decisione cruciale
La capacità di cyber-resilienza ucraina è dovuta a una tempestiva e cruciale decisione presa poco prima dell’inizio dell’invasione. Per anni nel paese è stata in vigore una legge sulla protezione dei dati che imponeva agli enti pubblici di conservare i dati di cui erano in possesso in server che fossero localizzati all’interno dei confini nazionali. La legge eliminava quindi di fatto la possibilità di trasferirli e processarli su sistemi cloud i cui computer sono invece sparsi per il mondo. Ancora una settimana prima dell’attacco russo il settore pubblico ucraino si appoggiava totalmente a server localizzati in uffici pubblici e quindi in edifici che avrebbero potuto essere oggetto di attacchi missilistici o bombardamenti.
Col precipitare della situazione, consapevoli del rischio cui era esposta l’infrastruttura informatica del paese, il governo e il parlamento hanno rapidamente promosso un emendamento, approvato il 17 febbraio, che ha consentito l’utilizzo dei sistemi cloud. Subito dopo l’approvazione, con l’aiuto di Microsoft e di altre società di IT, è cominciata la “evacuazione” dei dati più rilevanti verso i data centre europei. Dopo dieci settimane i dati più rilevanti erano stati trasferiti lontano dal teatro di guerra e in ambienti in cui il livello di sorveglianza e protezione contro minacce esterne era ed è estremamente elevato e costantemente aggiornato.
L’attacco
Appena in tempo. Il 23 febbraio, un giorno prima dell’invasione, i russi scatenano una cyberoffensiva contro i server del governo ucraino e contro i gestori di infrastrutture e reti. Per l’attacco viene utilizzato “Foxblade”, un software “wiper” in grado di spazzare via ogni dato dalle memorie e dagli hard disk dei server. Proprio grazie al trasferimento e alla dispersione dei dati sui sistemi cloud, tuttavia, i danni sono limitati. I tecnici di Microsoft hanno attribuito l’attacco a “Sandworm”, gruppo legato ai servizi militari russi, il GRU, che nel 2017 era già stato protagonista di un vasto attacco contro molteplici obiettivi ucraini.
Offensiva respinta
L’operazione è stata solo la prima di una nutrita serie che ha utilizzato otto diversi malware, programmi costruiti per danneggiare computer, server o reti, per colpire almeno 48 obiettivi ucraini e migliaia di computer. Nella maggior parte dei casi gli attacchi sono falliti o sono stati respinti grazie alle contromisure di difesa messe in atto dalle società di IT statunitensi e dalla loro capacità di monitorare la rete per individuare possibili anomalie e quindi segnali di potenziali attacchi. Solo Microsoft riceve e analizza ogni giorno 24 trilioni di segnali provenienti dalle reti e dai cloud di tutto il mondo e una volta identificato il malware è in grado di distribuire in tempi minimi le opportune contromisure.
Fase due: attacchi circoscritti e coordinati
Dopo gli attacchi a largo raggio, con il fallimento dell’offensiva inziale e il progressivo assestarsi del fronte, i gruppi russi hanno cominciato ad agire in coordinamento con le truppe sul terreno colpendo e disattivando reti e sistemi di obiettivi poche ore prima di un attacco militare convenzionale. È accaduto il 2/3 marzo nell’attacco alla centrale nucleare di Zaporizhzhia, il 4 marzo all’aeroporto di Vinnytsia, l’11 marzo nella città di Dnepro, ad aprile e maggio a Leopoli contro un centro logistico di materiale militare e civile e poi ancora a Odessa e a Kyiv. Ora gli attacchi paiono avere come obiettivo soprattutto le infrastrutture che consentono il trasporto di rifornimenti e armi verso il fronte del Donbass, ma le conseguenze continuano a essere limitate.
L’operazione che si ritorse contro
Il passaggio sul cloud e il poter contare sui migliori esperti, analisti e programmatori delle principali società di IT del mondo ha fatto la differenza rispetto al 2015 e 2017, quando l’Ucraina fu oggetto di rilevanti cyber-operazioni russe contro le quali non riuscì ad opporre difesa. La più devastante fu senza dubbio quella del 2017 quando un gruppo legato al GRU, i servizi militari russi, lanciò duemila assalti con il malware NotPetya contro i sistemi di Kyiv colpendo la centrale di Chernobyl, aziende energetiche, aeroporti, trasporti pubblici e metropolitane, aeroporti, siti governativi, banche e persino la banca centrale. Presto tuttavia il malware si diffuse oltre i confini ucraini contagiando più di 60 paesi tra cui, oltre a Europa e Stati Uniti, e anche la stessa Russia e facendo in totale danni stimati in 10 miliardi di dollari.
Il tesoro dell’esperienza
L’esperienza di allora sulla difficoltà di controllare certi tipi di attacchi, con il rischio che si diffondano anche in patria, e la volontà di non compiere azioni che possano essere interpretate come dichiaratamente ostili verso paesi Nato, ha portato almeno per ora i gruppi russi a condurre operazioni circoscritte non utilizzando malware che possano diffondersi rapidamente da una rete all’altra (i cosiddetti “wormable”). Il fatto che si sia voluta evitare una diffusione incontrollata non vuol dire tuttavia che non siano stati condotti attacchi mirati anche contro obiettivi al di fuori dell’Ucraina. Microsoft nel suo rapporto “Defending Ukraine: Early Lessons from the Cyber War” pubblicato lo scorso 22 giugno ne ha contati 129 in 42 paesi, in larga parte stati Nato, il 70% dei quali è stato respinto.
Conflitto per procura
Al contrario di quanto accade nel modo reale nel cyberspazio il terreno di scontro sembra essere dilatato e i limiti assai più labili. Pur coinvolgendo direttamente i paesi occidentali, tuttavia, il confronto nel mondo virtuale ha per ora caratteristiche ben diverse che attenuano il rischio di un’escalation. Ciò è dovuto non solo al fatto che le forze in campo siano assai più equilibrate, ma anche al fatto che a confrontarsi non sono direttamente e dichiaratamente Russia e Nato, ma soggetti in qualche modo separati e sconfessabili come i gruppi legati ai servizi russi da un lato e aziende private e gruppi di attivisti dall’altro. Si potrebbe definire un caso di conflitto per procura o proxy war. Ma è pur sempre un conflitto.