Siti governativi e ministeriali ucraini sono stati oggetto di un attacco informatico su larga scala nella notte tra il 13 e il 14 gennaio. Alcuni, come quello del Ministero dell'Istruzione e della Scienza, sono stati chiusi in via temporanea. Altri sono stati a lungo inaccessibili.

Stando a quanto riportato dall’agenzia di stampa Reuters, su alcuni portali sotto al fuoco di fila è stato visualizzato un messaggio in ucraino, russo e polacco in cui si avvertiva la popolazione di "avere paura e aspettarsi il peggio".

L’attacco non ha nulla a che vedere con una ordinaria attività di hacking, come quella che ha colpito la Regione Lazio e le ASL italiane, per intenderci. In questi esempi la motivazione era finanziaria e gli attaccanti erano gruppo mossi da motivi di lucro. Il caso ucraino è tutta un’altra faccenda, molto probabilmente legata alla politica internazionale e in particolare alle tensioni fra Mosca e Kiev.

Quello che si è verificato si preconfigura infatti come un esempio da manuale di cyberwarfare, che serve per comprendere le profonde differenze rispetto a un attacco ordinario. Il primo elemento da focalizzare è lo scenario di fondo, con una tensione politico militare che più volte è stata sull’orlo di innescare un conflitto. Il fatto che la guerra, quella reale e fisica, sia stata per il momento congelata non significa che i nervi siano distesi, e l’attacco cyber su larga scala ne potrebbe essere la dimostrazione.

Il secondo elemento importante riguarda il messaggio apparso sui siti compromessi, che ha il chiaro obiettivo di destabilizzare l’opinione pubblica. O almeno di instillare nella popolazione un senso di insicurezza e di sfiducia verso le istituzioni legittime. È una tattica diffusa, che abbiamo visto applicare più volte sia direttamente sia indirettamente. Basti pensare al certosino lavoro di fake news diffuse sulla pandemia, soprattutto tramite social network.

Nel caso ucraino il messaggio è tutt’altro che sibillino, ed è orchestrato ad arte per scatenare il panico, dato che paventa la diffusione pubblica e la distruzione dei dati personali dei cittadini. Il tutto in un momento di calma apparente, con i dialoghi in corso che stridono con i soldati russi dislocati lungo le frontiere dell’ex repubblica sovietica.

Veniamo all’ultima connotazione della cyber warfare: nessuno ha rivendicato ufficialmente l’attacco. L'Ucraina inizialmente ha mantenuto una linea prudente tramite una dichiarazione del portavoce del Ministero dell'Istruzione e della Scienza Oleh Nikolenko, che ha affermato che "è troppo presto per tirare conclusioni” sui responsabili.

Tuttavia domenica il Governo ucraino ha formalmente accurato la Russia di essere il mandante degli attacchi. Il Ministero della Trasformazione Digitale in una nota scrive che "tutte le prove indicano il fatto che la Russia è dietro all'attacco informatico […] Mosca continua a condurre una guerra ibrida e sta attivamente implementando attacchi di disinformazione e nel cyberspazio".

Il Cremlino, da parte sua, nega ogni addebito: l’addetto stampa del presidente Vladimir Putin, Dmitry Peskov, ha dichiarato alla CNN che la Russia "non ha nulla a che fare con questi attacchi informatici", e riconduce l’accusa a una sorta di mania di persecuzione da parte degli “ucraini, che stanno incolpando di tutto la Russia, anche del cattivo tempo".

Il commento tecnico

La gestione della vicenda nel suo complesso è materia politica (speriamo non militare), e non è di competenza di questo sito. Sul piano tecnico, l’unica informazione degna di nota è che la NATO ha offerto sostegno pratico all’Ucraina e la cooperazione degli esperti informatici alleati.

È interessante, tuttavia, la chiave di lettura proposta da Toby Lewis, Global Head of Threat Analysis di Darktrace. Prima di tutto prende atto del fatto che tutti i siti attaccati sono tipicamente sviluppati a partire da un software comune, il che spiega l'effetto domino di blocco a cui abbiamo assistito.

Ciò implica che l’attacco in questione non ha necessariamente dovuto essere “sofisticato”. In molti casi (come quello del Ministero degli Affari Esteri) l’attacco è consistito in una operazione di defacement. Lewis fa notare che è stato orchestrato per imitare gruppi nazionalisti/separatisti rivendicando che l'attacco è stato fatto in nome dell'UPA (Esercito Separatista Ucraino) che non esiste da oltre 50 anni.

Non è un errore storico, è un’idea astuta per rendere impossibile l'attribuzione e – forse - distogliere l'attenzione dai veri responsabili.

Contenuto aggiornato con l'accusa formale dell'Ucraina, che addebita gli attacchi alla Russia.