A poche ore dall’inizio dell’azione militare russa contro l’Ucraina, il Paese è stato vittima dell’ennesima ondata di attacchi informatici. A questo giro, oltre a colpire siti governativi come accaduto di recente, sono finite nel mirino anche alcune banche.

Ieri una serie di attacchi DDoS di ampia portata ha bersagliato i Ministeri degli Affari Esteri, della Difesa e degli Affari Interni, il Servizio di Sicurezza e il Consiglio dei Ministri, più due delle più grandi banche statali: Privatbank (la più grande banca dell'Ucraina) e Oschadbank (la Cassa di Risparmio statale).

Gli attacchi registrati poco più di una settimana fa aveva già intaccato 70 siti web governativi, fra cui quelli del Ministero della Difesa e delle Forze Armate dell'Ucraina.

https://twitter.com/netblocks/status/1493631119669047299?s=20&t=UulmRTNgxlGTmc-nvv_9Vw

Gli osservatori internazionali reputano che, ora che l’attacco militare su vasta scala è in corso, l'Ucraina debba aspettarsi altri attacchi informatici che avranno l’obiettivo di paralizzare le infrastrutture, colpendo la rete idrica, quella elettrica e i servizi di telecomunicazione, con il fine ultimo di debilitare ulteriormente l'Ucraina mentre tenta di gestire l'aggressione militare. Per questo, oltre alle forze NATO in campo, i paesi dell'UE hanno offerto assistenza per la difesa informatica dell'Ucraina.

Una parte fondamentale della strategia russa

Come avevamo accennato la scorsa settimana, è ormai evidente che si debbano inquadrare i cyber attacchi in un contesto bellico in cui ricoprono a tutti gli effetti il ruolo di sabotaggio, spionaggio e sovversione. Rispetto all’azione militare, offrono il vantaggio di essere rapidi da mettere in atto, malleabili ed efficaci, oltre che economici. Per contro, difendersi da loro è costoso e difficile.

Le fonti internazionali sottolineano come a seguito del ritiro della Russia dalla Georgia nel 2008, Vladimir Putin abbia investito nella modernizzazione dell’esercito, accorpandovi strategie informatiche. Si reputa che sia da allora che gli attacchi informatici siano di fatto diventati la prima linea della strategia bellica russa.

Gli Stati Uniti addebitano la responsabilità degli attacchi cyber in corso in Ucraina al GRU (Glavnoe Razvedyvatel'noe Upravlenie), il servizio segreto militare russo, che farebbe uso di malware personalizzati per colpire sia le risorse hardware che quelle software che fanno da spina dorsale ai sistemi e alle infrastrutture ucraine.

Considerata la situazione, i dettagli degli attacchi sono comprensibilmente sfuggenti. Il ministro ucraino della trasformazione digitale, Mykhailo Fedorov, fa riferimento ai già citati attacchi DDoS che hanno fatto uso di bot per travolgere i servizi online e causarne il blocco. Tuttavia, i ricercatori dell’azienda di cyber security ESET hanno pubblicato una serie di tweet in cui denunciano di avere rilevato un “software distruttivo di cancellazione dei dati" su centinaia di computer in Ucraina.

Non è chiaro quante reti siano state colpite o chi sia stato preso di mira. Jean-Ian Boutin di ESET ha dichiarato alla ABC News che sono state colpite alcune "grandi organizzazioni" e che il malware sarebbe presumibilmente riuscito a cancellare i dati dalle macchine infette. Sempre secondo Boutin, il timestamp del malware indicherebbe che è stato creato alla fine di dicembre.

Anche Symantec sta seguendo da vicino la situazione, e ha riferito all’agenzia di stampa Reuters che le infezioni si sono ampiamente diffuse e riguardano non solo l’Ucraina, ma anche appaltatori del Governo ucraino in Lettonia e Lituania. Secondo l’azienda, fra le vittime figurerebbe un istituto finanziario ucraino, e il malware impiegato nell’attacco sarebbe un malware wiper soprannominato "HermeticWiper" (aka KillDisk.NCV).

Una lunga scia di attacchi

Ricapitolando le azioni cyber addebitate nel tempo al GRU, la prima attività di cui si ha notizia risale al dicembre 2015 con il ben noto attacco ai sistemi di controllo industriale dell'Ucraina che causò interruzioni di corrente nella regione occidentale di Ivano-Frankivsk, lasciando senza energia elettrica 700.000 abitazioni. La stessa azione si ripeté nel dicembre 2016. Gli esperti reputano che l’arma usata fu il malware personalizzato CrashOverride ideato ad hoc in Russia. Si passa poi agli attacchi sferrati nel 2020 con il ransomware NotPetya, che oltre a colpire obiettivi in tutto il mondo ha anche devastato siti istituzionali, banche e fornitori di energia in Ucraina.

Stati Uniti, Regno Unito ed EU reputano responsabile la Russia per tutti gli attacchi. Prima dell’avvio delle azioni militari, Anne Neuberger, Deputy National Security Advisor, Cyber & Emerging Tech at National Security Council, The White House, aveva dichiarato di avere "informazioni tecniche che collegano [gli attacchi in Ucraina, ndr] alla direzione dell'intelligence russa, GRU, poiché la nota infrastruttura GRU è stata vista trasmettere alti volumi di comunicazione a indirizzi IP e domini con sede in Ucraina".

Neuberger aveva aggiunto che, benché le azioni cyber avessero avuto "un impatto limitato", gli attacchi potevano porre le basi per attacchi più dirompenti a supporto della invasione del territorio ucraino, che nel frattempo si è concretizzata.

I ricercatori ESET non sono stati in grado di identificare il responsabile, benché "l'attacco sembri correlato alla crisi in corso in Ucraina". Secondo alcune fonti, il software di cancellazione individuato da ESET sembra essere firmato digitalmente con un certificato rilasciato a una azienda cipriota chiamata Hermetica Digital Ltd, che non sembra avere né un sito Web né dettagli pubblicamente disponibili. Tale certificato potrebbe essere stato programmato per eludere le protezioni antivirus, il che indicherebbe l’orchestrazione da parte di un operatore "sofisticato e mirato".

Chester Wisniewski, Principal Research Scientist di Sophos, sottolinea come i "tempi di incertezza geopolitica e di scontro possono tradursi in incertezza e conflitto anche nel cyberspazio. I danni collaterali che ne scaturiscono possono ricadere sia sulle persone che sulle aziende pur trovandosi al di fuori del principale teatro delle operazioni, in questo caso l'Ucraina. In passato, gli attacchi hanno colpito aziende che portavano avanti operazioni commerciali nelle nazioni prese di mira. Inoltre, i cyber criminali spesso prendono di mira coloro che reputano loro nemici in una sorta di fervore patriottico, che potrebbe portare ad un aumento del crimine informatico proveniente da criminali che sostengono la causa russa”.

Lo stesso Wisniewski precisa poi che a suo avviso, con queste azioni il Cremlino ha voluto inviare un messaggio chiaro: "quanto finora accaduto è solo un assaggio per dare l’idea di quanto sia onnipresente la sua penetrazione". Anche perché il quadro cyber che si sta delineando indica che "la Russia probabilmente ha pianificato questa escalation per mesi, quindi è difficile dire quante organizzazioni o agenzie siano state messe in backdoor in preparazione a questi attacchi".

A seguito della prima ondata di attacchi contro le istituzioni ucraine, tuttavia, Justin Fier, Director of Cyber Intelligence & Analytics di Darktrace, aveva fatto appello alla prudenza: “Bisogna prestare molta attenzione in questa fase delicata, prima di accusare apertamente qualcuno. Attribuire responsabilità in ambito cyber, infatti, è un gioco molto pericoloso, e ogni errore di calcolo può rilevarsi dannoso. Questo attacco potrebbe essere stato scagliato, ad esempio, da qualcuno che vuole approfittare della situazione già estremamente tesa in Ucraina”.

Aiuti internazionali per la difesa cyber

Ora che l’Ucraina sta fronteggiando un attacco militare su larga scala, un grave attacco informatico potrebbe interrompere i servizi essenziali e minare ulteriormente la sicurezza e la sovranità nazionali. Per questo motivo nel contesto degli aiuti internazionali rientra a pieno titolo anche il supporto per la difesa delle infrastrutture informatiche.

Sei paesi dell'Unione europea (Lituania, Paesi Bassi, Polonia, Estonia, Romania e Croazia) stanno inviando esperti di sicurezza informatica per aiutare l'Ucraina ad affrontare la guerra cyber. Ufficialmente il sostegno è fornito attraverso i Cyber Rapid Response Teams (CRRT), frutto di un progetto UE sostenuto dai sei governi indicati. I CRRT hanno competenze ed esperienza cyber resilience e incident response e, nel contesto ucraino, hanno il compito di assistere il Governo con formazione, valutazioni delle vulnerabilità e altro supporto richiesto.

Anche l'Australia si è impegnata a supportare il governo ucraino sul fronte della cyber security, attivando un dialogo bilaterale sulle policy informatiche per condividere le strategie di contrasto alle minacce informatiche. L'Australia ha anche promesso formazione sulla cyber security ai funzionari ucraini.