A pochi giorni dall’avvio dell’attacco militare contro l’Ucraina per volere di Putin, oltre alle popolazioni di tutto il mondo, anche i cybercriminali si stanno schierando. Non era scontato, perché non parliamo necessariamente di onesti cittadini che operano nella legalità, ma la gravità di quello che sta accadendo non lascia indifferente nessuno. E così, se da una parte ci sono i professionisti dei servizi segreti e dell’intelligence che sono in campo da anni, dall’altra c’è anche chi, dal deepweb, ha deciso di scendere nel campo di battaglia digitale.

Contro Putin

Nel fine settimana diversi siti legati al Cremlino, fra cui kremlin.ru e quelli dei colossi energetici russi Gazprom, Rosneft e Lukoil, sono stati resi inaccessibili da una raffica di attacchi DDoS. È stato l’avvio di una campagna di attivisti che si sono apertamente schierati contro la Russia, riconoscendo la paternità degli attacchi e annunciando che "il collettivo Anonymous è ufficialmente in guerra informatica contro il governo russo".

Anonymous minaccia apertamente Putin promettendogli di farli assaggiare “la furia degli hacker di tutto il mondo, molti dei quali probabilmente risiedono nel suo Paese” e rivela che nel corso degli attacchi sono stati prelevati dati dal sito web del Ministero della Difesa russo. Nel mirino anche il sito web dell'agenzia di stampa statale russa TASS, oggetto di defacement. Al posto delle notizie appariva a chiare lettere un messaggio che invitava la popolazione a fermare la follia di Putin e a scendere in strada per protestare.

https://twitter.com/LatestAnonPress/status/1497786715783798785?s=20&t=bHiEQ03JGH1kcM3PIXuNXA

Nella giornata di oggi, 28 febbraio, Anonymous ha inoltre rivendicato un cyber attacco contro le ferrovie bielorusse affermando che tutti i servizi sono fuori uso e che resteranno "disattivati finché le forze russe non lasceranno il territorio della Bielorussia".

Un altro gruppo che ha dichiarato la sua fedeltà all'Ucraina è quello noto come GhostSec (abbreviazione di Ghost Security), che ha annunciato di aver preso di mira i siti web militari russi con attacchi DDoS "a sostegno del popolo ucraino".

La difesa del cyberspazio ucraino si è attivata anche per vie ufficiali, dietro invito del governo ucraino a formare un esercito IT di volontari (IT Army) intenzionati ad appoggiare il Governo, svolgendo azioni cyber contro Russia e Bielorussia. L’appello, lanciato dal ministro ucraino per la trasformazione digitale Mykhaylo Fedorov e rimbalzato in rete grazie Yegor Aushev, co-fondatore dell’azienda di sicurezza informatica Cyber Unit Technologies di Kiev, è rivolto a tutti coloro che intendono dimostrare il proprio appoggio all’Ucraina imbracciando armi digitali. Il recruiting avviene tramite la compilazione di un documento in Google Docs in cui i volontari indicano le competenze informatiche che possono mettere a disposizione della causa ucraina.

I volontari saranno impegnati su vari fronti, sia difensivi che offensivi. Da una parte ci sarà la difesa delle infrastrutture critiche quali centrali elettriche e sistemi idrici, dall’altra ci saranno azioni atte a supportare i militari ucraini che difendono la nazione e la democrazia dall’invasione delle forze russe.

Non è da escludere che le attività possano essere coordinate almeno in parte dai professionisti europei del Cyber Rapid Response Teams (CRRT), messi a disposizione da Lituania, Paesi Bassi, Polonia, Estonia, Romania e Croazia e dai professionisti australiani.

Sul fronte delle aziende IT, iniziano a scendere attivamente in campo anche le aziende di cyber security che offrono servizi gratuiti per la difesa informatica. Facebook sta limitando l'accesso ai media statali russi RT e Sputnik.Twitter sta lavorando per limitare la visibilità dei tweet con contenuti provenienti dai media affiliati allo stato russo.

Pro Putin

In Russia, come noto, opera una folta comunità di cyber criminali, di cui un numero non precisato è spesato proprio dal Cremlino. Nelle scorse ore ha tenuto banco la posizione del collettivo ransomware Conti, che prima ha dichiarato pieno sostegno a Putin, poi ha aggiustato il tiro dichiarandosi neutrale. Una neutralità che ha un forte sapore di falsità, dato che da una parte condanna la guerra in corso, dall’altra promette rappresaglie contro “i guerrafondai occidentali che dovessero tentare di colpire infrastrutture critiche in Russia o in qualsiasi regione di lingua russa del mondo".

A supporto di Putin risultano poi i cyber criminali di RedBanditsRU e il collettivo ransomware CoomingProject, che si è impegnato ad "aiutare il governo russo in caso di attacchi informatici e condotta contro la Russia".

Il Computer Emergency Response Team ucraino (CERT-UA) ha inoltre allertato sull’attività di gruppi bielorussi sponsorizzati dallo Stato che attaccano i militari ucraini con campagne di phishing mirate.

Il riferimento è la gruppo che i ricercatori di Mandiant hanno identificato come UNC1151 e operante almeno dal 2016. Si ritiene che si tratti di un cluster che opera con obiettivi allineati con gli interessi del governo bielorusso. Finora UNC1151 ha preso di mira un'ampia varietà di entità governative e del settore privato, in particolare in Ucraina, Lituania, Lettonia, Polonia e Germania, oltre a dissidenti bielorussi, media e giornalisti. Facebook ha comunicato di aver rimosso gli account utilizzati da questo gruppo.

C'è poi l'importante ruolo della disinformazione. Il comitato di controllo di stato russo Roskomnadzor sta cercando di filtrare il flusso di informazioni sul conflitto in Ucraina oscurando numerosi siti stranieri per tenere nascoste alla popolazione russa informazioni che avrebbero un peso importante sull'opionione pubblica, che comunque è già divisa.

La distorsione cyber

Se sul campo di battaglia reale è facile capire chi sta dalla parte di chi, nel mondo cyber le cose non sono così semplici. Aveva espresso molto bene questo concetto qualche giorno fa Justin Fier, Director of Cyber Intelligence & Analytics di Darktrace, quando aveva dichiarato: “Attribuire responsabilità in ambito cyber è un gioco molto pericoloso, e ogni errore di calcolo può rilevarsi dannoso”.

Non è un eccesso di prudenza, è un dato di fatto. Chi opera nel deep web è per definizione anonimo. Conosciamo nomi esotici di gruppi cyber, ma di fatto nessuno conosce i dati anagrafici delle persone fisiche che operano dietro a questi nomi. Persone dalla residenza quasi sempre ignota, che si spostano da un gruppo all’altro travasando competenze e obiettivi.

L’imperativo è non dare nulla per scontato. Da quando l’informatica è diventata un’arma a tutti gli effetti, non si era mai combattuta una guerra fisica nel Vecchio Continente. È un avvenimento che scuote le coscienze, cambia gli equilibri politici, così come gli ideali e gli obiettivi. Per un cyber criminale può essere l’occasione per fare profitto (sono già attive campagne che sfruttano il conflitto e la richiesta di aiuti umanitari) come accaduto con il COVID.

Ma può essere anche un’occasione per destabilizzare ulteriormente una situazione già grave e compromessa. Benché in Russia risiedano molti ciyber criminali, il cybercrime non è un'esclusiva russa. Ci sono persone e gruppi cinesi, coreani, iraniani, che possono avere subdoli interessi ad alimentare il conflitto o a spostarne gli equilibri. Per non parlare dei battitori liberi, che possono operare da posizioni insospettabili con i fini più disparati.

Ed è auspicabile che ci sia anche chi dichiara pubblicamente o implicitamente appoggio a Putin, per poi potrebbe mettere lo zampino e ostacolarlo. Perché, fortunatamente, il popolo russo non appoggia compattamente la decisione del Cremlino.

Un videogioco per l’Ucraina

Fra le idee che si stanno mobilitando a supporto della popolazione ucraina, una originale viene proprio dall'IT ARMY dell'Ucraina ed è studiata per dare modo a tutti, anche a chi non ha nozioni cyber, di essere di supporto alla causa ucraina.

Partecipare è molto semplice: basta giocare al videogame 2048, che era molto famoso alcuni fa. Giocando dalla pagina web appositamente creata, "Play for Ukraine", si andrà a creare un torrent costante di traffico automatizzato che verrà convogliato contro obiettivi russi o bielorussi, contribuendo a metterli offline.

Dato che i giocatori potrebbero essere tracciati, e che di fatto si prenderebbe parte a un attacco DDoS, i giocatori sono invitati a usare una VPN per mascherare il proprio indirizzo IP, soprattutto se situati in zone a rischio.