Lo scacchiere internazionale dei conflitti cyber è in fermento. Dopo anni di azioni di cyber spionaggio mascherate e ampiamente negabili e attacchi militari travestiti da ransomware, siamo vicini a una resa dei conti. O almeno a quella che si potrebbe vedere come una formalizzazione del cyberwarfare. Dall’apparente tranquillità di attacchi accuratamente nascosti si è passati, in tempo di pandemia, a una connotazione geopolitica degli attacchi.

Ne sono stati esempi evidenti gli attacchi contro Colonial Pipeline, Solar Winds, le miriadi di azioni che hanno sfruttato le falle di Microsoft Exchange, e via discorrendo. Tutti attacchi avvenuti in Occidente, di cui aziende e amministrazioni locali hanno incolpato principalmente ed esplicitamente Cina e Russia. L’elenco degli attacchi è talmente lungo da renderne impossibile una rendicontazione. Quello che è certo è lo scorso anno i rappresentanti dei Governi partecipanti al G7 avevano preso posizione chiedendo formalmente alla Russia di smantellare i gruppi ransomware, dato che gli indizi sulla provenienza dei gruppi ransomware abbondavano.

Poi è arrivata la guerra in Ucraina. Per la prima volta si è parlato di conflitto ibrido, di guerra cyber nel senso stretto del termine. Per la prima volta i gruppi criminali si sono schierati politicamente. Gli hactivisti hanno proseguito e accentuato la propria opera – che è quasi sempre dimostrativa. La novità è che chi era sempre stato motivato solo dal profitto ha iniziato a “preferire” gli attacchi contro i Paesi di ideologia differente dalla propria. È la prima volta che accade, quindi non c’è un pregresso a cui attingere per capire a che cosa può portare una situazione del genere.

Qui è accaduto qualcosa di interessante: molti si aspettavano di vedere un’orda di cyber criminali scagliarsi contro l’Occidente. Un flusso a senso unico potenzialmente letale. L’aumento degli attacchi in Occidente c’è stato ed è rilevato da tutti i gruppi di threat intelligence.

Ma è stato a doppio senso di marcia. La scorsa settimana, infatti, Andrei Krutskikh, il massimo esperto informatico del ministero degli Esteri russo, ha minacciato uno “scontro militare diretto” contro l'Occidente, qualora i Governi occidentali avessero continuato a favorire attacchi informatici contro le infrastrutture di Putin. In una dichiarazione riportata dall’agenzia di stampa Reuters ha esplicitamente fatto riferimento alla "militarizzazione dello spazio informativo da parte dell'Occidente” e dei “tentativi di trasformarlo in un'arena di confronto interstatale”.

Senza dubbio un pulpito opinabile da cui sentire questa predica. Lasciando da parte il linguaggio minaccioso - che caratterizza la comunicazione russa dall’inizio del conflitto - vengono in mente un paio di considerazioni. La prima è che nello schieramento del cybercrime le carte si siano rimescolate in maniera imprevedibile e imprevista. Anche dando per assunto che la maggior parte dei gruppi ransomware sia di lingua russa, è possibile che la diffusione del Ransomware-as-a-Service abbia infarcito le fila di tali gruppi di hacker di nazionalità differenti, che non appoggiano necessariamente le scelte del Cremlino.

Ne è la chiara dimostrazione quanto avvenuto in seno al gruppo Conti con il famoso Conti Leaks. In sostanza, gli oppositori della politica putiniana potrebbero avere cambiato obiettivi, attaccando la Russia anziché i Paesi dell’alleanza atlantica, che difendono l’Ucraina.

Una ipotesi che pare più sostanziosa è quella suggerita da un’osservazione di qualche tempo fa di Gabriele Zanoni, Consulting Country Manager di Mandiant Italia: “anche altre nazioni [oltre alla Russia, ndr] hanno gruppi sponsorizzati che stanno portando avanti le loro battaglie indipendentemente da quello che sta succedendo in Ucraina e Russia”. Un pensiero che faceva il paio con quanto dichiarato da Kaspersky nel APT trends report Q1 2022: ci sono diverse nazioni che dispongono di gruppi sponsorizzati attivi in tutto il mondo.

Guardando a quello che accade in maniera asettica e distaccata, è chiaro che per gli APT cinesi, sud coreani, mediorientali, eccetera, il conflitto Ucraino è un’occasione di cui approfittare. Potrebbe essere un lasciapassare per portare avanti gli interessi nazionali approfittando della mischia. O del fatto che la Russia è occupata in una guerra sul campo e in attacchi mirati contro l’Ucraina, e magari ha abbassato la guardia contro altre minacce cyber. O, ancora, del fatto che in questo momento la Russia, soggetta a dure sanzioni e con gran parte del mondo contro, sia più portata politicamente ad addossare all’Occidente la matrice degli attacchi subìti.

Infine, in omaggio a Theodore Woodward, è doveroso tenere in piedi anche l’opzione più scontata, ossia che gli attacchi contro la Russia arrivino effettivamente dall’Occidente, nel quadro della volontà politica di indebolire digitalmente l’invasore dell’Ucraina, dato che la guerra digitale è uno dei suoi punti di forza riconosciuti.

Scenari incerti

A prescindere da quale sia l’ipotesi veritiera, sempre che ce ne sia una sola e che sia fra queste, lo scenario non cambia ed è parimenti preoccupante. Come diceva pochi giorni fa Mikko Hyppönen, Chief Research Officer di WithSecure, le armi informatiche sono "efficaci, convenienti e negabili". Se togliessimo la negabilità dall’equazione, il passo fra lo scontro cyber e quello militare rischierebbe davvero di diventare così breve da passare inosservato.

E anche se non vi fosse una escalation analogica del conflitto, sappiamo ormai che gli attacchi cyber, soprattutto quelli orchestrati dagli APT più potenti, possono avere effetti devastanti. Basti pensare a Stuxnet, Industroyer e Triton, e ai malware wiper impiegati in Ucraina.

È il motivo per il quale fino poco tempo fa non c’era interesse a dare una definizione precisa di cyberwarfare. Lo stesso motivo per il quale Andrea Zapparoli Manzoni del Comitato Direttivo Clusit aveva ammonito circa il fatto che in una cyber guerra su larga scala saremmo tutti perdenti: “non esiste un first strike che possa impedire ritorsioni pesantissime”, quindi in un vero conflitto cyber nessuno sarebbe capace di difendersi, quindi per estensione nessuno potrebbe vincere una guerra cyber di alto livello.

Chissà se Krutskikh, nel rilasciare la sua dichiarazione, si sia reso conto di avere dato un colpetto di martello a quel vaso di Pandora che tutti vorrebbero tenere ben sigillato, per il bene di tutti. Rivelando al contempo che la Russia è debole al pari di tutti gli altri, e che Zapparoli Manzoni potrebbe avere maledettamente ragione.