Il conflitto Russo-Ucraino ha riportato agli onori delle cronache, tra le altre cose, il tema della “guerriglia informatica”. Nella rappresentazione dei media generalisti, però, la sua declinazione è ancora quasi folkloristica e, il più delle volte, viene rappresentata come una romantica partita a scacchi giocata in un cyber spazio in salsa hollywoodiana. Per chi opera nel settore IT, quella dell’hacking di Stato è invece una minaccia concreta e reale, con cui è necessario fare i conti nella quotidianità. Una minaccia che ha assunto caratteristiche uniche, la cui declinazione può essere esaminata proprio partendo dalla cronologia del conflitto che, dal 2014, vede contrapposti Russia e Ucraina.
L’effetto boomerang nella cyberwarfare e il vaso di Pandora
Giugno 2015: il gruppo BlackEnergy (considerato vicino al governo di Mosca) avvia una sistematica campagna di attacchi nei confronti di aziende ucraine che operano nel settore energetico. I cyber attacchi hanno, come conseguenza, una serie di black-out che mettono in crisi il settore produttivo e i servizi essenziali del paese. Ma da dove arriva il know-how che ha permesso al gruppo TeleBots di colpire in poche ore un impressionante numero di infrastrutture strategiche?
Secondo gli analisti delle società di cyber security che hanno analizzato il malware, il codice utilizzato per portare gli attacchi è derivato da Stuxnet, il trojan di stato scoperto nel 2010 e messo a punto da USA e Israele per colpire la centrale per l’arricchimento dell’uranio di Natanz in Iran. Il malware, in seguito a una serie di eventi imprevisti, si era diffuso su Internet e i suoi componenti mirati al sabotaggio dei sistemi SCADA di Siemens, utilizzati nella gestione di impianti industriali nel settore energetico e manifatturiero. Insomma: BlackEnergy sarebbe, a giudizio di molti, un effetto collaterale di Stuxnet. Una volta divulgato il codice, chiunque lo può usare.
Dicembre 2016: sempre Ucraina, sempre settore ICS e sistemi basati su SCADA. La campagna questa volta viene battezzata con il nome di Industroyer e prende di mira anche il settore manifatturiero. L’attribuzione da parte degli esperti di cyber security punta il dito verso il governo russo. Con un corollario: lo stesso codice sarebbe stato usato anche da “comuni” cybercriminali per attacchi ad aziende nel settore industriale, spesso a scopi estorsivi.
I finti ransomware e il caso “NotPetya”
Giugno 2017: mentre il mondo dell’IT cerca di superare il trauma di WannaCry, compare un altro worm con caratteristiche ransomware simili a Petya (un malware già presente in the wild) che attraversa rapidamente l’Europa. Nel giro di una manciata di giorni, però, l’ondata di attacchi viene inquadrata in un contesto diverso. Il coinvolgimento del comune cyber crimine, a detta degli esperti di cyber security, non è altro che un “false flag” progettato ad arte. Il worm (battezzato a questo punto con il nome di “NotPetya”) non è progettato per l’estorsione, ma è un semplice wiper. In altre parole, non punta a codificare i dati in prospettiva di una richiesta di riscatto, ma ha un obiettivo semplicemente distruttivo: cancellare i dati dai sistemi colpiti per renderli inutilizzabili.
La successiva indagine mette in luce lo schema di diffusione di NotPetya: si tratta di un attacco supply chain che ha preso di mira uno sviluppatore software ucraino specializzato in ERP. Responsabili, secondo le analisi, sempre gruppi APT (Advanced Persistent Threat) legati al Cremlino. Attacchi di questo genere si sono ripetuti anche negli ultimi mesi, prendendo di mira indiscriminatamente organizzazioni pubbliche come soggetti privati, con l’evidente intento di danneggiare non solo le infrastrutture, ma anche il tessuto produttivo del paese.
Il rischio di un’escalation che coinvolga il cyber crimine
L’orientamento verso l’utilizzo di attacchi con obiettivi distruttivi è, in definitiva, l’elemento più pericoloso di una “cyberwarfare globale” come quella che sta caratterizzando il conflitto tra Russia e Ucraina. La cronaca delle ultime ore, infatti ha registrato una sorta di “mobilitazione globale” che sta attraversando la galassia hacker e quella del crimine informatico.
Da una parte si registrano gli attacchi di Anonymous, schierati al fianco dell’Ucraina, che secondo notizie di stampa avrebbero colpito non solo siti istituzionali e media, ma anche infrastrutture critiche, tra cui un gasdotto russo in Ossezia. Sull’altro fronte, si è invece registrata una insolita dichiarazione da parte del gruppo Conti (specializzato in attacchi ransomware) che ha preso posizione sul tema. La vicenda, in realtà è piuttosto singolare. In un primo messaggio su Twitter, infatti, i cyber criminali hanno dichiarato “pieno supporto al governo russo”. In un secondo momento, dallo stesso account è arrivato un messaggio in cui i membri del gruppo specificano di “non appoggiare nessun governo”, ma di essere pronti a rispondere con tutto il loro potenziale in caso di cyber attacchi che colpiscano i cittadini russi.
Proprio questo è il (preoccupante) elemento di novità. Nella logica di un “normale” attacco ransomware, infatti, i cyber criminali hanno tutto l’interesse a modulare i danni in funzione di avere una leva per estorcere denaro. Normalmente, inoltre, gli stessi pirati informatici tendono a non tirare troppo la corda per evitare di attirare “attenzioni indesiderate” da parte di forze di polizia e governi. La piega che sta prendendo il conflitto, però, potrebbe cambiare tutto.
Insomma: quello a cui siamo di fronte è uno scenario inedito, che rischia di avere una portata spaventosa. I bersagli, in caso di escalation, non sarebbero soltanto le organizzazioni governative. E se istituti finanziari e infrastrutture critiche gestite da privati rientrerebbero presumibilmente tra i potenziali bersagli di attacchi mirati, in un quadro di “tutti contro tutti” potremmo trovarci di fronte a una serie di attacchi a pioggia, che metterebbero a rischio qualsiasi organizzazione pubblica e privata. Una vera “tempesta perfetta”, da cui rischiamo di uscire con le ossa rotte.
