Quanto osserviamo ogni giorno nel conflitto russo-ucraino deve stimolare ogni Paese ad adottare misure stringenti per far fronte ad attacchi diffusi e spregiudicati, che comportano costi umani ed economici altissimi
La guerra in Ucraina è combattuta su tutti i fronti e, oltre a soldati, cannoni e aerei, siamo ormai in un conflitto cibernetico a tutto campo, che miete forse meno vittime direttamente ma non certo per via indiretta. È dunque estremamente importante esserne consapevoli per fare fronte agli attacchi che dalla Russia arrivano non solo all’Ucraina, ma a tutti i principali Paesi occidentali, con l’Italia particolarmente esposta e nel mirino. La consapevolezza è infatti il primo stadio per poter attivare forme di deterrenza, investire nella formazione e sviluppare nuove tecnologie.
Come scriveva già nel 1830 il ben noto generale Carl Von Clausewitz, nel suo famoso trattato di strategia militare Della guerra, «la guerra non è che la continuazione della politica con altri mezzi, essa è un atto di forza per disarmare il nemico e ridurre l’avversario al nostro volere». Quanto stiamo osservando nel conflitto in atto richiama le parole dello stratega prussiano e anima le discussioni sui giornali, nei blog e nei think tank di tutto il mondo intorno a una guerra combattuta su più fronti: alla tradizionale mobilitazione fisica di truppe e mezzi terrestri, si affiancano tattiche più subdole, apparentemente meno distruttive (ma di certo non meno nefaste) che si estendono all’impalpabile nuova dimensione cibernetica, la cyber war, diretta contro le istituzioni e le infrastrutture ucraine, ma anche contro gli Stati che si sono schierati contro l’avventurismo del nuovo zar Putin.
Le armi cyber
Il conflitto cibernetico, ha scritto recentemente Emanuele Galtieri, amministratore delegato di Cy4Gate, fa leva su una escalation di tecniche e tattiche che vanno a incidere prioritariamente sulla sfera emotiva di una comunità, puntando a indebolirla attraverso la creazione di dubbi e incertezze idonei a generare nell’attaccato la percezione di un attaccante capace di esprimere una forza soverchiante e tale da indurre l’opponente ad accettare più agevolmente le condizioni per la resa. È una guerra che, pur non neutralizzando le capacità d’impiego della forza da parte dell’avversario, si insinua tra le crepe di una supposta inferiorità, per piegarne la volontà e indurlo alla resa.
E infatti, man mano che passano i mesi, la strategia di cyber attacco adottata dalla Russia risulta sempre più chiara: prima dell’invasione si era assistito a importanti “bombardamenti cibernetici” nelle forme del cosiddetto Distributed denial of service (DDoS) a danno di istituzioni o aziende. Attacchi massicci, consistenti nell’inviare contemporaneamente e da più parti grandi quantità di dati a specifici target strategici (organizzazioni governative e infrastrutture critiche) per impedire l’accesso alle risorse di rete, impedendo così l’erogazione di servizi essenziali. Ma si è trattato chiaramente solo del primo passo perché, in realtà, questo inizio voleva essere un modo per occultare temporaneamente agli occhi dell’Ucraina e della comunità internazionale la pianificazione di una seconda e più grave fase dell’attacco con l’impiego (tutt’oggi in atto) di un’arma più potente del DDoS, i malware, spesso di recente creazione, quindi sconosciuti e capaci di sfuggire ai sistemi di difesa informatica, delle vere e proprie “bombe cibernetiche” create appositamente da gruppi di attivisti hacker legati più o meno ufficialmente ai servizi segreti e alle istituzioni statali.
Il primo malware, ha ricordato Galtieri, era stato individuato dagli esperti già nei giorni immediatamente precedenti l’attacco del 24 febbraio; si tratta di HermeticWiper, un prodotto capace di danneggiare irrimediabilmente i dati di sistema necessari all’avvio di un Pc nonché di sovrascrivere altri dati sui dischi di storage per rendere inutilizzabili tutte le informazioni ivi immagazzinate. Una volta cancellati, i file non sono più recuperabili e i Pc non sono più riavviabili. Lo scopo di HermeticWiper non è quindi rubare informazioni, ma semplicemente distruggerle. Il malware, particolarmente insidioso, utilizza tecniche di occultamento molto efficaci, che ne ostacolano l’identificazione in tempo reale.
Subito dopo il 24 febbraio ha poi fatto la sua comparsa un secondo malware, denominato Cyclops Blink, attribuito a Sandworm, gruppo di hacker russi vicini agli apparati statali del Paese. Il malware ha agito infettando i firewall prodotti dalla società statunitense WatchGuard (usati generalmente a protezione di account business), per poi impiantarsi sui dispositivi infetti con la finalità di esfiltrare i dati memorizzati verso un comando e controllo esterno. È un malware persistente e che – andando ad attecchire in profondità sul firmware del dispositivo infettato – con un semplice riavvio o con il ripristino delle informazioni di fabbrica non può essere eliminato.
Ci si trova, insomma, a fronteggiare una guerra portata avanti da gruppi che non vestono l’uniforme, senza un’identità e un quadro di regole di ingaggio da rispettare: oltre a Sandworm, difatti, i russi sono appoggiati da altri threat actors aggressivi, come Conti, che ha creato l’omonimo potente ransomware, Red Bandits (che si descrive come un gruppo di cyber criminali russi) e Coming Projects (un gruppo che crea ransomware).
Sul fronte ucraino, invece, alla chiamata alle armi cibernetiche del presidente ucraino Volodymyr Zelensky non hanno ufficialmente risposto l’Ue o la Nato, ma il noto gruppo attivista internazionale “Anonymous” che, sul proprio account twitter, ha dichiarato “guerra cibernetica” alla Russia e ha già provocato un breach sul sito del ministero della Difesa russo, pubblicando on line tutti i database lì disponibili. Permane il dubbio che dietro Anonymous possano anche celarsi apparati di Stati occidentali intenzionati a sostenere, seppur non dichiaratamente per ovvi motivi, la causa del popolo ucraino.
Preparare le difese
L’esperienza ucraina rende evidente come la disponibilità di tecnologie e competenze cibernetiche avanzate abiliti forme di conflitto che nascono, si diffondono e spengono alla velocità della luce, guerre in grado di abbattere ogni barriera imposta dalle distanze e dai confini fisici e politici di una nazione (si dice infatti che la cyber war ha sostituito i confini nazionali con quelli meno palpabili dei fire-wall), e in cui l’”imboscata” tradizionale è soppiantata da un “effetto sorpresa” cibernetico perpetrato con malware sconosciuti e insidiosi, che rendono lo scenario ancor più complesso e incerto. E si tratta di guerre che possono essere combattute con armi tecnologiche molto più economiche delle armi tradizionali. Anche Paesi con scarse disponibilità finanziarie possono più agevolmente equipaggiare delle “cyber troops” o arruolare threat actors esterni agli apparati statali in grado di scatenare efficaci attacchi contro Stati che nei classici termini di armamento di aria, terra e mare sono considerati “potenti”.
In questo complesso scenario di precari equilibri geo-politici mondiali, conclude Galtieri, è imprescindibile attivare robuste difese percorrendo quattro direttrici.
- Primo, sviluppando un elevato grado di sensibilità sul tema, nella consapevolezza che si è ormai entrati in uno stato di guerra cibernetica permanente.
- Secondo, abilitando gli attori istituzionali (dall’Agenzia per la cybersicurezza nazionale alle Forze armate, dall’Intelligence alle forze di polizia), attraverso la definizione di un chiaro quadro normativo e ben strutturate regole di ingaggio, a esercitare in tutta la sua pienezza il ruolo di tutori della sicurezza cibernetica nazionale, autorizzandoli all’implementazione di contromisure cibernetiche di deterrenza e dissuasione verso gli attaccanti.
- Terzo, investendo massicciamente in formazione, sin dalla tenera età, nelle discipline afferenti al dominio cyber per creare un vivaio di risorse che renda sostenibili nel lungo periodo le politiche di sviluppo e crescita delle competenze necessarie ad irrobustire la capacità di difesa cibernetica nazionale.
- Quarto, favorendo lo sviluppo di prodotti e tecnologie nazionali proprietarie anche attraverso il ricorso a partnership pubblico-private e dedicati incentivi all’industria che investe in ricerca e sviluppo nel settore cyber.