Gli attacchi cyber legati al conflitto fra Russia e Ucraina si sono evoluti nei 12 mesi appena trascorsi: ecco che cosa è cambiato nella componente digitale della guerra ibrida in continua evoluzione.
Autore: Redazione SecurityOpenLab
A un anno dall’inizio della guerra in Ucraina gli esperti di sicurezza informatica di Check Point Research tirano i primi bilanci dell’aspetto cyber del primo conflitto ibrido della storia. L’impiego delle armi digitali si è evoluto nei 12 mesi trascorsi, alcuni equilibri di forza sono cambiati e vale la pena soffermarsi su alcune informazioni emerse dalle analisi che hanno messo a confronto numero e tipo di attacchi verificatisi tra marzo e settembre 2022 e ottobre 2022 e febbraio 2023.
Partiamo con le due parti belligeranti: nei periodi indicati CPR ha rilevato una diminuzione del 44% del numero medio di attacchi settimanali per organizzazione contro l'Ucraina, da 1.555 attacchi a 877. Per contro, sono aumentati del 9% gli attacchi medi settimanali per organizzazione contro la Federazione Russa, da 1.505 a 1.635.
Sappiamo che la guerra ha portato il cybercrime a schierarsi, dando il via a una serie di attacchi politicamente motivati contro i paesi dell’Alleanza Atlantica. I dati di CPR confermano che queste attività sono cresciute, ma non in maniera uniforme. Per alcuni paesi come Stati Uniti e Regno Unito il numero medio di attacchi settimanali è aumentato solo leggermente - rispettivamente dell'11% e del 6%. Per altri, come Estonia, Polonia e Danimarca l’aumento è invece stato consistente (rispettivamente + 57%, 31% e 31%).
Sulla natura degli incidenti cyber, da ottobre 2022 si sono registrati più incidenti contro i paesi della NATO che contro l'Ucraina, al contrario di quanto avvenuto all’inizio del conflitto armato. Un’altra differenza importante è che gli attacchi contro l’Ucraina sono stati a scopo distruttivo (vedi per esempio i malware wiper di cui parliamo più avanti), quelli contro i paesi dell’Alleanza Atlantica sono stati per lo più dimostrativi (hacktivismo) o a scopo di lucro (ransomware).
L’esordio del conflitto ucraino ha sdoganato di fatto i malware wiper, prima usati solo raramente. Vengono impiegati in attacchi distruttivi, sferrati per mettere permanentemente fuori uso i sistemi target. Sono state tre le minacce impiegate a inizio conflitto: HermeticWiper, HermeticWizard e HermeticRansom, ma nei 12 mesi trascorsi se ne contano almeno nove. Secondo le fonti, molti di questi sarebbero stati sviluppati in maniera indipendente da vari servizi di intelligence russi, impiegando differenti meccanismi di evasione.
Questo proliferare di armi cyber distruttive non ha riguardato solo la Russia e non è stato impiegato solo contro l’Ucraina: gruppi affiliati al governo iraniani hanno attaccato obiettivi in Albania e un misterioso ransomware Azov, che è in realtà un wiper distruttivo, è stato diffuso in tutto il mondo. Il malware CryWiper è stato distribuito contro comuni e tribunali in Russia.
Restringendo l’analisi agli attacchi contro l'Ucraina, appare evidente che alcune delle azioni informatiche offensive avevano lo scopo di causare danni generici e creare problemi alla quotidianità dei cittadini, mentre altri attacchi erano mirati a colpire obiettivi tattici in coordinazione con la battaglia reale.
Un esempio pratico di quest’ultimo caso è l'attacco Viasat portato avanti alcune ore prima dell'invasione di terra dell'Ucraina: doveva interferire con le comunicazioni satellitari che fornivano servizi ai militari ucraini. Tale attacco peraltro ha fatto uso di un wiper chiamato AcidRain progettato per distruggere modem e router così da impedire l'accesso a Internet a decine di migliaia di sistemi. Un altro esempio di attacco tattico coordinato è quello del 1 marzo 2022, quando fu bombardata la torre della televisione di Kiev e in parallelo un attacco cyber intensificò gli effetti dell’azione armata.
I due attacchi illustrati negli esempi richiedono precisione, preparazione e pianificazione. Spesso hanno successo perché gli attaccanti avevano già l’accesso alle reti target prima di avviare l’attacco. E perché sono stati creati strumenti personalizzati ad hoc per le diverse fasi di quell'attacco in particolare.
Subire per anni attacchi informatici di alto livello ha portato l’Ucraina a imparare e attuare tecniche di difesa particolarmente efficaci. Ricordiamo infatti che gli attacchi russi contro Kiev sono iniziati molto tempo prima del conflitto, ai tempi dell’occupazione della Crimea nel 2014. Non a caso Il capo dell'agenzia di intelligence, cyber e sicurezza del Regno Unito ha definito quella ucraina "l'attività informatica difensiva più efficace della storia".
Il conflitto armato ha portato l’Ucraina a trasferire velocemente in cloud gran parte della sua infrastruttura IT per allontanare fisicamente i data center dalle zone di combattimento. L’aiuto di governi e aziende straniere hanno poi permesso di ottenere altissimi livelli di protezione. Un esercito di specialisti IT volontari ha poi coordinato l’hacktivismo nazionale ucraino facendolo evolvere da una collaborazione libera a una organizzazione che conduce operazioni di intelligence militare. La loro attività è proseguita per tutto l’anno con attacchi mirati ai danni di infrastrutture, entità finanziarie e governative russe. L'attività degli hacktivisti filo-russi si è invece spostata progressivamente verso i più vicini stati membri della NATO e altri alleati occidentali.
Non solo hacktivisti: diversi gruppi sponsorizzati dagli stato-nazionali hanno approfittato della guerra per promuovere i propri interessi. CPR ha rintracciato diverse campagne di molti gruppi APT che utilizzano la guerra russo-ucraina in corso per aumentare l'efficienza delle loro campagne. Altre nazioni hanno intensificato la loro attività di spionaggio in Russia per colpire le istituzioni di difesa russe di proprietà statale.