Guerra Ucraina, quali ripercussioni cyber sull'Italia

Guerra Ucraina, quali ripercussioni cyber sull'Italia
4 minuti di lettura

La guerra che viviamo in queste ore è un conflitto distante, ma probabilmente il più vicino degli ultimi decenni per la strategia militare adottata dalla Russia e per il contesto tecnologiche che viviamo. Si è parlato di guerra ibrida da tempo come l’opzione che vede l’utilizzo di attacchi informatici contro i sistemi del paese nemico con l’intento di distruggere le sue infrastrutture critiche e coadiuvare un attacco militare tradizionale. Gli stessi servizi segreti ucraini da settimane hanno messo in guardia la comunità internazionale circa una aggressiva campagna di attacchi coordinata dalla Russia e che da inizio anno vedeva come obiettivo siti e sistemi nel loro paese.

Sebbene gli strumenti informatici fossero diversi, nell’agosto del 2008, abbiamo assistito ad un altro conflitto culminato con l’invasione della Georgia da parte delle truppe di Mosca ed in cui il conflitto per la prima volta vide l’utilizzo di attacchi informatici. Parlo della seconda guerra in Ossezia del Sud, le motivazioni di Putin a suo tempo non erano differenti da quelle attuali, l’intento ampliare l’egemonia della Russia sui territori dell’ex Unione Sovietica. Con modalità differenti e sicuramente meno incisive, esperti informatici del governo russo colpirono siti di notizie e governativi appartenenti al governo georgiano.

Quali sono allora le opzioni cyber in un contesto di guerra come quello cui stiamo assistendo. La risposta ci viene dall’osservazione del cyber spazio e delle operazioni che da mesi sono coordinate dagli apparati di intelligence russi, si tratta di operazioni di sabotaggio attraverso malware distruttivi (Wiper) ed attacchi di DDoS che paralizzano i servizi colpiti saturandone le risorse, campagne di spionaggio per attività di intelligence sugli obiettivi, ed infine disinformazione attraverso i social e le piattaforme di instant messaging per destabilizzare il contesto sociale ucraino.

Proprio ieri ho avuto notizie da fonti nel paese, che le autorità locali hanno chiesto di limitare l’uso di piattaforme come WhatsApp ritenendo che possano essere vettore di disinformazione. A questo punto la domanda che più di frequente mi è stata posta è quale siano le ripercussioni sull’Italia della guerra cui stiamo assistendo. È davvero così lontana? Abbiamo letto di “cyber virus” che potrebbero colpirci, di cosa si tratta?

Da sempre sottolineo che il cyberspazio è uno spazio in cui viene meno il concetto di frontiera, ciò significa che un attacco cibernetico potrebbe colpire chiunque, in qualunque momento e da qualunque luogo. L’assenza di frontiere inoltre complica notevolmente le attività di attribuzione degli attacchi, le attività investigative che riferiscono a contesti normativi differenti, ed ovviamente ha un impatto sul fronte diplomatico. Fatta questa premessa possiamo ipotizzare due scenari principali, nel primo che le strutture italiane siano colpite da codici malevoli sfuggiti di controllo una volta immessi in uno spazio privo di confini e che possono potenzialmente infettare qualunque sistema vulnerabile incontrino. In un secondo scenario dobbiamo immaginare campagne mirate all’Italia con obiettivi differenti e per questo essere preparati.

Nel primo caso uno dei malware distruttivi concepito per distruggere le operazioni nelle infrastrutture critiche ucraine potrebbe diffondersi in maniera incontrollata, infettando sistemi in tutto il mondo. Questi malware potrebbero essere addirittura studiati e modificati da esperti di altri governi per colpire altri stati e rendendo impossibile l’attribuzione degli attacchi. In questo scenario di tenderebbe ad attribuire un attacco ad un effetto collaterale della crisi ucraina. Infine, qualora uno di questi malware dovesse utilizzare delle falle non note al tempo dell’attacco, cosiddette zero-day, la loro conoscenza potrebbe essere sfruttata da attori criminali per sviluppare codici malevoli estremamente aggressivi e pericolosi.

In ogni caso questi attacchi potrebbero avere conseguenze severe sui nostri sistemi in ogni settore, dall’energetico al sanitario. Questi malware potrebbero causare blocchi temporanei o permanenti con ripercussioni sulla popolazione. La paura è che ci si possa trovare dinanzi ad un nuovo WannaCry, un codice malevolo responsabile di una vera e propria epidemia su larga scala avvenuta nel maggio 2017. Nei giorni dell’attacco si contarono oltre 230.000 computer infetti in 150 paesi, con enormi danni a settori critici. L’altro scenario che potremo trovarci dinanzi è quello di attacchi mirati al nostro paese, in tal caso l’opzione più probabile è quella di campagne di spionaggio volte a comprendere la posizione del nostro governo e degli alleati dell’alleanza Nato sullo svolgersi del conflitto. Parliamo quindi di operazioni di intelligence condotte da gruppi Apt russi (advanced persistent threat) che operano all’interno dell’apparato militare russo (Gru) e che sono senza dubbio estremamente complesse da individuare. Maggiormente esposte sono le aziende ed organizzazioni che intrattengono rapporti con imprese ed entità ucraine, ma anche il nostro apparato diplomatico.

In entrambi gli scenari assume un ruolo cruciale l’information sharing, ovvero la capacità dei governi di condividere informazioni sulle minacce.  I centri di risposta alle minacce cibernetiche (Cert/Csirt) sono messi a dura prova in queste ore. Loro compito è quello di collezionare informazioni circa potenziali attacchi e fornire informazioni circa i vettori utilizzati per neutralizzarli. In queste la nostra Agenzia per la CyberSicurezza Nazionale, attraverso il Csirt, ha emanato alcuni alert relativi proprio ai potenziali impatti della situazione ucraina sulle nostre infrastrutture ed ha condiviso informazioni circa uno dei Wiper utilizzati negli attacchi ai sistemi ucraini e noto come HermeticWiper.

Sebbene al momento non vi siano indicatori in tal senso, si evidenzia il significativo rischio cyber derivante da possibili impatti collaterali a carico di infrastrutture ICT interconnesse con il cyberspazio ucraino, con particolare riferimento ad enti, organizzazioni ed aziende che intrattengono rapporti con soggetti ucraini e con i quali siano in essere interconnessioni telematiche (e.g., connessioni B2B, utenze presso reti ucraine e viceversa, condivisione di repository o piattaforme collaborative).” Recita il primo alert. “Tali impatti potrebbero derivare dalla natura interconnessa della rete Internet, in quanto azioni malevole, indirizzate verso una parte di essa, possono estendersi ad infrastrutture contigue come dimostrano precedenti infezioni con impatto globale quali ad esempio NotPetya e Wannacry.

Ovviamente le aziende che riescono a recepire questi alert ed implementare le necessarie contromisure corrono minori rischi, tuttavia non possiamo non tener presente la quasi totalità delle piccole e medie imprese che non dispone di risorse tecniche e finanziarie per innalzare il proprio livello di sicurezza. È a queste entità particolarmente vulnerabili che va il mio pensiero e che destano maggiore preoccupazione. Queste entità potrebbero esser prese di mira per colpire a loro volta aziende più grandi con cui sono in affari. Occorre quindi essere vigili e applicare un concetto di zero-trust (diffidare di chiunque) oggi più che mai, anche nella gestione di attività consolidata con partner e fornitori.

Infine, vorrei metter in guardia gli utenti della rete da attività criminali che potrebbero sfruttare il tema conflitto ucraino come esca. Potrebbero arrivarci mail e messaggi via social o app che ci invitano ad aprire video o documenti che rivelerebbero atrocità o aspetti non noti della guerra, ma in realtà di tratterebbe di trappole che possono avviare un processo di infezione dei nostri sistemi. La raccomandazione è quella di essere prudenti ed attenti, l’allerta è massima.

2

Articoli rimanenti

Accesso illimitato a tutti i contenuti del sito

3 mesi a 1€, poi 2.99€ al mese per 3 mesi

Attiva Ora

Sblocca l’accesso illimitato a tutti i contenuti del sito