international analysis and commentary

L’elemento cyber nella guerra russo-ucraina

12,180

Il conflitto russo-ucraino dimostra come, nel XXI secolo, il dominio del cyberspazio abbia assunto la connotazione di “quinta dimensione” della conflittualità oltre a terra, mare, aria e spazio extra-terrestre. Il settore cyber è così divenuto elemento imprescindibile delle nuove guerre; eppure, alla luce di molte analisi, più o meno specialistiche e ben informate, sulle capacità proprio della Russia, dopo più un mese di conflitto sembrano esservi ben pochi atti a dimostrazione e conferma.

Parallelamente all’invasione militare russa, in atto dallo scorso 24 febbraio in varie parti del territorio ucraino, almeno dal 2015 a intervalli più o meno prolungati si combatte in effetti un conflitto più silenzioso, quella nel dominio del cyberspazio. Dal 2015, le infrastrutture ucraine sono state infatti vittime di sofisticati attacchi informatici principalmente di tipo Anti-DDoS (Distributed Denial of Services), rivelandosi però piuttosto deboli in confronto alle valutazioni prevalenti sulle capacità cyber russe.

Nel 2022, prima dello scoppio del conflitto armato, i sistemi informatici delle organizzazioni ed istituzioni ucraine sono stati nuovamente presi di mira dagli hacker russi; un primo malware conosciuto come “WhisperGate”, è stato scoperto il 13 gennaio 2022. Il parassita, lanciato contro organizzazioni governative e non, ha una connotazione prettamente distruttiva del sistema nel quale si insedia: il modus operandi ricorda molto quello del ransomware (distruzione o crittografia dei dati e delle informazioni presenti su un dispositivo, compromissione del funzionamento del sistema operativo) ma in questo caso è assente la richiesta di riscatto.

Il 23 febbraio, i siti web governativi ucraini sono stati colpiti da un continuo attacco Anti-DDoS e da un secondo malware, noto come “Hermetic Wiper”. In seguito, si sono verificati attacchi informatici di varia natura, volti a compromettere sistemi o rubare dati riguardanti personale militare e umanitario. I ricercatori di ESET, azienda slovacca di digital security leader a livello globale, hanno individuato un terzo malware chiamato “IsaacWiper”, volto a cancellare tutti i file presenti nei dispositivi in uso nei settori sanitari, energetici e finanziari.

All’alba dell’invasione militare, il 24 febbraio, si è verificato il più grave attacco cyber dall’inizio della guerra volto al blocco parziale dei servizi satellitari forniti dall’americana Viasat, società di comunicazione appaltatrice della difesa statunitense. Sebbene le indagini congiunte dei servizi americani francesi e ucraini non l’abbiano ancora ufficialmente attribuito, Mosca resta l’indiziata principale. Non solo la tempistica risulta decisamente sospetta, ma l’azienda in questione fornisce servizi satellitari all’esercito ucraino. L’attacco, causato dal malware wiper “Acid Rain” e mirato a danneggiare router e modem, sarebbe stato funzionale a disturbare le comunicazioni militari proprio all’inizio dell’invasione russa. Gli effetti collaterali hanno avuto ripercussioni anche al di fuori dei confini ucraini: i modem di circa trentamila utenti in Europa sono andati irreversibilmente off-line. Il servizio, ancora oggi, non è stato ripristinato del tutto poiché risulterebbe necessaria la sostituzione di tutti i modem danneggiati dal software malevolo.

Sebbene gli attacchi russi, certamente preparati da tempo, abbiano un approccio strutturato ed evoluto volto al costante “bombardamento” del cyber-spazio nemico, non hanno influenzato particolarmente la capacità dell’Ucraina di organizzare una resistenza. Dal punto di vista occidentale, ci si aspettava una dimostrazione di forza digitale maggiore, un’invasione del territorio accompagnata da spettacolari attacchi hacking capaci di interrompere l’energia elettrica, impedire le comunicazioni e bloccare le industrie.

 

Leggi anche: L’Europa in ritardo sull’AI: politica industriale e diritti

 

I motivi per cui la Russia non abbia dimostrato tutto il suo cyber power potrebbero essere i seguenti.

In primo luogo, i vertici russi potrebbero aver voluto incanalare le loro energie in quella che credevano sarebbe stata una rapida campagna militare, determinando che l’uso moderato della forza fisica avrebbe potuto essere sufficiente al raggiungimento degli obiettivi politico-militari posti nelle regioni della Crimea e dell’Ucraina Orientale. Pertanto, la preparazione di sofisticate operazioni cibernetiche distruttive non sarebbe stata necessaria e avrebbe magari (inutilmente) svelato i punti di forza e la superiorità tecnologica russa. Gli Stati tendono in genere a salvaguardare le capacità informatiche maggiormente distruttive fino a quando non ne hanno necessità, come contrastare una minaccia esistenziale. Per la Russia, in conflitto in Ucraina non rientrava probabilmente in tale categoria – almeno nelle intenzioni iniziali.

In secondo luogo, il cyberspazio, caratterizzato dall’assenza di confini fisici e da un’assoluta pervasività, non assicura una gestione mirata degli attacchi, che potrebbero ampliarsi verso obiettivi non voluti, come altri Stati. La progettazione di un’arma cibernetica discreta che risponda perfettamente ai comandi e colpisca un bersaglio specifico risulta di estrema complessità. Putin non è sembrato cercare l’escalation del conflitto con i paesi occidentali e teme una risposta militare congiunta della NATO. Si ricordi che dal 2016, i paesi del Patto Atlantico si sono espressi a favore dell’attivazione dell’articolo 5 (autodifesa collettiva) anche nel caso di infiltrazione cibernetica, estendendo il concetto di attacco convenzionale a quello cibernetico.

Come dato di contesto, c’è da considerare che il 2021 è stato caratterizzato da un aumento esponenziale degli attacchi cyber a livello mondiale (+68% rispetto all’anno precedente) che è confluito in un considerevole aumento degli investimenti nel settore della cyber security da parte di enti pubblici e privati. Maggiori investimenti significano potenziamento delle difese e migliore capacità di resistenza a malevoli attori esterni.

Una seconda considerazione più specifica è legata alla capacità cyber-difensiva ucraina: negli ultimi cinque anni le infrastrutture di Kiev, bersagliate continuamente da attacchi russi, hanno rafforzato significativamente la loro cyber security raggiungendo un’eccellente capacità di resilienza. Si è così verificata una rapida regolarizzazione dei sistemi informatici e un allineamento alla comunità globale di cyber security e alle direttive di protezione dei dati.

La connotazione estremamente ibrida e fluida del cyber spazio lascia la possibilità ad attori non statuali di partecipare attivamente al conflitto, e mai come in quello russo-ucraino si è verificato un così alto livello di ingaggio da parte di tali attori.

Dall’inizio del conflitto, l’Ucraina ha potuto contare non solo sulle proprie ottime capacità di cyber difesa, ma sul forte appoggio di attori statuali, e di alcuni non istituzionali, come il collettivo di hacker Anonymous. Anonymous, dichiarando il 26 febbraio “guerra informatica” alla Russia, ha iniziato un’escalation di cyber attacchi ottenendo una risonanza mediatica senza precedenti. L’obiettivo del gruppo è di lanciare continui attacchi alle strutture informatiche russe, in modo particolare quelle governative, con scopi variegati: furto di dati, interruzione del servizio, propaganda.  Gli attacchi sferrati da Anonymous, a causa della loro scarsa disponibilità di mezzi, impegnano gli hacker russi a bassa intensità, ma non è da escludere che dietro la maschera di Guy Fox si siano nascosti o si potranno nascondere altri Stati intenzionati a condurre attacchi più sofisticati, ad alta intensità.

Parallelamente, il governo ucraino all’inizio della guerra ha lanciato un appello al mondo digitale formando una sorta di “esercito IT globale” al quale può aderire chiunque abbia le competenze necessarie. L’esercito IT utilizza un canale di comunicazione via Telegram (un social network molto diffuso) nel quale si condividono liberamente i siti bersaglio e i relativi successi. Inoltre, in seguito alla disconnessione causata dall’attacco cyber al satellite Viasat, lo stesso Elon Musk, capo di SpaceX è intervenuto in favore dell’Ucraina dando accesso ai satelliti Starlink della sua società.

Sebbene non siamo stati ancora testimoni di un’operazione cibernetica distruttiva nel conflitto russo-ucraino, non vuol dire che ciò non debba accadere in futuro, o che non stia tuttora accadendo. Occorre tenere a mente che l’incidenza e la portata di un attacco informatico richiedono tempo per essere misurate e rivelate, si pensi al malware Stuxnet, scoperto nel 2010 ma sviluppato a partire dal 2005, che colpì la centrale nucleare iraniana a Natanz sabotando le centrifughe dedicate all’arricchimento e recando danni peggiori di un attacco fisico.

 

Leggi anche: How a virus is raising questions about cyberspace, non-conventional threats and hybrid warfare

 

Tuttavia, il conflitto russo-ucraino ad oggi conferma l’opinione condivisa da molti esperti: la “Cyber War”, in quanto fenomeno del tutto autonomo e distinto dai conflitti “cinetici” più tradizionali, non avrà mai luogo, ponendosi in effetti come un mero strumento aggiuntivo, piuttosto che sostitutivo dei convenzionali atti di forza. Per citare Thomas Rid, esperto mondiale di cyber sicurezza, informatica e robotica, “La guerra cibernetica non è mai avvenuta in passato, non si verifica nel presente ed è altamente improbabile che possa disturbare il nostro futuro“.