Prima dell'attacco russo all'Ucraina, c'erano una serie di minacce informatiche: attacchi DDoS (Distributed Denial of Service) che interrompevano sporadicamente i siti web del governo ucraino e i fornitori di servizi finanziari. Cosa possiamo imparare dalla storia per essere preparati? Una cronologia dal 2007 al 2022. Un commento di Chester Wisniewski, Principal Research Scientist di Sophos.
“Tutte le aziende dovrebbero essere sempre preparate ad attacchi da tutte le direzioni. Ma può essere utile sapere cosa cercare quando aumenta il rischio di un attacco. Ho deciso di rivedere la storia delle attività note o sospette dello stato russo nell'ambiente informatico e valutare quali tipi di attività aspettarsi e come le organizzazioni possono essere preparate". Chester Wisniewski, Sophos.
Attacchi denial of service destabilizzanti
La prima attività nota risale al 26 aprile 2007, quando il governo estone spostò una statua che commemorava la liberazione dell'Estonia dai nazisti da parte dell'Unione Sovietica in un luogo meno prominente. Questa azione ha fatto infuriare la popolazione di lingua russa dell'Estonia e ha destabilizzato le relazioni con Mosca. Poco dopo, ci sono stati disordini nelle strade, proteste davanti all'ambasciata estone a Mosca e un'ondata di attacchi DDoS al governo estone e ai siti web dei servizi finanziari.
Strumenti e istruzioni completamente preparati su come partecipare agli attacchi DDoS sono apparsi sui forum russi quasi immediatamente dopo la posa della statua. Questi attacchi hanno preso di mira siti web appartenenti al presidente, al parlamento, alla polizia, ai partiti politici e ai principali media.
Mentre altri "patrioti russi" sono stati chiamati ad aiutare a punire l'Estonia, questo non era certo un movimento di base* che è uscito dal nulla con strumenti e un elenco di obiettivi. La stessa tattica è stata successivamente utilizzata da Anonymous per difendere Wikileaks utilizzando uno strumento chiamato Low Orbit Ion Canon (LOIC).
Azioni dal 2007
Il 4 maggio 2007 gli attacchi si sono intensificati e hanno preso di mira anche le banche. Esattamente sette giorni dopo, a mezzanotte, gli attacchi terminarono bruscamente come erano iniziati. Tutti hanno immediatamente incolpato la Russia, ma è quasi impossibile attribuirla ad attacchi denial-of-service distribuiti. È ormai opinione diffusa che questi attacchi DDoS siano stati opera del Russian Business Network (RBN), un famigerato gruppo criminale organizzato in Russia con legami con spamming, botnet e programmi di affiliazione farmaceutica. I loro servizi sarebbero stati "impegnati" esattamente per una settimana per portare a termine questi attacchi.
Il 19 luglio 2008 è iniziata una nuova ondata di attacchi DDoS, prendere di mira notizie e siti web governativi in Georgia. Questi attacchi si sono misteriosamente intensificati drammaticamente l'8 agosto 2008, quando le truppe russe hanno invaso la provincia separatista dell'Ossezia meridionale. Gli attacchi sono stati inizialmente diretti contro notizie e siti governativi georgiani, in seguito anche contro istituzioni finanziarie, aziende, istituti scolastici, media occidentali e un sito web di hacking georgiano.
Come per i precedenti attacchi all'Estonia, è apparso un sito Web con un elenco di obiettivi e una serie di strumenti con le istruzioni su come utilizzarli. Anche qui si è cercato di attribuire gli attentati ai “patrioti” che hanno resistito all'aggressione georgiana. Tuttavia, la maggior parte del traffico di attacco effettivo proveniva da una nota botnet di grandi dimensioni che si credeva fosse controllata da RBN.
Defacement digitale e spam
Gli attacchi alla Georgia includevano anche deturpazione di siti Web e massicce campagne di spam progettate per intasare le caselle di posta georgiane. Tutto ciò apparentemente è servito a scuotere la fiducia nella capacità della Georgia di difendersi e governarsi, e ad impedire al governo di comunicare efficacemente con i suoi cittadini e il mondo esterno.
Meno di un anno dopo, nel gennaio 2009, in Kirghizistan è iniziata un'altra serie di attacchi DDoS. Ciò è accaduto nello stesso momento in cui il governo del Kirghizistan ha deciso di estendere l'affitto di una base aerea statunitense nel loro paese. Un incidente? Sembrava che l'azione fosse stata intrapresa di nuovo da RBN, ma questa volta non si trattava di uno stratagemma di "patrioti" che esprimevano le loro opinioni digitali.
Questo ci porta al conflitto cinetico più recente, l'invasione della Crimea del 2014.
disinformazione e isolamento
Una guerra dell'informazione di basso livello è stata intrapresa contro l'Ucraina dal 2009, con molti attacchi in coincidenza con eventi che potrebbero essere interpretati come una minaccia per gli interessi russi, come un vertice NATO e negoziati Ucraina-UE su un accordo di associazione.
Nel marzo 2014, il New York Times ha riferito che il malware Snake si è infiltrato nell'ufficio del primo ministro ucraino e in diverse ambasciate remote all'inizio delle proteste antigovernative in Ucraina. Tra la fine del 2013 e l'inizio del 2014, ESET ha anche rilasciato indagini che documentano attacchi a obiettivi militari e media, soprannominati Operazione Potao Express.
Come prima, un gruppo informatico indigeno chiamato "Cyber Berkut" ha effettuato attacchi DDoS e web defacement, ma senza causare grossi danni. Tuttavia, ha creato molta confusione, e questo da solo ha implicazioni in tempi di conflitto.
All'inizio del conflitto, soldati senza insegne hanno preso il controllo delle reti di telecomunicazioni della Crimea e dell'unico hub internet della regione, provocando il congelamento delle informazioni. Gli aggressori hanno abusato del loro accesso alla rete cellulare per identificare i manifestanti anti-russi e inviare loro messaggi di testo che dicevano: "Caro abbonato, sei registrato come partecipante a una rivolta di massa".
Dopo aver isolato la capacità di comunicazione della Crimea, gli aggressori hanno anche falsificato i telefoni cellulari dei membri del parlamento ucraino, impedendo loro di rispondere efficacemente all'invasione. Come notato in Military Cyber Affairs, le campagne di disinformazione erano in pieno svolgimento:
“In un caso, la Russia ha pagato una singola persona per avere più identità web diverse. Un attore di San Pietroburgo ha affermato di aver agito come tre diversi blogger con dieci blog e di aver commentato contemporaneamente su altri siti web. Un'altra persona è stata assunta per commentare notizie e social media 126 volte ogni XNUMX ore".
Alimentazione paralizzante
Il 23 dicembre 2015, a circa la metà dei residenti di Ivano-Frankivsk (Ucraina) è stata improvvisamente interrotta l'elettricità. È opinione diffusa che questo sia stato il lavoro di hacker sponsorizzati dallo stato russo. I primi attacchi sono iniziati più di sei mesi prima del blackout, quando i lavoratori di tre centri di distribuzione dell'energia hanno aperto un documento Microsoft Office infetto contenente una macro progettata per installare un malware chiamato BlackEnergy.
Gli aggressori sono riusciti ad accedere da remoto ai dati per la rete SCADA (Supervisory Control and Data Acquisition) e prendere il controllo dei controlli della sottostazione per aprire gli interruttori. Hanno quindi compromesso i telecomandi per impedire la chiusura degli interruttori per ripristinare l'alimentazione. Inoltre, gli aggressori hanno utilizzato un "tergicristallo" per distruggere i computer utilizzati per controllare la rete, conducendo contemporaneamente un attacco di negazione del servizio telefonico (TDoS), inondando i numeri del servizio clienti e quindi i clienti che hanno provato a segnalare le interruzioni hanno ottenuto frustrato.
Quasi un anno dopo, il 17 dicembre 2016, le luci si sono spente di nuovo a Kiev. Un incidente? Probabilmente no.
Questa volta il malware responsabile si chiamava Industroyer/CrashOverride ed era molto più sofisticato. Il malware era dotato di componenti modulari in grado di scansionare la rete per trovare i controller SCADA e parlare la loro lingua. Aveva anche un componente tergicristallo per cancellare il sistema. L'attacco sembrava non essere correlato a BlackEnergy o al noto strumento di pulizia KillDisk, ma non c'erano dubbi su chi ci fosse dietro.
E-mail Divulgazione
Nel giugno 2016, durante la stretta campagna presidenziale tra Hillary Clinton e Donald Trump, è emersa una nuova figura chiamata Guccifer 2.0 che ha affermato di aver violato il Comitato nazionale democratico e di aver inoltrato le sue e-mail a Wikileaks. Sebbene non sia ufficialmente attribuito alla Russia, è emerso insieme ad altre campagne di disinformazione durante le elezioni del 2016 ed è opinione diffusa che sia la mano del Cremlino.
Attacchi alla catena di approvvigionamento: NotPetya
I persistenti attacchi della Russia all'Ucraina non erano ancora finiti e il 27 giugno 2017 hanno esacerbato la situazione rilasciando un nuovo malware chiamato NotPetya. Travestito da nuovo ransomware, NotPetya è stato distribuito attraverso una catena di fornitura compromessa di un fornitore di software di contabilità ucraino. In realtà, non era affatto un ransomware. Ha crittografato un computer ma non è stato possibile decrittografarlo, cancellando efficacemente il dispositivo e rendendolo inutilizzabile.
Le vittime non si sono limitate alle aziende ucraine. Il malware si è diffuso in tutto il mondo nel giro di poche ore, colpendo principalmente le organizzazioni che operano in Ucraina, dove è stato distribuito il software di contabilità con trappola esplosiva. Si stima che NotPetya abbia causato danni per almeno 10 miliardi di dollari in tutto il mondo.
Sotto falsa bandiera
Mentre le Olimpiadi invernali di PyeongChang si aprivano il 9 febbraio 2018, era imminente un altro attacco che aveva il mondo con il fiato sospeso. L'attacco malware ha disabilitato tutti i controller di dominio sulla rete olimpica, impedendo il corretto funzionamento di tutto, dal Wi-Fi alle biglietterie. Miracolosamente, il team IT è stato in grado di isolare la rete, ripristinare e rimuovere il malware dai sistemi e la mattina dopo tutto è tornato a funzionare senza errori.
Quindi è arrivato il momento di eseguire un'analisi del malware per scoprire chi stava tentando di attaccare e chiudere l'intera rete Olympia. L'attribuzione del malware è difficile, ma c'erano alcuni indizi che potevano essere utili o erano false piste che dovrebbero puntare a una terza parte non coinvolta. Le "prove" sembravano indicare la Corea del Nord e la Cina, ma era quasi troppo ovvio incolpare la Corea del Nord. Alla fine, Igor Soumenkov di Kaspersky Lab, con un brillante lavoro investigativo, ha trovato una pista calda che puntava direttamente a Mosca.
Pochi anni dopo, poco prima della fine delle festività del 2020, era noto un attacco alla catena di approvvigionamento che prendeva di mira il software SolarWinds Orion utilizzato per gestire l'infrastruttura di rete di grandi e medie imprese in tutto il mondo, comprese molte agenzie federali statunitensi. I meccanismi di aggiornamento del software sono stati violati e utilizzati per installare una backdoor.
L'importanza delle vittime combinata con l'accesso fornito dalla backdoor installata furtivamente rende questo attacco forse uno dei più grandi e dannosi attacchi di spionaggio informatico della storia moderna.
Il Federal Bureau of Investigation (FBI) degli Stati Uniti, la Cybersecurity and Infrastructure Security Agency (CISA), l'Office of Director of National Intelligence (ODNI) e la National Security Agency (NSA) hanno rilasciato una dichiarazione congiunta affermando che le loro indagini indicano che... :
“... un attore avanzato di minacce persistenti, probabilmente di origine russa, è responsabile della maggior parte o di tutti gli attacchi informatici in corso scoperti di recente su reti governative e non governative. A questo punto, crediamo che questa sia un'azione di intelligence e continuerà ad esserlo".
Conflitto informatico russo nel 2022
Nel 2022, le tensioni cyber-politiche stanno aumentando di nuovo e stanno per essere messe a dura prova. Il 13-14 gennaio 2022, numerosi siti web del governo ucraino sono stati deturpati e i sistemi sono stati infettati da malware camuffato da ransomware.
Diversi componenti di questi attacchi ricordano il passato. Il malware non era un ransomware, ma solo un sofisticato tergicristallo, come usato negli attacchi NotPetya. Inoltre, sono state lasciate molte false piste, suggerendo che potrebbe essere opera di dissidenti ucraini o partigiani polacchi. Distrarre, confondere, negare e cercare di dividere sembra essere il repertorio standard ora.
Martedì 15 febbraio 2022 è stata lanciata una serie di attacchi DDoS contro siti governativi e militari ucraini, nonché tre delle maggiori banche ucraine. Con una mossa senza precedenti, la Casa Bianca ha già declassificato alcune informazioni di intelligence, attribuendo gli attacchi al GRU russo.
Il playbook russo sulla guerra informatica
E adesso? Indipendentemente dal fatto che la situazione si aggravi ulteriormente, le operazioni informatiche continueranno sicuramente. Dalla cacciata di Viktor Yanukovich nel 2014, l'Ucraina ha dovuto affrontare una raffica costante di attacchi che hanno avuto alti e bassi di varia entità.
Secondo la "Dottrina militare della Federazione Russa" ufficiale della Russia del 2010: "la precedente condotta di operazioni di guerra dell'informazione per raggiungere obiettivi politici senza l'uso della forza militare, e successivamente nell'interesse di una risposta positiva da parte della comunità mondiale all'uso della forza militare".
Ciò suggerisce una continuazione dei precedenti comportamenti pre-conflitto e rende gli attacchi DDoS un potenziale segno di una risposta cinetica imminente. Con la guerra dell'informazione, il Cremlino può tentare di dirigere la reazione del resto del mondo alle azioni in Ucraina o ad altri obiettivi.
Errori di tracciamento, attribuzione errata, comunicazioni interrotte e manipolazione dei social media sono tutti componenti importanti del concetto di guerra dell'informazione in Russia. Non hanno bisogno di fornire un camuffamento permanente per le attività sul campo o altrove, ma semplicemente di fornire abbastanza ritardo, confusione e contraddizione per consentire ad altre operazioni simultanee di raggiungere i loro obiettivi.
Preparare e proteggere
È interessante notare che gli Stati Uniti e il Regno Unito cercano di prevenire alcune delle campagne di disinformazione, che potrebbero limitarne l'efficacia. Tuttavia, non dobbiamo presumere che gli aggressori smetteranno di provarci, quindi dobbiamo rimanere preparati e vigili.
Ad esempio, le organizzazioni nei paesi confinanti con l'Ucraina dovrebbero essere preparate a essere coinvolte in truffe online anche se non operano direttamente in Ucraina. Precedenti attacchi e disinformazione sono trapelati in Estonia, Polonia e altri stati confinanti, anche se solo come danni collaterali. Da una prospettiva globale, dovremmo aspettarci che un certo numero di liberi professionisti "patriottici" in Russia, ovvero criminali ransomware, autori di phish e operatori di botnet, agiranno con uno zelo ancora maggiore del solito contro obiettivi percepiti come anti-patria.
È improbabile che la Russia attacchi direttamente i membri della NATO e rischi l'emanazione dell'articolo V. Tuttavia, è probabile che i recenti gesti della Russia per contenere i criminali che operano al di fuori della Federazione Russa e dei suoi partner nella Comunità degli Stati Indipendenti (CSI) giungano al termine e invece le minacce si moltiplicheranno.
Mentre la difesa in profondità dovrebbe essere la cosa più normale al mondo, è particolarmente importante quando affrontiamo un aumento della frequenza e della gravità degli attacchi. La disinformazione e la propaganda raggiungeranno presto il picco, ma dobbiamo stare in guardia, chiudendo i portelli e monitorando le nostre reti per qualsiasi cosa insolita mentre i cicli del conflitto diminuiscono, anche se finiscono presto. Perché, come tutti sappiamo, possono passare mesi prima che emergano prove di un'intrusione digitale legata al conflitto russo-ucraino.
Chester Wisniewski, Principal Research Scientist presso Sophos (Immagine: Sophos).
Informazioni sull'autore Chester Wisniewski
Chester Wisniewski è Principal Research Scientist presso Sophos, fornitore leader di soluzioni di sicurezza di nuova generazione. Ha più di 20 anni di esperienza professionale.
Chester analizza le grandi quantità di dati sugli attacchi raccolti dai SophosLabs per distillare e condividere le informazioni rilevanti per fornire al settore una migliore comprensione delle minacce in evoluzione, del comportamento degli aggressori e delle misure di sicurezza efficaci. Ha aiutato le aziende a sviluppare strategie di difesa su scala aziendale, è stato responsabile tecnico per lo sviluppo della prima appliance di sicurezza e-mail di Sophos e ha fornito consulenza sulla pianificazione della sicurezza per alcuni dei più grandi marchi globali.
Chester ha sede a Vancouver ed è un relatore regolare in occasione di eventi del settore tra cui RSA Conference, Virus Bulletin, Security BSides (Vancouver, Londra, Galles, Perth, Austin, Detroit, Los Angeles, Boston e Calgary) e altri. Riconosciuto come uno dei migliori ricercatori di sicurezza del settore, è regolarmente consultato dalla stampa tra cui BBC News, ABC, NBC, Bloomberg, CNBC, CBC e NPR.
Quando non combatte il crimine informatico, Chester trascorre il suo tempo libero cucinando, andando in bicicletta e guidando i nuovi arrivati alla sicurezza attraverso il suo lavoro di volontariato presso InfoSec BC. Chester è su Twitter (@chetwisniewski).
Maggiori informazioni su Sophos.com
A proposito di Sophos Sophos gode della fiducia di oltre 100 milioni di utenti in 150 paesi. Offriamo la migliore protezione contro le minacce informatiche complesse e la perdita di dati. Le nostre soluzioni di sicurezza complete sono facili da implementare, utilizzare e gestire. Offrono il costo totale di proprietà più basso del settore. Sophos offre soluzioni di crittografia pluripremiate, soluzioni di sicurezza per endpoint, reti, dispositivi mobili, e-mail e web. C'è anche il supporto dei SophosLabs, la nostra rete globale di centri di analisi proprietari. Le sedi di Sophos sono a Boston, USA e Oxford, UK.