Uno sguardo indietro ai sei mesi della guerra in Ucraina: quale strategia hanno perseguito gli attacchi informatici russi e quanto sono stati efficaci finora? La guerra informatica è stata condotta secondo 4 strategie: distruzione, disinformazione, hacktivism ed e-spionaggio. Un commento di Chester Wisniewski, Principal Research Scientist di Sophos.
Quando la Russia ha invaso l'Ucraina il 24 febbraio 2022, nonostante molti tentativi di valutazione, nessuno di noi sapeva quale ruolo avrebbero potuto svolgere gli attacchi informatici in un'invasione su vasta scala. La Russia ha condotto attacchi informatici contro l'Ucraina da quando ha occupato la Crimea nel 2014 e sembrava inevitabile che questi strumenti avrebbero continuato a svolgere un ruolo, soprattutto dopo gli attacchi alla rete elettrica ucraina e la diffusione mondiale del worm NotPetya.
Una delle sfide nella valutazione dell'efficacia o dell'impatto degli attacchi informatici è vedere come si inseriscono nel "quadro generale". Quando siamo nel bel mezzo di un conflitto, la "nebbia informativa" della guerra spesso oscura e distorce la nostra visione dell'efficacia di una particolare azione. Ora, dopo più di sei mesi di guerra, guardiamo indietro e proviamo a determinare il ruolo delle armi informatiche fino a quel momento.
Oltre 1.100 attacchi informatici contro l'Ucraina
Secondo il Servizio statale ucraino per le comunicazioni speciali e la protezione delle informazioni (SSSCIP), il L'Ucraina ha attaccato 1.123 volte dall'inizio della guerra. Il 36,9% degli obiettivi era governo/difesa e gli attacchi consistevano nel 23,7% di codice dannoso e nel 27,2% di raccolta di informazioni.
La componente informatica della guerra è iniziata quasi 24 ore prima dell'invasione terrestre. Nel mio diario del conflitto, ho notato che gli attacchi DDoS e gli attacchi Wiper sono iniziati intorno alle 23:16 ora locale del 00 febbraio. Subito dopo è diventato molto confuso, poiché un gran numero di attacchi e tecniche sono stati utilizzati in parallelo. Per analizzare meglio l'intensità, l'efficacia e gli obiettivi, ho suddiviso questi attacchi in quattro categorie: distruzione, disinformazione, hacktivism e spionaggio.
Strategia 1: Distruzione
Poiché la guerra non stava procedendo secondo i piani per la Russia, alcune di queste tecniche sono state utilizzate in modo diverso nelle diverse fasi della guerra. La prima e più ovvia è stata la fase distruttiva del malware. A partire da gennaio 2022, secondo SSSCIP, gli aggressori russi e filo-russi hanno iniziato a rilasciare malware wiper e boot sector che alterano il settore volto a cancellare i contenuti di un sistema o renderlo inutilizzabile. Hanno preso di mira principalmente fornitori di servizi ucraini, infrastrutture critiche e agenzie governative.
Questi attacchi sono continuati per le prime sei settimane del conflitto e poi si sono indeboliti. La maggior parte di questa attività si è concentrata tra il 22 e il 24 febbraio, cioè nell'immediato periodo precedente e durante l'invasione. Queste attività hanno avuto un impatto su vari sistemi in Ucraina, ma alla fine non sembrano aver avuto un impatto positivo sul successo dell'invasione terrestre russa.
Uno dei motivi potrebbe essere che pochi giorni prima di questi attacchi, il governo ucraino ha spostato molte delle sue funzioni online ufficiali su un'infrastruttura cloud gestita e controllata da terze parti non coinvolte nei combattimenti. Ciò ha evitato interferenze e ha permesso all'Ucraina di mantenere molti servizi e comunicare con il mondo. Ciò ricorda una mossa simile quando la Georgia ha spostato i principali siti web del governo in paesi terzi durante gli attacchi DDoS della Russia nel paese nel 2008.
L'attacco Viasat è stato molto efficace e ha colpito anche gli aerogeneratori tedeschi
Un altro attacco devastante è stato l'attacco ai modem per comunicazioni satellitari Viasat dispiegati nell'Europa centrale e orientale proprio all'inizio dell'invasione. Secondo Raphael Satter di Reuters, un alto funzionario ucraino della sicurezza informatica ha spiegato che ciò ha provocato "un'enorme perdita di comunicazioni proprio all'inizio della guerra". Questo attacco ha anche inflitto danni collaterali ai membri della NATO e interrotto, tra l'altro, il funzionamento di oltre 5.800 turbine eoliche in Germania.
Questo è probabilmente il più efficace di tutti gli attacchi effettuati finora durante la guerra. Dato che la maggior parte degli esperti ha ipotizzato che la Russia stesse pianificando una guerra di 72 ore, se questa strategia avesse funzionato, un'interruzione delle comunicazioni militari avrebbe potuto avere un impatto negativo significativo sull'Ucraina. Inoltre, i comandanti ucraini sono stati in grado di riorganizzarsi e stabilire collegamenti alternativi per ridurre al minimo i disagi. A lungo termine, la Russia ha dimostrato di lottare molto di più con la catena di comando rispetto all'Ucraina. Forse in parte grazie al supporto di società tecnologiche come Microsoft ed ESET, nonché delle agenzie di intelligence statunitensi, il successo dell'Ucraina nel respingere attacchi distruttivi è stato impressionante.
Il malware Industroyer2 ha attaccato la compagnia energetica ucraina
Una delle più sofisticate minacce malware rivolte alle infrastrutture critiche è stata riconosciuta e neutralizzata quando è stata rilevata sulla rete di un'utility ucraina. Il malware noto come Industroyer2 era una combinazione di tergicristalli tradizionali mirati a Windows, Linux e Solaris e malware specifico di ICS mirato alla tecnologia operativa (OT) utilizzata per controllare e monitorare la rete elettrica.
Microsoft ha sottolineato in un recente rapporto che molti attacchi informatici russi sembrano essere stati coordinati con attacchi convenzionali a Dnipro, Kiev e all'aeroporto Vinnytsia. Ma non ci sono ancora prove che la componente informatica abbia contribuito agli apparenti progressi dell'offensiva russa. A mio avviso, le operazioni informatiche distruttive finora non hanno avuto quasi alcun impatto sull'esito di eventi di guerra reali. Hanno dato lavoro extra a molte persone e hanno fatto notizia, ma quello che non hanno fatto è fare davvero la differenza per la guerra.
Strategia 2: disinformazione
La strategia di disinformazione ha preso di mira tre gruppi: il popolo ucraino, la stessa Russia e il resto del mondo. La Russia non è estranea all'uso della disinformazione come arma per ottenere risultati politici. La missione originaria sembra aver previsto una rapida vittoria e l'utilizzo di un governo fantoccio. Con questo piano, la disinformazione sarebbe stata critica prima in due sfere di influenza, e poi in tre sfere di influenza man mano che procedeva.
L'obiettivo più ovvio è il popolo ucraino: dovrebbero (dovrebbero) essere convinti che la Russia sia un liberatore e alla fine accettare un leader filo-Cremlino. Sebbene i russi sembrino aver tentato numerose forme di influenza tramite SMS e social media tradizionali, l'Ucraina sempre più patriottica ha reso improbabile che questo tentativo avesse successo fin dall'inizio.
Disinformazione in Russia
La Russia ha avuto molto più successo con la disinformazione interna, il suo secondo obiettivo più importante. Ha ampiamente vietato i media stranieri e indipendenti, bloccato l'accesso ai social media e criminalizzato l'uso della parola "guerra" in relazione all'invasione dell'Ucraina. È difficile valutare effettivamente l'impatto di queste azioni sulla popolazione in generale, anche se i sondaggi suggeriscono che la propaganda sta funzionando - o almeno l'unica opinione che può essere espressa pubblicamente è il sostegno alle "operazioni militari speciali".
Il terzo obiettivo della disinformazione mentre la guerra si trascina è il resto del mondo. Tentare di influenzare paesi non allineati come India, Egitto e Indonesia può aiutare a scoraggiarli dal votare contro la Russia nelle votazioni delle Nazioni Unite e potenzialmente convincerli a sostenere la Russia.
Propaganda per i media di tutto il mondo
Le storie diffuse sui laboratori di armi biologiche statunitensi, la denazificazione e il presunto genocidio da parte dell'esercito ucraino hanno lo scopo di sfidare la rappresentazione del conflitto da parte dei media occidentali. Gran parte di questa attività sembra provenire da persone preesistenti che generano disinformazione piuttosto che account compromessi o qualsiasi tipo di malware.
La disinformazione ha chiaramente un impatto, ma proprio come gli attacchi distruttivi, non influisce in alcun modo direttamente sull'esito della guerra. I civili non accolgono le truppe russe come liberatori e le forze ucraine non depongono le armi né si arrendono. Gli Stati Uniti e l'Europa sostengono ancora l'Ucraina e il popolo russo appare cauto ma non ribelle. In particolare, negli ultimi giorni le forze ucraine hanno ripreso aree sotto il controllo russo e sono state persino accolte come liberatrici da alcuni civili vicino a Kharkiv.
Strategia 3: hacktivismo
🔎 Chester Wisniewski, Principal Research Scientist presso Sophos (Immagine: Sophos).
Gli hacker famosi e di grande esperienza in Russia e Ucraina impugnerebbero armi informatiche e scatenerebbero ondate di attacchi dannosi, ognuno sostenendo la propria parte? Sembrava che potesse essere così all'inizio della guerra. Alcuni noti gruppi di criminalità informatica come Conti e Lockbit hanno subito dichiarato di schierarsi da una parte o dall'altra, ma la maggior parte di loro ha detto che non gliene importava e avrebbe continuato come al solito. Ma abbiamo visto un calo significativo degli attacchi ransomware per circa sei settimane dopo l'invasione iniziale. Il normale volume di attacchi è ripreso all'inizio di maggio, suggerendo che i criminali, come il resto di noi, stavano subendo interruzioni della catena di approvvigionamento.
Uno dei gruppi più noti, Conti, ha rilasciato dichiarazioni minacciose contro l'Occidente sul loro sito di fuga, che hanno portato un ricercatore ucraino a rivelare la loro identità e le loro pratiche, portando infine al loro scioglimento.
La guerra interna ai Conti ne causò lo scioglimento
D'altra parte, gli attivisti informatici di entrambe le parti andarono in overdrive nei primi giorni della guerra. Defacement web, attacchi DDoS e altri banali hack hanno preso di mira qualsiasi cosa vulnerabile e chiaramente identificabile come russa o ucraina. Tuttavia, la fase è durata poco e non sembra avere effetti duraturi. La ricerca mostra che questi gruppi si annoiavano rapidamente e passavano alla distrazione successiva. Anche qui le attività non hanno portato a effetti materiali sulla guerra, ma a scherzi, per i quali i rispettivi hacktivisti potrebbero aver festeggiato. Ad esempio, recentemente un gruppo avrebbe violato Yandex Taxi e ordinato a tutti i taxi di raggiungere il centro di Mosca, provocando un ingorgo.
Categoria 4: spionaggio elettronico
L'ultima categoria è la più difficile da quantificare, poiché valutare l'impatto di qualcosa che è intrinsecamente oscuro è intrinsecamente complicato. Il modo più promettente per stimare quanto esteso sia stato lo spionaggio in questa guerra è guardare ai tempi in cui i tentativi sono stati scoperti. Puoi quindi iniziare a provare a estrapolare la frequenza con cui i tentativi avrebbero potuto avere successo, data la frequenza con cui non lo sono stati.
A differenza degli attacchi distruttivi, gli attacchi di spionaggio elettronico sono utili contro tutti i bersagli nemici, non solo l'Ucraina, a causa della loro natura segreta e della relativa difficoltà nell'identificarli. Come per la disinformazione, c'è molta più attività in quest'area che prende di mira i sostenitori dell'Ucraina rispetto ad altri tipi di attacchi che gli alleati degli Stati Uniti e della NATO potrebbero iniettare nella guerra di terra.
Più attacchi informatici motivati dalla guerra
Le accuse di attacchi contro società non ucraine devono essere attentamente considerate. Non è una novità che la Russia stia prendendo di mira gli Stati Uniti, l'Unione Europea e altri stati membri della NATO con malware, attacchi di phishing e furto di dati, ma in alcuni casi ci sono prove convincenti che gli attacchi sono specificamente motivati dalla guerra in Ucraina.
Nel marzo 2022, il Threat Analysis Group (TAG) di Google ha pubblicato un rapporto che evidenziava gli attacchi di phishing russi e bielorussi contro ONG e think tank con sede negli Stati Uniti, l'esercito di un paese balcanico e un appaltatore della difesa ucraino. Proofpoint ha anche pubblicato una ricerca che mostra che i funzionari dell'UE che lavorano a sostegno dei rifugiati sono stati l'obiettivo di campagne di phishing lanciate da un account di posta elettronica ucraino presumibilmente precedentemente compromesso dall'intelligence russa.
Gli attacchi russi contro obiettivi ucraini non sono diminuiti negli ultimi sei mesi, sfruttando sempre le ultime vulnerabilità non appena vengono divulgate pubblicamente. Ad esempio, nel luglio 2022, un gruppo di criminalità informatica con sede in Russia era tra i principali attori, ovveroHanno ampiamente sfruttato una nuova vulnerabilità in Microsoft Office chiamata "Follina".. Sembra che uno dei bersagli dei documenti malevoli in questa campagna fossero le organizzazioni dei media, uno strumento importante durante una guerra.
Maggiori informazioni su Sophos.com
A proposito di Sophos Sophos gode della fiducia di oltre 100 milioni di utenti in 150 paesi. Offriamo la migliore protezione contro le minacce informatiche complesse e la perdita di dati. Le nostre soluzioni di sicurezza complete sono facili da implementare, utilizzare e gestire. Offrono il costo totale di proprietà più basso del settore. Sophos offre soluzioni di crittografia pluripremiate, soluzioni di sicurezza per endpoint, reti, dispositivi mobili, e-mail e web. C'è anche il supporto dei SophosLabs, la nostra rete globale di centri di analisi proprietari. Le sedi di Sophos sono a Boston, USA e Oxford, UK.