Nessuno di noi si augura di trovarsi a fare i conti con un conflitto militare. Chi si occupa di cyber security, però, ha ben presente che la dimensione informatica delle guerre moderne può avere un impatto simile a quello degli attacchi “fisici”. Vero che qualsiasi organizzazione, oggi, ha interiorizzato l’importanza di avere una postura di cyber security adeguata a contrastare gli attacchi che ne mettono a rischio l’operatività. Le strategie comunemente adottate, però, partono dal presupposto che le minacce cyber abbiano quelle caratteristiche che siamo abituati a registrare nel “comune” cyber crime o nelle attività di spionaggio.
Quando si parla di cyberwarfare, e in particolare di attacchi informatici condotti a margine di un conflitto bellico, le cose cambiano. “In scenari come questi non abbiamo a che fare con azioni estorsive o furti di dati” spiega Robert Lipovsky, Principal Threat Intelligence Reasearcher di ESET nel corso di un incontro con ZeroUno a Bratislava. “Nella maggior parte dei casi si tratta di azioni di sabotaggio, con caratteristiche diverse rispetto a fenomeni come il ransomware o il cyber spionaggio”.
Strategie di cyberwarfare nella guerra russo-ucraina
ESET, azienda specializzata in cyber security, vanta il maggior numero di software antivirus installati sul territorio ucraino. Gli esperti della società slovacca hanno quindi avuto la possibilità di monitorare con estrema accuratezza gli attacchi che hanno preceduto e tuttora accompagnano il conflitto che sta interessando l’Europa da ormai più di due anni.
“Gli autori degli attacchi registrati a partire dal febbraio 2022 sono gruppi APT (Advanced Persistent Threat) già noti, ognuno dei quali ha caratteristiche specifiche e un modus operandi unico” spiega Lipovsky. “L’analisi delle loro azioni permette di comprendere quali sono le strategie degli ‘hacker di stato’ in un contesto di guerra”.
Nella sua esposizione, Lipovsky segnala come il primo attacco propedeutico all’invasione del territorio ucraino sia avvenuto a poche ore dall’azione militare. Protagonista il gruppo Sandworm, conosciuto dal 2014 e specializzato in azioni di cyber-sabotaggio che sfruttano i cosiddetti wiper. Si tratta di malware che prendono di mira i dati e che, a differenza di quanto accade con i “normali” ransomware, hanno un impatto più distruttivo. “In questo caso gli attaccanti non hanno interesse a rendere i dati semplicemente inutilizzabili, ma li cancellano completamente. Una strategia che impatta sia sulla gravità dell’attacco, sia sulla capacità delle organizzazioni di individuare le attività malevole in corso” sottolinea l’esperto di ESET.
Le difficoltà sono dettate principalmente dal fatto che i software antivirus, per individuare i malware, utilizzano pattern di attacco che ricalcano quelli più diffusi. Nello specifico, è probabile che uno strumento di detection faccia più fatica a rilevarlo. Normalmente, infatti, i software di sicurezza sono “tarati” per individuare i ransomware e, di conseguenza, si attivano nel momento in cui riconoscono attività come la crittografia dei dati. La semplice cancellazione potrebbe invece passare inosservata o rappresentare, per lo meno, un evento meno “preoccupante”.
“Nel caso degli attacchi da parte dei gruppi APT russi – prosegue Lipovsky – abbiamo assistito a una serie di azioni coordinate e pianificate con grande anticipo. HermeticWiper, utilizzato il 23 febbraio 2022 in concomitanza con l’avvio delle operazioni militari, era presente nei sistemi delle organizzazioni colpite fin dal dicembre dell’anno precedente”. L’attacco, in pratica, era stato pianificato con quasi tre mesi di anticipo e ha preso di mira infrastrutture energetiche in territorio ucraino e non solo.
Il gruppo Sandworm, nel corso di questi due anni, ha però sfornato un numero impressionante di attacchi, che ha portato ESET a classificare più di venti famiglie diverse di malware catalogabili come wiper. “In alcuni casi gli hacker russi hanno utilizzato strumenti legittimi come SDelete o, nel caso dell’attacco RoarBat, il celebre e apparentemente innocuo WinRAR” sottolinea Lipovsky. “Ci sono stati anche numerosi casi in cui gli attaccanti hanno usato ‘falsi ransomware’ che nascondevano il loro reale intento distruttivo dietro un apparente schema estorsivo”. Uno schema, questo, che era già stato visto nel caso di Not-Petya.
Dal sabotaggio al “semplice” spionaggio
Se il gruppo Sandworm è collegato al GRU (il servizio segreto militare di Mosca – ndr) ed è specializzato in azioni di sabotaggio, Gamaredon fa invece riferimento ai servizi segreti federali dell’FSB. Si tratta di un nucleo specializzato in spionaggio che utilizza un arsenale impressionante di malware che aggiornano con grande frequenza per renderli più difficili da individuare.
Gli strumenti che utilizza non sono particolarmente complessi, ma Gamaredon si distingue per un eccezionale volume di attacchi. Una strategia un po’ “old school”, che però porta i suoi frutti. Stando ai dati di ESET, questa frenetica attività degli hacker ha permesso a questo gruppo di infettare una media di due dispositivi al giorno in Ucraina, tra l’ottobre del 2022 e il settembre del 2023. Da un punto di vista tecnico, Gamaredon si concentra sulla compromissione dei sistemi di comunicazione, come Telegram, Whatsapp e Signal.
Obiettivi simili, anche se perseguiti con tecniche completamente diverse, sono quelli che muovono un gruppo APT individuato da ESET che non ha un collegamento diretto con il governo di Mosca, ma con il suo principale alleato nella regione: la Bielorussia.
In questo caso gli obiettivi sono principalmente le rappresentanze diplomatiche straniere presenti sul territorio bielorusso. La tecnica di attacco utilizzata da Moustached Bouncer, come i ricercatori di ESET hanno battezzato questo APT emergente, fa leva sul dirottamento della vittima verso un falso server per l’aggiornamento di Windows, attraverso il quale viene installato un trojan che permette di sottrarre informazioni dai dispositivi colpiti. Come spiega Lipovsky, Moustached Bouncer sfrutterebbe direttamente lo stretto controllo che il governo bielorusso mantiene sugli Internet Service Provider. Qualcosa che, in condizioni normali, non viene preso in considerazione.
Insomma: dal quadro delineato da ESET nel contesto del conflitto russo-ucraino emerge un elemento incontrovertibile: l’impatto di un conflitto armato a livello cyber introduce una serie di scostamenti nelle tecniche di attacco in grado di spiazzare le tradizionali strategie di difesa. Gli esperti di cyber security sono obbligati a pensare “fuori dagli schemi”: in uno scenario geopolitico sempre più caotico, c’è il rischio che tutto questo si trasformi in normalità.