L’occupazione dell’Ucraina da parte dell’esercito russo, di enorme attualità nei primi mesi del 2022, rappresenta la punta di un iceberg per una guerra che, come molte altre, si combatte da mesi, se non addirittura da anni: la cyberwar, la guerra cibernetica che vede opposti a colpi di attacchi informatici i due paesi, con ampio coinvolgimento da parte di soggetti terzi.

Quando il collettivo Anonymous (qui la guida per capire invece chi sono gli ethical hacker), nell’oscurare il sito del Cremlino, afferma su twitter di aver appena dichiarato una cyberwar a Putin, ci dice con ogni probabilità che oggi le guerre non si limitano ai pur drammatici effetti delle attività militari sul campo. Una guerra oggi spazia su un fronte offensivo molto più ampio, che a livello informatico viene condotta con criteri del tutto esenti da regole, norme e convenzioni.

Nel contesto di un mondo sempre più connesso alla rete, una guerra di natura informatica assume un peso via via crescente, condizionando molto spesso le dinamiche di un conflitto anche senza dover necessariamente abbracciare le armi o sparare alcun missile.

Vediamo in cosa consiste una cyberwar e quali sono le implicazioni più diffuse in uno scenario in rapida e continua evoluzione.

Cyberwar: cos’è e perché sta diventando sempre più importante nell’economia mondiale

Una cyberwar, o cyberwarfare, consiste nell’impiego di attacchi di natura informatica effettuati da uno stato nei confronti di uno o più stati rivali per creare danni di varia natura, come il furto di dati strategici, l’interruzione ai servizi fondamentali, come quelli di natura economico-finanziaria e il danneggiamento delle infrastrutture critiche, per interrompere la regolare erogazione di servizi pubblicamente rilevanti come la fornitura di energia e del sistema dei trasporti.

Tali azioni vengono condotte da gruppi di hacker anonimi, finanziati quasi sempre in maniera non ufficiale dalle nazioni. Ragion per cui tali attacchi, anche in tempo di pace apparente, vengono definiti di natura nation-state. La cyberwar può viaggiare in parallelo con lo scontro bellico tradizionale o, come più spesso accade, essere svolta in maniera del tutto indipendente, generando un clima di tensione a livello internazionale.

La guerra cibernetica è ormai una realtà consolidata e per quanto il campo di battaglia sia molto difficile da percepire, anche per i diretti interessati. Per quanto sia piuttosto semplice prevedere quali possano essere i bersagli di una cyberwar, intercettare le dinamiche degli attacchi rappresenta al momento qualcosa di incredibilmente complesso, che genera una situazione di tutti contro tutti a livello globale, con preoccupanti sovrapposizioni rispetto alle comuni attività cybercriminali.

I protagonisti sul fronte della cyberwar

I principali attori protagonisti nelle attività operative di una cyberwar sono riconducibili a tre tipologie, che si distinguono soprattutto per quanto riguarda gli obiettivi delle loro attività, ancor prima che nelle effettive operazioni.

Cybercriminali

La loro attività è finalizzata a colpire i sistemi informatici dell’avversario, che si tratti di un ente pubblico o di un’azienda che riveste un ruolo cruciale nel garantire servizi fondamentali per il sistema socio-economico di una nazione avversaria. La condotta è solitamente molto decisa e violenta, in quanto mira a provocare il maggior danno possibile nel minor lasso di tempo utile. Le armi utilizzate dai cybercriminali sono di varia natura. Si va dai ransomware, largamente diffusi anche in ambito civile, a vere e proprie azioni di sabotaggio, che possono colpire i sistemi OT degli impianti creando situazioni di estremo pericolo anche a livello fisico, come nel caso di causare sovratensioni nelle centrali elettriche o inquinare le fonti idriche attraverso la manomissione di un impianto di depurazione.

A differenza di quanto accade nel caso delle attività cybercriminali deliberatamente svolte nei confronti dei privati, sono meno frequenti le rivendicazioni, per il fatto che agli stati interessati che l’avversario subisca un danno, senza sporcarsi le mani e apparire come il colpevole di un’azione che altrimenti rischierebbe di scatenare importanti ripercussioni a livello diplomatico. Anche se i servizi di intelligence possono ormai risalire abbastanza facilmente, in fase preventiva o di incident response, all’individuazione dell’attaccante, è quasi sempre impossibile dimostrare il coinvolgimento diretto da parte di uno stato, per il semplice fatto che le azioni vengono condotte da gruppi cybercriminali che non hanno alcun legame diretto con le istituzioni che di fatto li finanziano.

Cyberspie

Si tratta di veri e propri 007 digitali, la cui azione consiste nel condurre con mezzi informatici delle operazioni top secret ai danni degli stati rivali, quasi sempre orientate a sottrarre illegalmente dati e informazioni estremamente sensibili. Si va dall’intercettazione di comunicazioni di vitale importanza per rilevare le strategie dell’avversario, fino al vero e proprio furto di dati e documenti riconducibili a segreti militari o commerciali per quanto concerne gli interessi primari di una nazione, come gli accordi sull’energia e l’attività dei principali gruppi bancari.

A differenza dei cybercriminali, la presenza nella rete delle cyberspie è quanto più discreta possibile, per il semplice fatto che se la vittima si accorgesse della sua presenza, potrebbe espellerlo dai propri sistemi vanificando qualsiasi sforzo utile. Soprattutto nel caso delle istituzioni pubbliche, gli hacker spioni sfruttano le vulnerabilità del perimetro di sicurezza per penetrare all’interno dei sistemi e prendere il controllo delle macchine necessarie per esfiltrare i dati utili.

Le dinamiche non differiscono sostanzialmente rispetto al furto di dati condotto nei confronti delle comuni aziende. A variare sono sostanzialmente gli obiettivi e le finalità. Un attacco finanziato da uno stato non deve necessariamente monetizzare, ma generare un vantaggio strategico nei confronti dell’avversario. Uno degli stati più attivi nel finanziare azioni volte allo spionaggio industriale è certamente la Cina, la superpotenza meno attiva sul piano militare.

Cyber hacktivist

Hacker e bilancia - ethical hacker

Neologismo che enfatizza quanto espresso dai cyberattivisti. A differenza delle altre figure coinvolte, l’attività di questi hacker solitamente non viene finanziata dagli stati, ma fa riferimento ad un’iniziativa di carattere volontario. Si tratta infatti di collettivi a cui gli hacker stessi aderiscono sulla base della condivisione di certi principi etici. Per tale ragione, l’attività dei cyberattivisti spesso si limita ad azioni dimostrative, capaci di ottenere una grande rilevanza mediatica, come il defacing o il redirect di un sito internet dei soggetti che intendono colpire.

Anche se è piuttosto raro che accada, le competenze tecniche dei cyber hacktivist consentono loro di svolgere attacchi della stessa natura di quelli svolti dai cybercriminali, come dimostra il recente blackout causato al sistema ferroviario bielorusso. A differenza dell’attacco nation-state, anche le azioni malevole vengono sostenute da un presupposto di carattere etico, quale controffensiva 

Il collettivo più celebre è certamente Anonymous, la cui iconografia è riconducibile alla maschera di Guy Fawkes, metafora di un anonimato che raccoglie l’operato di una legione indefinita, il cui obiettivo coincide quasi sempre nel garantire la libertà di pensiero ed espressione, a prescindere dalla bandiera di appartenenza.

Attivi dal 2003, Anonymous ha alternato periodi di attività grande attività ad altrettanti silenzi. Tra le azioni più celebri, prima dello schieramento anti Putin, ricordiamo quelli contro Scientology (2008) e quelli che nel 2010 crearono non pochi grattacapi a colossi come Amazon, Paypal, Visa e Mastercard, quando decisero di cessare il supporto a Wikileaks.

In molti casi l’azione di Anonymous si è concentrata nel consentire alle realtà oppresse di aggirare gli effetti della censura, a cominciare dal sistematico abbattimento dei siti governativi. Anonymous fu peraltro un protagonista di primo piano nel contesto della primavera araba, sostenendo le rivolte contro i governi totalitari in Tunisia ed Egitto, che portarono alle dimissioni dei rispettivi reggenti.

Anche in Italia abbiamo avuto modo, negli anni, di assistere a diverse rivendicazioni, quasi sempre riconducibili ad azioni atte a mettere fuori uso i siti di realtà come Enel, Agcom, Equitalia, di vari siti istituzionali o di celebrità come Vittorio Sgarbi. Particolarmente celebre fu un attacco rivendicato nei confronti di Expo 2015.

L’obiettivo della cyberwar: servizi fondamentali, infrastrutture critiche e dati strategici

L’obiettivo di qualsiasi cyberwar è quella di creare un danno ad una nazione avversaria, per sfiancarla anche senza dover ricorrere ad un’occupazione di natura militare. In questo contesto, possiamo dire che il mondo è ormai costantemente un teatro per varie guerre cibernetiche, in cui il bersaglio è costituito dalle infrastrutture critiche e dalle aziende che svolgono servizi fondamentali per l’economia di un paese.

La logica di un attacco cyberwar è molto semplice. Se si riesce a danneggiare o assumere il controllo del sistema informatico che gestisce un’infrastruttura o un servizio, è possibile creare un danno evidente all’avversario. Per mettere fuori uso un aeroporto non occorre per forza bombardarlo. È sufficiente mettere fuori uso i computer che gestiscono i radar. Allo stesso modo potrei generare un grave disagio alla popolazione civile se mettessi fuori uso i sistemi informatici degli ospedali. Potrei bloccare i treni mandando in tilt il sistema semaforico che regola le precedenze. Potrei disabilitare una centrale elettrica creando una grave blackout, e cosi via.

Una cyberwar può avere effetti di varia portata, compatibilmente con la tipologia di attacco condotto, proprio come nel caso di una guerra tradizionale, in cui si può scendere in campo per una semplice azione dimostrativa, colpendo un obiettivo sensibile a scopo intimidatorio, o provare una violenta azione di occupazione dei territori nemici, con conseguenze che molto spesso risultano del tutto imprevedibili.

Anche se fortunatamente non si sono ancora verificati episodi di questo genere, un attacco informatico potrebbe, nel caso più estremo, dare luogo ad una guerra nucleare, qualora si riuscisse a controllare i sistemi informatici che regolano il lancio degli ordigni, bypassando tutte le autorizzazioni impostate dai rispettivi sistemi di difesa nazionali.

Lo scenario più diffuso vede un’azione costante e perpetua, altrimenti nota come attacchi di tipo APT (Advanced Persistent Threat), che costituisce una minaccia continua ormai per quasi tutte le nazioni, con una netta prevalenza per quelle situazioni in cui sono latenti delle tensioni su più fronti. Non è un caso che tra i principali finanziatori, e vittime, di attacchi di natura nation state, compaiano Cina, Russia, Stati Uniti, Iran e Corea del Nord.

Le armi della guerra cibernetica

Le attività che danno luogo e forma ad una cyberwar sono molto varie, così come l’arsenale informatico a disposizione degli hacker schierati sui vari fronti dell’offensiva. Quale riepilogo delle situazioni citate in precedenza, le operazioni più diffuse nel contesto delle guerre cibernetiche sono le seguenti:

  • Virus, Phising, Worm e Malware in grado di colpire una grande varietà di sistemi informatici ed utilizzati ad esempio per colpire le infrastrutture critiche;
  • Attacchi DDoS (Distributed Denial of Service) per sovraccariche i sistemi rendendoli di fatto inutilizzabili. Tali attacchi vengono utilizzati molto spesso per colpire i siti e le infrastrutture IT delle istituzioni attraverso il sovraccarico dei loro server;
  • Esfiltrazione e furto di dati di rilevanza critica e strategiche dai server degli enti pubblici, governativi e delle aziende impegnate a gestire servizi fondamentali e infrastrutture critiche per il paese;
  • Spyware e tecniche di cyberspionaggio per rubare informazioni strategiche per la sicurezza e la stabilità delle nazioni coinvolte;
  • Ransomware per paralizzare l’attività dei sistemi informatici delle enti pubblici e delle aziende che si occupano di infrastrutture critiche e servizi fondamentali;
  • Propaganda e campagne di disinformazione, utili a destabilizzare l’opinione pubblica o a convincerla di verità di comodo.

La disinformazione: un’arma incredibilmente potente

La destabilizzazione dell’avversario si può raggiungere sia colpendo le sue infrastrutture critiche e i servizi fondamentali, che svolgendo una diabolica attività di disinformazione, soprattutto sfruttando la superficialità con cui il cittadino medio utilizza i social network, fermandosi quasi sempre alla lettura dei titoli, verificando assai di rado la veridicità delle informazioni contenute in una news.

Gli stessi media sono spesso poco attenti nel verificare che le fonti e a svolgere un fact checking che almeno per ragioni puramente deontologiche sarebbero tenuti ad effettuare prima di pubblicare o condividere in maniera altrimenti sconsiderata ed irresponsabile certi contenuti. La manipolazione dell’opinione pubblica attraverso la diffusione di fake news costituisce un’arma incredibilmente potente e i governi di certe realtà stanno investendo in maniera significativa per quanto riguarda la diffusione di false informazioni sia all’interno che all’esterno dei propri confini nazionali.

In alcune realtà, come la stessa Russia o la Cina, giusto per citare due superpotenze in prima linea nelle cyberwar, è molto difficile per la popolazione accedere liberamente alle informazioni diffuse su internet, a causa della notevole lista di censure che impedisce l’accesso agli IP stranieri, in particolar modo a quelli occidentali. I governi di questi paesi esercitano un controllo maniacale sull’informazione in modo da condizionare l’opinione pubblica limitando il possibile dissenso interno.

Con altre dinamiche, anche i paesi occidentali mentono spesso all’opinione pubblica, o adottano strategie atte a diffondere notizie per distogliere l’attenzione dagli aspetti potenzialmente più critici del loro operato.

Per contrastare queste dinamiche, a prescindere dalla bandiera da cui provengono, sono da tempo attivi dei collettivi indipendenti come Bellingcat, organizzazione che si avvale del contributo volontario di esperti nel giornalismo investigativo. La particolarità di Bellingcat è quella di utilizzare fonti presenti online, pubblicamente accessibili da tutti, in particolare i cosiddetti contenuti generati dagli utenti comuni e diffusi sui social network.

Altre realtà, come l’inglese Forensics Architecture, svolgono delle vere e proprie indagini basandosi sulla ricostruzione degli eventi, in base a prove e testimonianze dirette. Grazie ai risultati ottenuti sulla base della simulazione 3D e di altre tecnologie vengono puntualmente smentite le versioni ufficiali di alcuni eventi, sbugiardando in maniera palese l’operato dei governi in determinate situazioni.

Oltre all’attività sul campo, Bellingcat, anche nel contesto di autofinanziare le proprie attività, realizza corsi di giornalismo investigativo spiegando nel dettaglio le tecniche utilizzate per analizzare le fonti online, anche al fine di sensibilizzare e diffondere una cultura che non si accontenta delle verità di facciata, ma intende approfondire la reale dinamica degli eventi per contrastare il pericoloso e sempre più diffuso fenomeno della disinformazione.

In generale, il ruolo dell’informazione nel contesto delle tensioni internazionali sta profondamente variando, in maniera analoga a quanto succede per qualsiasi evento o situazione nell’ambito delle principali attività socio-economiche. La grande rilevanza assunta dai social network grazie ai contenuti generati dagli utenti ha cambiato per sempre il ruolo del giornalismo e il modo con cui le persone accedono alle notizie, con tutti i pro e i contro del caso.

Le gli effetti collaterali della cyberwar: i rischi per le aziende connesse alla rete

Anche se non vi è di per sé un nesso tra causa ed effetto, le cyberwar sono in grado di generare danni notevoli anche alle realtà che, almeno in apparenza, non presentano alcun coinvolgimento con i vari litiganti in causa.

L’incredibile quantità di materiale malevolo diffuso nella rete per colpire gli obiettivi delle guerre informatiche non svanisce infatti nel nulla, ma continua a circolare infettando pericolosamente una grande quantità di dati, rischiando di coinvolgere soprattutto chi con la cyberwar in questione non c’entra assolutamente niente. In altri termini, tra le vittime di quelli che potremmo definire gli effetti collaterali di una cyberwar ritroviamo potenzialmente tutte le aziende connesse alla rete internet.

In merito alla situazione Russia-Ucraina, il CSIRT (Computer Security Incident Response Team), che fa riferimento all’Agenzia per la Cybersicurezza Nazionale (ACN), ha ad esempio pubblicato un bollettino che comprende una serie di raccomandazioni in merito alla prevenzione e al monitoraggio della sicurezza dei sistemi informatici, a seguito del notevole innalzamento della minaccia. Più che soffermarsi su aspetti di carattere IT, gran parte dei contenuti è relativa a consigli di buona igiene informatica, in maniera molto simile a quanto già suggerito dagli omologhi organi di sicurezza del Regno Unito e degli Stati Uniti.

La ragione di tale condotta ha assolutamente senso, dal momento che il materiale malevolo diffuso nel contesto di una cyberwar coincide con la maggior parte delle minacce comuni, per cui una certa educazione e cultura in fatto di sicurezza informatica è utile e sufficiente a scongiurare almeno la maggior parte delle minacce dovute a malware e phising che possono colpire gli endpoint dei dipendenti aziendali.

Cyberwar: cos’è e come si combatte la guerra cibernetica ultima modifica: 2022-02-28T23:59:30+01:00 da Marco Lorusso

LASCIA UN COMMENTO

Per favore inserisci il tuo commento!
Per favore inserisci il tuo nome qui