Cyber attacchi: escalation tra Russia e Ucraina negli ultimi anni

La comunità hacker si sta schierando nella guerra “ibrida” lanciata dalla Russia nei confronti dell’Ucraina. Gruppi ransomware e collettivi di hacktivisti come Anonymous stanno velocemente prendendo posizione nel conflitto che da settimane scuote il mondo.

Prima della dichiarazione di guerra all’Ucraina: Crimea ed Euromaidan

Putin dichiara guerra ufficialmente all’Ucraina il 20 febbraio 2022, ma l’offensiva cyber del Cremlino risale già al 2013, anno che segnò l’inizio del vasto movimento di protesta sviluppatosi in Ucraina chiamato Euromaidan (Europiazza). Le grandi rivolte pro-europeiste furono un forte segnale della volontà del popolo ucraino di avvicinarsi maggiormente all’Europa e all’occidente, in contrapposizione alle scelte dell’ex presidente ucraino filorusso Viktor Janukovyč. È in questo contesto che la Russia inizia una serrata campagna hacking, poi soprannominata Armageddon. A questa serie di attacchi state-sponsored, negli anni successivi seguirono – parallelamente alla guerra in Crimea – numerosi attacchi DDoS alla rete elettrica ucraina provocando estenuanti black-out.

Un clima dunque già molto teso precede i catastrofici eventi di questi giorni. La più recente serie di attacchi ha inizio nella notte tra il 13 e il 14 Gennaio, quando vengono presi d’assalto più di 70 siti internet del governo ucraino: il Ministero degli Affari Esteri, dell’Educazione, della Difesa insieme a molti altri rimangono offline per alcune ore. Su tutti i siti un messaggio in russo, polacco e ucraino recita: «Cittadini ucraini! Tutte le informazioni su di voi sono diventate pubbliche, abbiate paura e aspettatevi il peggio.»

L’intelligence russa dietro una serie di nuovi malware wiper

Non si dovrà attendere molto per avere prova di quanto precedentemente affermato. Il 15 gennaio il Microsoft Threat Intelligence Center dirama l’allarme su WhisperGate, un malware wiper che prende di mira diverse agenzie governative ucraine. Il malware agisce inizialmente comportandosi come un ransomware, ma invece di criptare i dati li cancella definitivamente, senza fornire possibilità di recupero. L’attacco è ritenuto essere opera della stessa Federazione Russa.

WhisperGate condivide infatti alcune somiglianze con NotPetya, un worm attribuito nel 2017 al gruppo Sandworm, che si ritiene faccia parte del GRU (Glavnoje Razvedyvatel’noje Upravlenije, traducibile come “direttorato principale per le attività informative offensive”) uno dei servizi di intelligence di Mosca. La gang di hacker causò nel 2015 un black out di circa 6 ore in Ucraina, lasciando senza corrente più di 230mila persone. Sandworm è molto probabilmente anche l’artefice di Industroyer, un malware specificatamente creato per attaccare le reti elettriche, che provocò l’interruzione di corrente a Kiev tra il 2016 e 2017.

L’aggressione russa è solo agli inizi. Il 23 Febbraio il National Cyber Security Center identifica un altro malware ad opera del gruppo Sandworm/Voodoo Bear, denominato Cyclops Blink che colpisce dispositivi che utilizzano il firewall WatchGuard e sembra essere una rivisitazione di VPNFilter, scoperto nel 2018. Cyclops Blink è un malware sofisticato e modulare, con una funzionalità di base che consente di inviare le informazioni del dispositivo a un server e di scaricare ed eseguire file. È possibile inoltre aggiungere nuovi moduli mentre il malware è in esecuzione, permettendo agli hacker di implementare le sue capacità nel tempo.

Ma Cyclops Blink non è il solo a scatenare preoccupazione: lo stesso giorno ESET rilascia un report su Hermetic Wiper e IsaacWiper, malware distruttivi scagliati contro oltre 100 organizzazioni nei settori della finanza, della difesa, dell’aviazione e dei servizi IT in Ucraina.

A questi si aggiunge Foxblade, un nuovo ceppo di malware scoperto dai ricercatori Microsoft. Il malware attacca in maniera mirata, e oltre a lanciare DDoS può installare altri virus nel device infetto, risultando molto pericoloso. Sia Foxblade che HermeticWiper sono stati rilasciati strategicamente poche ore prima che la Russia invadesse l’Ucraina.

L’offensiva russa tra propaganda e disinformazione

In questa information warfare il Cremlino fa affidamento su tre tipologie di armi: propaganda, disinformazione e cyberspionaggio. Innumerevoli attacchi DDos formalmente attribuiti all’intelligence russa GRU, hanno reso irraggiungibili molti siti militari, governativi e bancari ucraini.

La fazione pro-Putin si scaglia ovviamente anche contro l’informazione e la cultura; Kyiv Post, il maggiore quotidiano in lingua inglese in Ucraina, ha dichiarato di trovarsi “sotto costante attacco informatico dal momento in cui la Russia ha lanciato un’offensiva militare contro l’Ucraina”.

Inoltre i ricercatori di Wordfence, sito host per più di 30 università ucraine, hanno riferito di aver subito un “attacco massiccio” e di aver identificato come autore dei colpi il gruppo hacker pro-Russia theMx0nday.

Molti altri i gruppi che sostengono Mosca: tra i casi più eclatanti quello del famigerato gruppo Conti, che ha dovuto fronteggiare un enorme data leak messo a segno da un ricercatore ucraino a seguito delle bellicose dichiarazioni della cyber-gang contro i nemici della Russia.

Operazioni di cyber spionaggio ad opera del gruppo che si fa chiamare, alternativamente, Gamaredon, Shuckworm o PrimitiveBear, vengono individuate il 31 Gennaio dai ricercatori di Symantec. Anche qui si ritiene che a muovere i fili sia il Servizio federale per la sicurezza della Federazione russa (FSB). Secondo gli analisti, gli attacchi erano stati lanciati già a luglio 2021 tramite operazioni di spear phishing via email con allegati in formato Word. Una volta aperti, i file installano sui dispositivi Pteranodon, backdoor già conosciuta e utilizzata dal gruppo Gamaredon da oltre 7 anni.

Alcuni cittadini ucraini hanno inoltre ricevuto una serie di falsi SMS che annunciavano chiusure di ATM, con l’evidente intento di creare il panico nella popolazione. Messaggi minacciosi sono stati inviati anche alle truppe del paese, secondo quanto riportato dal Dailybeast.

Il 24 febbraio un account nominato “FreeCivilian” all’interno di RaidForums ha affermato di essere in possesso di dati sensibili personali di oltre due milioni di cittadini ucraini ottenuti hackerando il portale del Ministero della Trasformazione Digitale ucraino. Fonti ufficiali hanno però smentito la notizia, affermando che si tratti dell’ennesimo tentativo di minare la credibilità del governo ucraino.

Sempre il 24 febbraio NetBlocks registra un importante interruzione della connessione internet a Kharkiv, la seconda città ucraina per popolazione. La regione è una delle più colpite dall’offensiva militare russa, duemila le vittime finora stimate.

Nella giornata del 28 febbraio Meta, ex Facebook, ha riportato un aumento nei tentativi di violazione di alcuni profili di personalità di rilievo ucraine. Gli attacchi sono stati ricondotti al gruppo Ghostwriter. Il social network ha individuato e chiuso inoltre diverse pagine che diffondevano fake news in supporto alle azioni militari di Putin.

L’appello dell’Ucraina per una cyber army contro Mosca

L’assedio cyber da parte dei sostenitori di Putin costringe Mykhailo Fedorov, vice ministro e ministro per la trasformazione digitale ucraina, a reclutare ufficialmente un esercito di volontari per la cyber-difesa del paese. L’evento è senza precedenti, perché il compito della cosiddetta ITarmy, che ad oggi conta più di 270.000 volontari sul gruppo Telegram dedicato, è non solo quello di rafforzare e difendere la debole infrastruttura tecnologica del paese, ma anche di colpire una serie di obiettivi strategici, raccolti in una lista rilasciata dallo stesso ministero.

Le azioni degli hacktivisti pro Ucraina

In questo scenario numerosi gruppi hacker iniziano a scendere in campo in difesa dell’Ucraina. L’account twitter CyberKnows sta attualmente tracciando tutti i gruppi che si stanno unendo alla lotta, e la lista aumenta di giorno in giorno.

Tra i più conosciuti, Anonymous che su Twitter afferma di aver colpito portali governativi e provider russi.

I tweet contenenti il data leak sono stati poi rimossi per evitare la chiusura dell’account. Dalla stessa pagina è stato annunciato un data breach nei confronti della banca russa Sberbank, messo a segno dal gruppo affiliato GNG.

Il 26 febbraio Anonymous Liberland e Pwn-Bär Hack hanno rilasciato 200 gb di presunte mail esfiltrate al produttore di armi bielorusso Tetraedr.

NB65, affiliato di Anonymous, come riportato dall’Ansa, ha affermato inoltre di aver hackerato il sito dell’agenzia spaziale russa Roscosmos. La notizia è stata smentita da Mosca, ma la Russia ha comunque voluto sottolineare che ogni tentativo di hacking della propria rete satellitare sarà considerato un atto di guerra.

Tra le varie azioni dei militanti cyber, spicca poi quella del 27 febbraio ad opera del gruppo Belarusian Cyber Partisan, che è riuscito a bloccare dei treni a Minsk, Orsha e Osipovichi, nel tentativo di rallentare l’avanzata delle truppe russe in partenza dalla Bielorussia. Il gruppo di hacktivisti che si oppone al regime di Lukashenko si era già fatto notare in passato per un data leak nei confronti della polizia Bielorussia che conteneva archivi segreti con liste di presunti informatori e spie al servizio del governo.

Nella stessa giornata il fronte opposto ha attaccato una stazione della dogana ucraina a Siret con un wiper, probabilmente HermeticWiper, provocando un forte rallentamento nelle procedure per i profughi che cercavano di entrare in Romania.

Risale a ieri invece la notizia che Anonymous avrebbe hackerato alcuni canali televisivi russi mostrando le immagini della guerra, nel tentativo di contrastare la falsa narrazione promossa dal regime di Putin, che sta sottoponendo il suo popolo a una fortissima censura e repressione del dissenso.

Gli esperti avvertono sul rischio “spillover”

Gli attacchi procedono di minuto in minuto da entrambe le fazioni e la situazione rimane in costante aggiornamento. É bene ricordare che questo tipo di azioni, oltre che essere illegali, possono avere effetti catastrofici poiché le campagne di hackeraggio possono interferire con eventuali operazioni strategiche militari di ambo le parti.

Gli esperti di cyber sicurezza avvertono inoltre che le operazioni di cyberwarfare potrebbero estendersi a livello globale poichè nel cyberspazio i confini nazionali contano ben poco.

Fondamentale dunque, per ogni Stato anche quelli non direttamente coinvolti, verificare che le misure di sicurezza messe in atto siano efficaci ed aggiornate se non ci si vuole trovare impreparati dinanzi a queste minacce in continua evoluzione.

 

Articolo a cura della Redazione

Condividi sui Social Network:

Articoli simili