Cyberwar, cosa abbiamo imparato dalla guerra russo-ucraina un anno dopo

Nel primo anniversario dell’invasione russa dell’Ucraina e senza trascurare in alcun modo il gran numero di morti, profughi e sfollati tra la popolazione civile che la guerra sta causando e che costituiscono il vero problema da risolvere, questo contributo ha come obiettivo quello di riassumere quanto abbiamo imparato durante l’anno di conflitto definito come la prima cyberwar.

Alcune premesse sono necessarie. Poiché la nebbia della guerra non si è ancora alzata, è necessario ricordare che ogni analisi è parziale dato le molte informazioni non ancora disponibili. Ad esempio, in questi giorni è apparso un autorevole rapporto dei servizi di intelligence olandesi secondo il quale buona parte delle intrusioni russe non sono ancora di dominio pubblico perché non ancora scoperte o con l’intenzione di non non rivelare le vulnerabilità sfruttate dagli attaccanti. Secondo il rapporto, queste intrusioni hanno come obiettivo lo spionaggio ed utilizzano informazioni raccolte in campagne di intrusione e phishing condotte dalla Russia nell’anno precedente all’invasione. Una ulteriore premessa, quasi complementare alla precedente, è che le intrusioni informatiche per loro natura diventano visibili solo quando hanno successo, capita spesso che la robustezza di un sistema le blocca provocandone così il fallimento. In questo caso, spesso un osservatore esterno può non avere evidenze dell’intrusione. Quindi, nel seguito, parleremo solo delle intrusioni pubbliche che hanno avuto successo o che hanno lasciato qualche traccia visibile ad un osservatore esterno. La sensazione è che, per alcune delle ragioni discusse nel seguito, molte intrusioni siano fallite, ed anche di questo occorre tener conto.

Tattiche e tecniche utilizzate dalla Russia nella cyberwar

Da un punto di vista puramente informatico, non ci sono state innovazioni significative nelle tattiche e nelle tecniche utilizzate nelle intrusioni rese pubbliche. Abbiamo assistito all’uso di strumenti tradizionali quali phishing e wiper. Ad esempio, ufficialmente l’invasione russa è iniziata il 24 febbraio 2022, ma in realtà le intrusioni informatiche sono cominciate molto prima con attacchi di phishing tesi a scoprire informazioni utili a garantire l’accesso nei sistemi ucraini. Indichiamo con accesso iniziale le azioni che permettono ad un attaccante di poter accedere in una infrastruttura informatica e che costituiscono il primo passo di una intrusione.

Sostanzialmente, per tutto il 2021 si è osservato un aumento delle campagne di phishing condotte da agenti russi con picchi a Marzo-Aprile ed a Settembre-Ottobre. In 11 giorni, nel secondo periodo, FrozenLake ha inviato più di 14.000 mail di phishing. FrozenLake è un gruppo che altri chiamano FancyBear e che fa parte del GRU, Direttorato generale per le informazioni militari, il servizio informazioni delle Forze armate russe che dipende direttamente dal capo di Stato maggiore. FrozenLake è il gruppo a cui è attribuita l’intrusione contro il comitato elettorale del partito Democratico USA durante le elezioni presidenziali del 2016.

Dieci giorni prima dell’invasione, la Russia ha lanciato una intrusione, fallita, contro istituzioni ucraine per ridurre l’efficacia delle azioni di coordinamento del governo ucraino. Successivamente, la Russia è passata all’uso massiccio di malware di tipo wiper. Un wiper è un programma che cancella le informazioni sui siti attaccati al fine di impedire l’uso dei siti stessi. Il giorno prima dell’invasione, è stato lanciato un malware wiper contro 19 enti governativi ed infrastrutture ucraine. MSTIC, il Microsoft Threat Intelligence Center ha chiamato questo wiper Foxblade. Il wiper è stato sviluppato da un altro gruppo operativo del GRU che Microsoft chiama Iridium, mentre Google lo identifica come FrozenBarents ed altri Sandworm. E’ lo stesso gruppo che ha sviluppato NotPetya, il wiper mascherato da ransomware che ha colpito l’Ucraina nel 2017. Dopo Foxblade, sono rilevati altri attacchi wiper o comunque di malware distruttivi contro 48 enti ed imprese ucraine. Questi dati sono stati confermati dal CyperPeace Instute di Ginevra, un ente indipendente e no profit con sede a Ginevra.

Una analisi più dettagliata della strategia russa dimostra che le intrusioni informatiche non sono isolate ma vengono integrate con attacchi fisici condotti con armi tradizionali per aumentarne il potere distruttivo. Secondo molti analisti questa strategia si diffonderà e quindi anche nelle guerre future le intrusioni informatiche si combineranno con gli attacchi fisici senza sostituirli. Una differenza fondamentale emersa in quest’anno è che, con la notevole eccezione dell’attacco a ViaSat, le forze armate russe hanno posto estrema attenzione a confinare la diffusione dei malware nel territorio ucraino. Non si è più ripetuta la diffusione indiscriminata e devastante di NotPetya che, uscito ben presto dal territorio ucraino, ha devastato sistemi informatici in tutto il mondo. Limitare la diffusione di un malware richiede controlli sofisticati e potenzialmente costosi in termini di tempo.

In generale, il numero di casi in cui l’attacco fisico è stato coordinato con una intrusione informatica è stato molto limitato rispetto al numero di attacchi fisici, di conseguenza si può affermare che il numero di intrusioni informatiche di molto inferiore a quello degli attacchi fisici. Questa limitazione è legata ad un’altra proprietà delle intrusioni informatiche che forse già sapevamo, ma che un anno di invasione russa ha confermato. Le intrusioni informatiche possono essere armi estremamente devastanti e quindi potenti ma, contemporaneamente, sono

  1. operativamente lente, cioè lunghe da preparare anche se poi sono eseguite in tempi brevi;
  2. con impatti che è difficile:
    • prevedere in modo accurato,
    • controllare.

Una intrusione informatica è lunga da preparare perché richiede informazioni sulla struttura del sistema da attaccare, sui moduli che lo compongono, sulle loro vulnerabilità e sugli attacchi che le vulnerabilità abilitano. Tutte queste informazioni devono essere raccolte prima dell’intrusione o, se questo non è possibile, durante l’intrusione stessa. E’ possibile che le numerose campagne di phishing russe prima dell’invasione non abbiamo raccolto informazioni sufficienti per realizzare un maggior numero di intrusioni o che le intrusioni non siano state preparate a causa di una previsione errata sul tempo necessario per sconfiggere l’Ucraina.

Un’altra ragione del ridotto numero di intrusioni coordinate può essere la difficoltà di prevederne gli impatti. Questa difficoltà nasce perché c’è necessariamente un ritardo tra la raccolta delle informazioni ed il loro uso in una intrusione. In questo intervallo, il sistema da attaccare può essere cambiato, ad esempio una vulnerabilità fondamentale per una intrusione può essere patchata oppure il modulo afflitto dalla vulnerabilità può essere diventato irraggiungibile a causa dell’aggiornamento di una regola di un firewall. Queste operazioni richiedono tempi estremamente ridotti ma sono risolutive nel bloccare l’intrusione. Ovviamente può essere possibile modificare i vari passi dell’intrusione e raggiungere ugualmente gli obiettivi originali, ma questo richiede tempo e questo tempo può non essere disponibile se l’attacco con cui coordinarsi è già in atto.

Infine, gli impatti dell’intrusione sono difficili da controllare. Esempi tipici sono quelli di NotPetya e di Stuxnet. Entrambi i malware si sono diffusi all’esterno di quello che pare essere stato il dominio di interesse ma Stuxnet, molto più sofisticato nei controlli per limitarsi a tale dominio, non ha avuto gli effetti devastanti di NotPetya. E’ possibile includere in un malware controlli rigorosi ed accurati per limitare gli impatti al di fuori di una certa area geografica, come pare stia facendo l’esercito russo, ma questo rallenta lo sviluppo ed aumenta il tempo per raccogliere le informazioni.

Molti ricercatori di cybersecurity e cyberwar hanno evidenziato la correlazione inversa tra velocità di preparazione, impatti certi e controllo. Quando uno dei parametri migliora, gli altri peggiorano. Ad esempio, è possibile preparare ed eseguire una intrusione in tempi brevi al prezzo di potenziali insuccessi, e quindi impatti incerti, e di scarso controllo sugli effetti che possono essere anche molto superiori a quelli previsti. Se, invece, desideriamo un grande controllo sugli impatti è necessaria una grande quantità di informazioni e questo aumenta non solo il tempo per raccoglierle ma anche quello per progettare e realizzare l’intrusione.

Inoltre gli effetti saranno non certi proprio perché limitiamo i possibili impatti. Per questa ragione, alcuni parlano di un trilemma che si pone durante una cyberwar quando occorre decidere quale dei tre parametri privilegiare in una intrusione. Tenuto conto dei vari dilemmi e trilemmi, quando è possibile operare con un missile invece che con una intrusione è chiaro che verrà preferito il missile.

Total warfare e attacchi distruttivi, la strategia della Russia

In quest’anno di guerra si è osservato un cambiamento delle incursioni russe. Mentre inizialmente tali intrusioni erano limitate a ridurre l’efficacia dei militari e del governo ucraino, ora sembrano essere progettate per essere distruttive ed aumentare gli impatti sulla popolazione civile. Questo spiega gli attacchi distruttivi alle infrastrutture per distribuzione di energia elettrica e gas. La priorità data alla distruzione è confermata dal fatto che in molte intrusioni si è preferito massimizzare gli impatti anche a costo di rivelare la capacità russa di accedere ad infrastrutture ucraine, capacità che ovviamente è stata persa dopo l’intrusione. Alcune analisi evidenziano come la strategia dell’Ucraina sia centrata su operazioni contro l’esercito russo mentre la Russia sta utilizzando una politica di total warfare in più domini, compreso quello cyber, contro l’Ucraina e la sua popolazione.

Oltre alle intrusioni, la Russia opera nel dominio delle informazioni con la diffusione di fake news e la propaganda. Sostanzialmente, queste azioni hanno come obiettivo quello di demoralizzare la popolazione ucraina e diminuirne la resilienza all’intrusione. Ad esempio attacchi fisici contro infrastrutture critiche per la distribuzione di energia e gas sono state integrate non solo con intrusioni informatiche ma anche con campagne psicologiche che hanno diffuso informazioni di propaganda che attribuivano gli effetti degli attacchi, quali mancanza di luce elettrica o di riscaldamento, alle autorità ucraine. Altri attacchi nel dominio delle informazioni hanno diffuso video deep fake con falsi video televisivi che annunciavano la fuga di Zelensky ed invitavano le truppe ucraine ad arrendersi.

La diffusione di notizie false ha avuto luogo anche in occidente e sono state segnalate intrusioni contro reti sociali in paesi occidentali, ad esempio in Polonia, per diffondere documenti falsi a favore dell’invasione. Queste azioni nel dominio delle informazioni confermano l’adozione da parte russa della dottrina che postula l’esistenza di un unico spazio informatico su cui si deve operare e che comprende sia le informazioni per la gestione di infrastrutture che quelle per influenzare e manipolare la pubblica opinione. Il già citato rapporto dell’intelligence olandese evidenzia come spesso la stessa unità operativa e le stesse persone siano responsabili di intrusioni informatiche per spionaggio, per sabotaggio di infrastrutture critiche e per la diffusione di fake news e propaganda.

E’ interessante ricordare che, secondo Google e Mandiant, la maggior parte della propaganda non è però rivolta all’esterno ma all’interno e mira ad aumentare il favore del popolo russo per l’invasione e per la strategia di Putin. Ad esempio, circa il 93% delle informazioni sono state diffuse solo in lingua russa.

Un particolare tipo di coordinamento o di supporto dell’esercito russo è stato stabilito con alcuni, non tutti, gruppi criminali russi che hanno intensificato le loro intrusioni in generale finalizzate alla installazione di ransomware contro obiettivi nel mondo occidentale. Il gruppo più noto è Conti, una gang che anche fonti russe indicano in stretto rapporto con il governo russo. I legami tra Conti e i servizi di intelligence e sicurezza russi sono così accertati che molte vittime della gang preferiscono non pagare il riscatto per la chiave di decrittazione per il timore di essere poi accusati di violare le sanzioni contro lo stato russo. Come verificato da Chainanalyis, società che analizza i flussi di criptovalute, ciò ha portato ad una drastica riduzione degli incassi della gang. Alla luce di queste evidenze, non è azzardato ipotizzare che la Russia stia ripetendo, almeno in parte, quanto da anni sta facendo la Corea del Nord che usa le intrusioni informatiche come mezzo per acquisire risorse finanziare in violazione delle sanzioni internazionali. E’ comunque evidente che non ci sia stata la temuta impennata di attacchi ransomware pronosticata all’inizio dell’invasione. Si è comunque osservata una forte innovazione nelle tecniche e tattiche usate nelle gang nelle loro intrusioni ransomware che avrà forti ricadute anche dopo la fine della guerra.

Tecniche difensive dell’Ucraina, le scelte vincenti

L’analisi delle tecniche difensive utilizzate contro le intrusioni evidenzia che la migrazione delle varie applicazioni e dei vari sistemi su architetture cloud allocate fisicamente fuori dall’Ucraina è stata una delle mosse vincenti che ha permesso al governo ucraino di continuare le proprie attività. Una lezione importante per la progettazione e gestione delle infrastrutture della pubblica amministrazione ed in particolare di quelle per la difesa.

L’ultima considerazione introduce quella che riteniamo la lezione più importante di quest’anno poiché la migrazione delle applicazioni e dei sistemi è stata possibile in tempi estremamente brevi grazie a personale di aziende informatiche private ed ha avuto successo grazie all’utilizzo di infrastrutture informatiche private. Siamo ben oltre la parternship tra pubblico e privato di cui si parla spesso nel campo della cybersecurity in riferimento, ad esempio, alle infrastrutture critiche perché abbiamo un pesante coinvolgimento di aziende private nello scontro informatico e quindi nella guerra in atto. Molte aziende private operano nelle infrastrutture informatiche ucraine, le difendono dagli attacchi, analizzano gli attacchi ed informano il mondo informatico. Altre aziende operano sulle proprie infrastrutture per limitare altre offensive russe, ad esempio Google ha individuato ed eliminato circa 2.000 attività russe coinvolte nella diffusione di fake news e propaganda. Ad ulteriore conferma del coinvolgimento del settore privato, per la prima volta, le informazioni interessanti sugli scontri in atto non provengono dai bollettini di guerra ma da rapporti di aziende nazionali e multinazionali attive nella sicurezza informatica.

E’ chiaro che senza il coinvolgimento di queste aziende, e soprattutto delle grandi multinazionali informatiche, la difesa informatica dell’Ucraina non sarebbe stata cosi efficace. E’ talmente ovvio che molte nazioni si stanno ponendo il problema di quali rapporti stabilire con le multinazionali per poter disporre delle persone con le competenze necessarie a difendere le proprie infrastrutture in tempo di pace e di poter aumentare tali persone durante una guerra. Questo punto viene focalizzato da un rapporto dell’Aspen Digital, che discute il problema della CDA o cyber defence assistance che un gruppo di nazioni e di industrie può prestare ad una nazione prima, dopo e durante una guerra per aiutarla a migliorare le sue difese. Anche se la definizione di CDA fa riferimento a nazioni ed aziende, il rapporto evidenzia che la maggior parte della CDA è, come nel caso dell’Ucraina, a carico delle aziende poiché sono le sole ad avere la flessibilità e le risorse per prestare assistenza celermente ed in qualunque parte del mondo. Non si tratta quindi nemmeno di piccole o medie aziende ma di grandi multinazionali. La necessità di coinvolgere multinazionali informatiche pone il problema di come creare dei rapporti permanenti tra loro e gli Stati. Il modello ucraino dove le aziende hanno creato una associazione, la Cyber Defense Assistance Collaborative o CDAC, non è utilizzabile nei tempi lunghi che richiedono rapporti più strutturati e stabili. Questi rapporti porteranno probabilmente ad aggiornamenti del diritto in tempi di pace ed in guerra, sullo jus ad bellum e lo jus in bello. Se una multinazionale difende le infrastrutture di uno Stato durante una guerra, i nemici di questo Stato possono attaccare quest’azienda ed i suoi dipendenti? Cosa cambia se la sede dell’azienda è in uno Stato terzo che non è in guerra, almeno ufficialmente? Le risposte a queste ed altre domande determineranno molti dei possibili scenari delle future cyberwar.

Bibliografia

 

Articolo a cura di Fabrizio Baiardi, Dipartimento di informatica, Università di Pisa & Haruspex srl

Profilo Autore

Full Professor, Università di Pisa
E' attualmente è professore ordinario di Informatica presso l'Università di Pisa dove coordina il gruppo di ricerca su ICT risk assessment and management. La sua attività di ricerca è focalizzata su strumenti e metodi formali l'automazione dell'analisi e la gestione del rischio.

Condividi sui Social Network:

Articoli simili