Lo spionaggio cibernetico: eventi, scenari, protagonisti, finalità

Da lungo tempo, sul significato del termine spionaggio informatico è in corso un acceso dibattito tra esperti, opinion leader, finanche autorevoli “attori protagonisti” del settore. In molti paesi, soprattutto tra le diverse agenzie di intelligence governative, esistono punti di vista diversi, spesso generati da svariate considerazioni riconducibili alla tipologie di attività svolte o derivanti dalle esperienze maturate nel corso del tempo. In uno scenario come quello descritto, è facile comprendere quale possa essere il livello di difficoltà da affrontare durante la fase di comprensione delle metodologie, delle tecniche e della cultura da adottare per le azioni di cyber espionage e cyber counterintelligence.

Tuttavia, alcuni fattori come l’entità e la natura dei danni causati dall’attacco, l’identità degli attacchi, le modalità di acquisizione delle informazioni rubate sono più che sufficienti a identificare, in maniera inequivocabile, quali possano essere le azioni, le tecniche e le finalità perseguite nell’ambito dello spionaggio cibernetico.

All’interno del manuale di Tallinn[1], pubblicato nel 2013 a seguito di una conferenza ospitata presso il NATO Cooperative Cyber Defense Center of Excellence, si tenta di chiarire il significato di cyber espionage, definendolo “…un atto intrapreso clandestinamente o con l’inganno che utilizza le capacità informatiche per raccogliere (o tentare di raccogliere) le informazioni con l’intenzione di comunicarle alla parte avversa”. Questa definizione, forse più di ogni altra, consente di chiarire in maniera inequivocabile le finalità e il livello di strategicità di settore di studio e ricerca.

Lo spionaggio cibernetico rappresenta uno dei più importanti e interessanti contesti cognitivi del mondo contemporaneo in grado di produrre una “cornice di conoscenza” utile per una molteplicità di scopi. È un campo di applicazione che può consentire all’individuo di capire come le tecnologie digitali e la rete stiano modificando il modo di comunicare a livello planetario, influenzando le relazioni sociali, commerciali, industriali e militati.

Sono due gli elementi che concorrono alla diffusione dell’immagine dello spionaggio informatico quale migliore strumento di creazione di conoscenza: il primo è dato dal fatto che rappresenta la tecnica più avanzata, efficace, economica e anonima di acquisizione delle informazioni, aspetto collegabile alla crescente dipendenza dell’individuo alle tecnologie digitali. Il secondo, non meno importante, è rappresentato dalla tendenza degli Stati-nazione ad intravedere nello spionaggio cibernetico uno strumento alternativo e certamente preferibile alla guerra convenzionale.

Una cyber war presenta indiscutibili vantaggi sui costi da sostenere, le risorse umane da impiegare, le perdite di uomini e mezzi, le complicazioni politiche che comporta un conflitto tradizionale. Una cyber war ha costi ridottissimi, ma può produrre danni incalcolabili e senza la perdita di vite umane. Inoltre può essere condotta in completo anonimato. Se è vero che un conflitto bellico classico può essere condotto solo da nazioni in grado di sostenere un consistente impegno economico e militare, è altresì vero che un conflitto digitale può essere sostenuto anche da un paese che può contare su scarse risorse umane e finanziarie.

Negli ultimi anni sono state scoperte numerose attività di spionaggio cibernetico che hanno colpito governi, agenzie di intelligence e soprattutto industrie private operanti in settori nevralgici. La maggior parte di queste attività sono state condotte da hackers ingaggiati da governi, aziende e organizzazioni di vario genere al solo fine di acquisire segreti e informazioni riservate utili per demolire o screditare l’immagine di aziende e istituzioni o per contrastare la politica condotta da paesi che occupano un ruolo a livello geopolitico.

È singolare il fatto che a tutt’oggi non esista un’area del globo in cui non sia mai verificato un cyber attacco[2]. Anche se concentrati nei paesi più tecnologicamente avanzati, come Stati Uniti, Russia, Cina e Giappone, molti attacchi hanno interessato anche paesi che occupano un posto meno rilevante nello scacchiere politico ed economico mondiale, come, ad esempio, il Sudamerica e il Sudafrica.

Le tecnologie e i metodi utilizzati per spiare le comunicazioni in rete variano a seconda dei contesti e delle finalità. Satelliti, cavi sottomarini, router, apparecchi di sorveglianza in rete, tecniche di cracking nella comunicazione, social network poisoning, sono solo alcuni degli strumenti e delle tecniche utilizzate per tale scopo. La criminalità informatica, i governi e i gruppi di attivisti sono alla costante ricerca di cyber spies capaci di infiltrarsi silenziosamente nei meandri della rete Internet per condurre azioni quasi sempre finalizzate al trafugamento di dati.

Un recente studio[3] identifica il costo dello spionaggio informatico in una cifra che oscilla dai 24 ai 120 miliardi di dollari negli Stati Uniti, e che raggiunge il trilione di dollari a livello mondiale.

Nel 2015 F-Secure ha pubblicato un interessante rapporto sulle operazioni di spionaggio condotte dal gruppo russo APT Dukes, che presumibilmente agisce sotto le direttive del governo di Mosca. Attivo fin dal 2008, il cyberespionage group russo sembra aver operato in collaborazione con strutture governative di Mosca, ma al tempo stesso sembra che abbia forti contatti anche con organizzazioni criminali operanti all’interno della Federazione Russa “…per raccogliere informazioni a sostengo del processo decisionale della politica estera e di sicurezza[4]. Particolarmente preparati, i membri del gruppo basano le operazioni di cyber-attacco principalmente su tecniche di tipo exploit zero day[5]. A Dukes viene attribuita la paternità di numerosi malware, come MiniDuke, CosmicDuke, OnionDuke, CozyDuke, CloudDuke, SeaDuke, HammerDuke, PinchDuke e GeminiDuke.

Gli obiettivi privilegiati dagli hackers russi sono il movimento separatista ceceno, i governi e le organizzazioni occidentali e africane, i ministeri e le agenzie di intelligence occidentali. Secondo gli esperti di F-Secure “I benefattori del gruppo Duke sono così potenti e così strettamente collegati al gruppo da garantire loro di poter operare senza alcun timore di essere scoperti e di poter subire ripercussioni di ogni genere. Crediamo che l’unico benefattore in grado di offrire tale protezione completa possa essere il governo della nazione da cui il gruppo opera. Riteniamo pertanto che Duke lavori sia all’interno o direttamente per un governo, escludendo così la possibilità di una banda criminale o di un altro terzo “.

Gran parte delle attività di cyber espionage rilevate in questi ultimi anni sono state condotte principalmente da Stati Uniti, Russia e Cina. Quest’ultima risulta essere la più attiva soprattutto negli attacchi diretti contro gli USA. Si stima che negli ultimi anni gli hackers cinesi si siano resi protagonisti di attacchi cibernetici contro 2.000 strutture, suddivise tra aziende, università e agenzie governative. L’interesse maggiore sembra essere rivolto soprattutto all’assimilazione di informazioni finanziarie, più facili da violare e con dati più appetibili. Il primo grande evento di spionaggio informatico è stato condotto nel 2003 attraverso una serie di attacchi contro gli Stati Uniti, identificati con il nome in codice Titan Rain. Considerato come il sistema di attacco multiplo più pericoloso al mondo (un singolo attacco poteva essere attivato e completato in soli 20 minuti), in un solo giorno è riuscito a colpire obiettivi istituzionali come la NASA e la Defense Intelligence Agency, senza contare il British Government Departments (Ministero della Difesa) del Governo britannico.

La paternità di Titan Rain è stata attribuita alla Repubblica Popolare Cinese, con lo scopo di condurre attività finalizzate allo spionaggio istituzionale e industriale, come dimostrano le penetrazioni effettuate ai sistemi informativi di Lockeed Martin, Sandia National Laboratories e Redstone Arsenal. Secondo una ricerca condotta da SANS Institute[6], gli attacchi furono condotti dagli hackers della Unit 61938, un reparto militare inquadrato all’interno del 2° Bureau del People’s liberation army (PLA), alle direttive del General staff department (GSD), 3° Dipartimento, conosciuto come Military Unit Cover Designator (MUCD)[7]. Le attività dell’unità sono classificate come segreto di Stato e sarebbero prevalentemente incentrate sulle computer network operations. La Unit 61398 avrebbe la sua sede principale a Datong Road, a Gaoqiaozhen, che si trova nella new area di Pudong, a Shanghai.

Nell’edizione 2013 del The Science of Military Strategy[8], pubblicata dal PLA, il governo di Pechino ha finalmente rotto il suo tradizionale silenzio parlando apertamente delle sue capacità in termini di digital spying, delle sue network attack forces e della conduzione di offensive cyber operations. La peculiarità più interessante dell’approccio della Cina allo spionaggio informatico, risiede nella complessa articolazione delle strutture operative dedicate. Sembra infatti che il governo di Pechino possa contare sulle seguenti tre tipologie di unità di cyber spies:

  • Forze speciali militari addestrate alla cyber war. Cui sono delegate tutte le attività difensive/offensive nel Cyberspazio;
  • Gruppi di esperti provenienti da organismi della società civile. Sono specialisti ed esperti appartenenti a organizzazioni governative, tra cui il Ministero della Sicurezza dello Stato (l’analogo cinese della CIA – Central Intelligence Agency) e il Ministero della Pubblica Sicurezza (l’analogo del Federal Bureao of Investigation – FBI). Questo personale, pur non appartenendo a strutture militari, è autorizzato a compiere operazioni militari all’interno del Cyberspazio.
  • Entità esterne. Sono riferibili nella maggioranza dei casi a hackers mercenari non governativi, ma sponsorizzati dallo Stato, reclutati per condurre operazioni di cyber war.

Secondo alcune fonti, le unità sarebbero utilizzate per condurre operazioni cibernetiche a livello internazionale nel settore civile e militare, ivi compreso lo spionaggio industriale e finanziario. Dal canto suo la Cina nega di essere la mandante di tutti gli attacchi che gli sono stati attribuiti. Anzi formula precise critiche contro Stati Uniti, accusata di condurre azioni cyber spionaggio contro lo Stato e le aziende cinesi, essendo quelle statisticamente più colpite a livello mondiale.

Bibliografia

Note

A cura di: Antonio Teti

Profilo Autore

Head of Information Systems and Technology Innovation - Information Technology Area
Professor in charge of IT Governance & Big Data at the Master Degree Course in Business Economics and Management "G.D'Annunzio" University of Chieti-Pescara

Condividi sui Social Network:

Articoli simili