Guerra in Ucraina: la mappa de cyberattacchi
Da Guerre di Rete – newsletter di notizie cyber a cura di Carola Frediani
In questa newsletter ho raccontato in dettaglio il fronte cyber della guerra in Ucraina, con analisi di specifici attacchi diretti contro Kiev (così come abbiamo visto il variegato fronte pro-Ucraina che ha sommerso di attacchi la Russia).
Ora Microsoft ha pubblicato un rapporto che conferma il quadro emerso già in modo episodico, ma che ha il merito di essere basato su dei dati (cui ha accesso l’azienda) e sull’analisi dei suoi ricercatori. Il risultato è una mappatura in cui gli attacchi informatici contro l’Ucraina appaiono molto più fitti, determinati e integrati nelle strategie di guerra.
Il report Microsoft cerca infatti anche di individuare correlazioni fra il fronte della guerra sul campo e quello ibrido online, fatto di una miscela di intrusioni, attacchi distruttivi e propaganda. Il risultato è una delle fotografie più dettagliate oggi a disposizione, che mostra quanto la cyber sia una componente centrale dei conflitti, anche quando, nel mezzo di una guerra e un’invasione, resta meno visibile e sotterranea.
In particolare, per Microsoft questo report illustra quanto i cyberattacchi russi siano stati “continui e distruttivi”. A partire da poco prima dell’invasione, scrivono i ricercatori, “abbiamo visto almeno sei diversi attori nazionali allineati alla Russia lanciare più di 237 operazioni contro l’Ucraina, inclusi attacchi distruttivi che sono in corso e minacciano servizi essenziali per i civili. Gli attacchi distruttivi sono stati accompagnati da spionaggio e attività di intelligence”.
Due o tre incidenti a settimana con wiper
Ma vediamo cosa dice il report proprio sugli attacchi “distruttivi” (in cui il termine allude alla distruzione di dati chiave e al blocco di sistemi). Gruppi malevoli con noti o sospetti legami con il GRU (l’intelligence militare russa) hanno continuamente sviluppato e usato malware distruttivi (wiper) o strumenti simili contro reti ucraine a un ritmo di due/tre incidenti a settimana dall’inizio dell’invasione. Dal 23 febbraio all’8 aprile Microsoft ha visto quasi 40 diversi attacchi distruttivi che hanno cancellato file in modo permanente in centinaia di sistemi di decine di organizzazioni in Ucraina. Più del 40 per cento di tali attacchi puntavano a infrastrutture critiche che avrebbero avuto un impatto su strutture governative, militari, economiche e civili. Il 32 per cento degli incidenti distruttivi ha colpito organizzazioni governative ucraine.
8 famiglie di malware distruttivo
Secondo il report, dato per scontato che ci sia una attività che i ricercatori Microsoft non sono riusciti a vedere, finora ci sarebbero state almeno 8 famiglie di malware distruttivo utilizzate su reti ucraine, incluso una tipologia dedicata a sistemi di controllo industriale. “Se gli attori malevoli possono mantenere l’attuale ritmo di sviluppo e distribuzione, prevediamo che saranno scoperti ulteriori malware distruttivi mentre il conflitto continua“, rileva il report.
Ma non ci sono solo i malware ad hoc. Gli stessi attori malevoli hanno abusato di strumenti legittimi almeno 37 volte per distruggere dati sui sistemi attaccati; ad esempio, SecureDelete è una utility Windows che gli attaccanti hanno sfruttato per cancellare dati.
Le correlazioni fra la guerra e le attività cyber
Ma l’analisi Microsoft sottolinea anche delle correlazioni fra gli sviluppi della guerra (incluse le fasi preparatorie) e attività cyber. Un po’ di esempi:
– un giorno prima dell’invasione un gruppo di hacker russi distribuiva wiper a centinaia di sistemi ucraini fra governo, IT, energia, istituzioni finanziarie
– tra il 14 e il 17 febbraio si assisteva alla compromissione di infrastrutture critiche nelle città di Odessa e Sumy, azioni che sembrerebbero correlate all’avanzata russa avvenuta di lì a poco a Sumy.
– l’11 marzo una agenzia governativa a Dnipro era attaccata con un malware distruttivo e nel mentre le forze russe sul campo lanciavano attacchi contro gli edifici governativi
– tra il 17 e il 23 marzo attori malevoli attaccavano servizi di logistica e entità regionali poco prima dell’annuncio dei militari russi di volersi focalizzare sulla parte orientale. E il gruppo di hacking chiamato IRIDIUM (una unità del GRU che altri ricercatori identificano col nome di Sandworm) conduceva attacchi distruttivi contro le reti di fornitori di trasporti e logistica
– Tra il 31 marzo e l’8 aprile si assisteva a una escalation di attacchi contro infrastrutture dell’energia e IRIDIUM lanciava attacchi wiper contro un fornitore di energia regionale.
Le previsioni del report
In conclusione, scrive Microsoft, “dato che gli attori malevoli russi hanno rispecchiato e aumentato le azioni militari, riteniamo che i cyberattacchi continueranno a crescere mentre il conflitto infuria. Attori malevoli nazionali russi possono avere il compito di espandere le loro azioni distruttive fuori dal’Ucraina per rivalersi contro quei Paesi che decidono di fornire più assistenza militare all’Ucraina e di prendere misure punitive contro il governo russo”.
Gli attacchi contro la Russia
Ma anche la Russia è sempre più oggetto di ondate di attacchi di ogni tipo. Le ultime novità arrivano dall’IT Army ucraino, lo sforzo di Kiev di raccogliere online un esercito internazionale di hacker o semplicemente di partecipanti ad attacchi già configurati, come avevo descritto in newsletter qua. Da alcuni giorni l’IT Army ucraino ha infatti anche un sito dove da un lato si dà conto del successo degli attacchi in corso, dall’altro si forniscono link, indicazioni e strumenti per partecipare ad attacchi, con diversi livelli a seconda delle capacità dei volontari.
Per cui il livello minimo è aprire alcune pagine con il proprio browser e partecipare a un DDoS, un attacco di negazione distribuita del servizio in cui si sommerge il target di richieste. Tutto questo dentro la sezione: “Istruzioni per configurare attacchi DDoS a Paese nemico”. Esiste anche una sezione che si intitola: “Attacchi ai siti di propaganda russa”. Come già scritto qua in precedenza, la cornice legale di questo tipo di partecipazione è a dir poco ambigua.
Tutte queste attività hanno visto anche il coinvolgimento diretto di aziende di cybersicurezza ucraine, come Hacken, che hanno modificato uno dei loro strumenti anti-DDoS per lanciare attacchi di questo tipo. O contribuito a realizzare un programma di bug bounty, di ricompensa per la segnalazione di vulnerabilità, ma nello specifico di quelle presenti su sistemi russi. Sarebbero oltre tremila le segnalazioni ricevute, sostengono quelli di Hacken a Wired US, spiegando che la società verifica le segnalazioni e poi le passa alle autorità ucraine.
Il wiper anti-russo
Altro elemento emerso in questi giorni è un ransomware (un software malevolo che cifra tutto e chiede un riscatto) creato appositamente per colpire sistemi russi. In realtà, come spiega l’analisi di TrendMicro, si tratta più di un wiper, un software malevolo che “distrugge in modo irreversibile i file cifrati”. Si chiama RURansom e presenta una nota di riscatto (dove in realtà non c’è alcun riscatto, solo un avviso ai target) che si rivolge direttamente a Putin e spiega come non ci sia modo di decifrare i file. “Nessun pagamento, solo danni. E sì, si tratta di peacekeeping”, prosegue sarcastico l’autore. TrendMicro dice di non aver osservato vittime per questo malware, forse perché finora avrebbe colpito solo alcuni target in Russia.
ITALIA- Prodotti di cybersicurezza russi, arriva la circolare dell’Agenzia
A proposito di Kasperky. In una circolare pubblicata in Gazzetta Ufficiale il 26 aprile l’ACN, l’Agenzia per la Cybersicurezza Nazionale, ha ordinato alle amministrazioni pubbliche di “ diversificare” (di fatto iniziare un processo di migrazione ad altro) i prodotti di 3 aziende russe: Kaspersky, Group-IB e Positive Technologies.
“Come ha ricostruito Wired nei giorni scorsi, alcuni enti pubblici italiani stanno già disinstallando Kaspersky. Tra questi, il ministero dell’Interno, l’Istituto superiore di sanità (Iss), il Consiglio nazionale delle ricerche (Cnr), l’Autorità garante per le comunicazioni (Agcom), l’università di Verona, l’Istituto nazionale di fisica nucleare (Infn) e l’Istituto per la protezione ambientale (Ispra)”, scrive Wired Italia, che prosegue: “Nel complesso, stando ai dati di Contrattipubblici.org, dal 2013 2.462 enti tra ministeri, ospedali, scuole, università e società partecipate hanno acquistato licenze Kaspersky, per una spesa totale di 18 milioni di euro (con un media di 3mila euro a contratto). A marzo, invece, Adnkronos riferiva che Group-Ib ha vinto la gara per offrire servizi di intelligence contro le minacce informatiche al Computer emergency response team (Cert) finanziario italiano, guidato da Banca d’Italia e Associazione bancaria italiana (Abi) per alzare le difese informatiche del settore”.
Come Mosca controlla internet e come si resiste
La Russia sta aumentando la censura internet, ma non tutto è perduto. Cresce infatti l’uso di strumenti come Tor e le VPN, mentre alcuni ricercatori indagano il modo in cui i siti vengono censurati. Ne emerge un quadro complesso, composito, e in divenire. Ne parliamo nel nostro ultimo articolo sul sito Guerre di Rete, a firma di Fabio DeSicot.
Scrive Fabio: “Il governo russo ha provveduto prontamente a bloccare l’accesso verso il sito Torproject.org ma i risultati, evidentemente, non sono stati quelli sperati. Facendo una ricerca sulle metriche, si può notare come gli utilizzatori di questo sistema siano aumentati repentinamente nel corso degli ultimi anni preferendo l’utilizzo dei nodi chiamati Tor-bridges ai nodi chiamati Tor-relays, quelli usati normalmente dagli utenti Tor.
In particolare i nodi bridges, a differenza dei relays, sono più difficili da rintracciare e da filtrare da parte di attori malevoli per via di una tecnologia capace di “nascondere” molti dei loro parametri a occhi indiscreti, e pertanto rappresentano la scelta da preferire in uno scenario di censura. Il trend ha avuto due picchi in salita nell’ultimo periodo: il primo a ridosso della fine del 2021 e il secondo a cavallo dell’inizio della guerra”
Leggi: Russia, così viene aggirata la censura internet – Guerre di Rete
Crescono i blocchi della Rete
Mentre in Russia accelera il giro di vite sulla Rete, un bel reportage di Rest of the World ci ricorda che la censura (e la sorveglianza) internet siano in crescita in tutto il mondo. L’ong Access Now ha registrato almeno 935 blocchi parziali o totali di internet in più di 60 Paesi dal 2016. E il trend è in crescita: la maggior parte di questi è avvenuto negli ultimi 5 anni. Quando si parla di blocco si intende varie strategie, dal blackout totale della rete a quello mirato a un singolo servizio al rallentamento volontario di un servizio o di un tipo di traffico internet.
Foto: Ministero della Difesa Ucraino