LO SCENARIO

Conflitto russo-ucraino: i rischi di una cyber world war e come mitigarli

Il conflitto tra Russia e Ucraina si è già configurato come ibrido in quanto, ad azioni militari, si sono aggiunte strategie tipiche di una guerra cibernetica. È dunque necessario un alto livello di attenzione e non sottovalutare la possibile propagazione e il possibile impatto di una cyber warfare nel mondo

03 Mar 2022
G
Mirko Gatto

CEO di Yarix, divisione Cyber Security di Var Group

Aria, spazio, terra, mare. E cyberspazio. Anni fa la Nato lo ha decretato come quinto dominio di guerra che, non contemplando limiti e confini giuridici, ha un campo di battaglia molto più esteso di quello in cui si gioca lo scontro reale.

Non fa eccezione il conflitto in corso tra Russia e Ucraina, che si è già configurato come ibrido: ad azioni militari si sono aggiunte le strategie di una guerra cibernetica, supportata dalla diffusione di fake news. Nonostante il termine fake news abbia preso piede in tempi abbastanza recenti, la diffusione di notizie false o partigiane del terzo millennio di nuovo ha solo l’arsenale tecnologico a disposizione.

L’Italia rischia ritorsioni dalla Russia: si prepari a una cyberwar

I rischi di una cyber world war

Con un raggio di propagazione maggiore che in passato, le fake news non si limitano al perimetro della propaganda più o meno ufficiale ma vengono create e diffuse da vere e proprie fabbriche in grado di fare dei social, tra cui Telegram e Twitter, l’ennesimo teatro di guerra. Infatti, l’utilizzo di bot farm, account falsi in grado di far circolare notizie non veritiere per manipolare il sentiment, hanno messo piede in Ucraina prima delle truppe: solo lo scorso febbraio lo stesso Paese, oggi colpito anche fisicamente, ha dichiarato di aver eliminato una presunta bot farm russa con 18mila account falsi all’attivo.

WHITEPAPER
Canale ICT: 5 misure di successo automatizzare il business
Sicurezza
Software

Ad accelerare il conflitto nel quinto dominio e a renderlo noto all’opinione pubblica, il coinvolgimento del più grande gruppo hacker al mondo, Anonymous, che con un attacco mirato attraverso tecniche di DDOS (Distributed Denial of Service), ha colpito i siti web di Duma e Cremlino rendendoli irraggiungibili. Stessa sorte toccata al sito del Ministero dell’Energia russo e a decine di altri website sia governativi che di importanti aziende russe. Ma non solo Anonymous, gli attacchi si distribuiscono su più fronti, da più parti e con diversi obiettivi.

Nulla di nuovo: quanto successo negli ultimi giorni non è che un nuovo capitolo di una guerra cominciata ben prima. Nelle scorse settimane si è assistito ad un’ondata di attacchi DDoS e defacement contro siti governativi istituzionali e di banche ucraine, fortunatamente con nessun impatto diretto sulla popolazione.

E, tornando indietro di qualche anno, ricordiamo gli attacchi informatici russi con obiettivo la rete elettrica ucraina durante la stagione invernale nel 2015 e nel 2016 (BlackEnergy) l’offensiva di NotPetya nel 2017.

Anonymous, il ruolo degli attacchi cyber occidentali nella guerra russo-ucraina

I nuovi scenari della guerra ibrida

Volendo fare una previsione, per quanto possibile in un momento di tale instabilità, possiamo ipotizzare l’arrivo di attacchi malware che, con obiettivo una infrastruttura critica, potrebbero essere estremamente rischiosi per la popolazione.

Gli esempi sono di facile immaginazione: basti pensare al danno causato da un’interruzione più o meno prolungata dell’erogazione di servizi essenziali. Ma non solo. Se era già noto che “il battito di una farfalla può generare un uragano nell’altra parte del mondo”, abbiamo scoperto con la pandemia il grado di interconnessione con le economie degli altri Paesi: un attacco al branch di un’azienda con filiali in diversi Paesi, rischia perciò di colpire più Stati in una reazione a catena infinitamente più pericolosa.

È stato il caso del malware NotPetya, diretto ai sistemi ucraini ma diffusosi poi in tutto il mondo, tra cui l’Italia.

L’efficienza cyber è ormai a tutti gli effetti un’arma di cui dotare il proprio arsenale. Viceversa, è sempre più necessario alzare l’attenzione preparando una difesa su più fronti.

Le raccomandazioni per le aziende

Il CSIRT italiano (Computer Security Incident Response Team) ha raccomandato di implementare urgentemente gli indicatori di compromissione relativi ad un malware di tipo “wiper” – denominato HermeticWiper (alias KillDisk.NCV) – le cui peculiarità consistono nel distruggere intenzionalmente i dati presenti su un dispositivo al fine di renderli irrecuperabili, minando il corretto funzionamento del sistema operativo in esecuzione – e di elevare il livello di attenzione adottando, in via prioritaria, le azioni di mitigazione individuate.

Se intanto abbiamo assistito ad attacchi intimidatori per un gioco di affermazione della propria forza, nel caso in cui il conflitto si amplifichi, si amplificherà con ogni probabilità anche la gravità degli attacchi.

La raccomandazione per le aziende è di innalzare il livello di attenzione. Come? È bene assicurarsi che i propri sistemi abbiano una corretta gestione delle patch contro le vulnerabilità dando priorità ai sistemi esposti includendo web mail, VPN e sistemi di accesso remoto.

Bisogna prepararsi contro attacchi mirati alla distruzione dei dati disponendo di backup fuori linea e assicurarsi di testare i piani di recovery che coprano tutti gli oggetti di business. Bisogna essere reattivi: è necessario individuare figure chiave in tutte le aree dell’organizzazione e definire metodi di comunicazione testati.

Inoltre, evitare qualsiasi servizio e navigazione non necessaria per il business.

È necessario dunque un alto livello di attenzione e non sottovalutare la possibile propagazione, e quindi il possibile impatto, di una cyber warfare nel mondo.

@RIPRODUZIONE RISERVATA

Articolo 1 di 5