SCENARI GEOPOLITICI

Cyberwar tra USA, Cina, Iran e Corea del Nord: quando lo Stato è al centro

Gli attacchi di tipo APT (Advanced Persistent Threat) di tipo statuale sono considerati uno strumento di primo piano per perseguire interessi politici, economici e militari sullo scacchiere internazionale e sono volti ad obiettivi ben determinati. Ecco gli scenari attuali e quelli futuri di cyberwar

09 Ott 2020
M
Marco Maldera

Center for Cyber Security and International Relations Studies (CCSIRS) - Centro Interdipartimentale di Studi Strategici


Gli attacchi cibernetici sono sempre più riconosciuti come una delle maggiori minacce a livello internazionale, tanto che nel suo Global Risks Report 2020 il World Economic Forum li ha classificati tra i primi 10 rischi in termini di probabilità ed impatto: questa preoccupazione non rappresenta una novità, considerato che le tecnologie della guerra cibernetica, la cyberwar, consentono ai Paesi di attaccare un avversario in modo occulto e con un rischio relativamente basso.

Inoltre, sia aggressore che aggredito hanno la possibilità di negare l’attacco: se i benefici per l’attaccante risultano chiari, da parte sua il paese colpito può affermare di aver subito dei problemi di natura tecnica, anziché ammettere di essere stato aggredito con successo e riconoscere la propria vulnerabilità[1].

Gli attacchi condotti da parte di entità statuali, inoltre, si caratterizzano per la loro elevata complessità e per questo conosciuti come Advanced Persistent Threat.

Cyberwar: gli attacchi di natura statuale

Gli attacchi di tipo APT (Advanced Persistent Threat) di tipo statuale sono considerati uno strumento di primo piano per perseguire interessi politici, economici e militari degli attori sullo scacchiere internazionale.

In particolare, le attività di cyberwarfare non devono essere confuse con le operazioni effettuate da parte di attaccanti che hanno l’obiettivo di sottrarre denaro in maniera illecita: mentre queste ultime hanno finalità economiche, non hanno obiettivi mirati e sono effettuate su larga scala, gli attacchi APT riconducibili ad entità statali sono volti ad obiettivi ben determinati (ad esempio, un’altra istituzione statale) e l’intera strategia di attacco è ideata “su misura” dell’obiettivo individuato.

Tali minacce sono quindi considerate “avanzate” per via delle capacità dell’attaccante dal punto di vista tecnico, economico, strategico, informativo e di coordinamento di team aventi expertise differenti.

Lo sviluppo di tali capacità offensive nel dominio cibernetico ha quindi portato alla comparsa di collettivi hacker dotati di grandi capacità tecniche, ben organizzati e finanziati.

Gli attori e le modalità di impiego di tali gruppi, sia che facciano direttamente parte di un apparato statale o che ne siano in qualche modo legati, sono differenti poiché le loro attività possono inserirsi all’interno di un contesto conflittuale già avviato o come strumento di pressione nella gestione degli affari internazionali: appartengono alla prima categoria gli attacchi alle infrastrutture critiche nazionali e apparati statali dell’Ucraina a partire dal 2015 ed attribuiti alla Russia, mentre alla seconda categoria è riconducibile il virus Stuxnet che, attribuito a Stati Uniti e Israele, nel 2010 ha causato seri danni ad una centrale nucleare iraniana[2].

Sono diversi gli Stati attivi in queste campagne.

Iran, uno dei protagonisti della cyberwar

Nell’ultimo decennio, l’Iran è stato più volte protagonista di operazioni che hanno visto l’uso della forza cibernetica.

Il più importante risale al 2010, quando il virus informatico Stuxnet, la prima arma digitale al mondo, ha preso di mira in modo specifico e ha paralizzato con successo gli impianti di arricchimento nucleare del Paese.

A seguito dell’attacco, l’Iran ha investito massicciamente nella propria cyber-infrastruttura militarizzata e ha seguito uno dei programmi di cyber security sponsorizzato dallo stato più attivo al mondo, rendendosi protagonista nella regione per le sue capacità[3].

Inoltre, a seguito di un altro importante evento che ha colpito il Paese – l’uccisione da parte americana del generale Qassem Soleimani ad inizio gennaio di quest’anno – John Hultquist, direttore dell’analisi dell’intelligence per la società di cyber sicurezza FireEye, ha dichiarato consistente la minaccia di “attacchi informatici dirompenti e distruttivi contro la sfera privata” statunitense e dei suoi alleati[4].

Quest’ultimo elemento non deve essere considerato remoto, come dimostra il caso dell’Arabia Saudita, storico alleato americano che è stato più volte bersaglio dell’Iran. Tra i vari attacchi, il più importante è sicuramente quello condotto nel 2017 contro la compagnia petrolifera Saudi Aramco per mezzo del virus informatico Shamoon, talmente devastante che la rete della società ha dovuto essere ricostruita quasi da zero[5].

WEBINAR
Sicurezza e Smart Working; elementi strategici per il business
Sicurezza
Cybersecurity

Secondo la rivista specializzata Foreign Policy, l’Iran si è recentemente reso protagonista, insieme ad Israele – altro importante partner statunitense – di un mutamento nella dialettica della cyberwar: lo scorso aprile, infatti, i media israeliani hanno riportato la notizia di un possibile attacco cibernetico diretto contro impianti di trattamento dell’acqua in tutto il Paese, accusando l’Iran.

Il mese successivo, un attacco cibernetico ha preso di mira i sistemi informatici presso l’hub più trafficato dell’Iran per il commercio marittimo, il porto Shahid Rajaee di Bandar Abbas, vicino allo stretto di Hormuz, per il quale è stato individuato Israele quale responsabile.

In entrambe i casi, le due parti si sono concentrate su obiettivi civili critici, ma hanno causato danni relativamente bassi e soprattutto, la novità riguarda i toni dello scontro, che sono diventati pubblici: se in passato i cyber attacchi condotti da parte dagli stati erano caratterizzati da segretezza ed erano mirati ad obiettivi militari o securitari, in questo caso il silenzio e la negabilità hanno ceduto il passo all’attribuzione pubblica e sono volti a target civili, con gli Stati e le loro agenzie che stanno sempre più riconoscendo il loro ruolo, sia come vittima che come esecutore[6].

Corea del Nord: un nuovo attore della cyberwar

Un altro Paese molto attivo in campo cibernetico, soprattutto per compensare il suo ritardo dal punto di vista militare, è costituito dalla Corea del Nord.

Ad inizio agosto la società di cyber security McAfee ha pubblicato un rapporto riguardante una campagna di spionaggio informatico nordcoreano rivolta alle industrie aerospaziali e della difesa degli Stati Uniti.

Secondo McAfee, nell’operazione ribattezzata North Star, gli hacker nordcoreani hanno preso di mira i dati relativi a specifici progetti del governo americano quali il programma di caccia F-22, l’Aeronautics Integrated Fighter Group, i programmi di modernizzazione dei velivoli militari e i programmi di Difesa, Spazio e Sicurezza (DSS).

La tempistica ed il target degli attacchi lasciano presupporre che gli hacker fossero intenzionati a sottrarre informazioni sugli aggiornamenti delle capacità di potenza aerea della Corea del Sud, anche in considerazione dei nuovi sistemi d’arma dispiegati dalla da Seoul ed acquistati dagli Stati Uniti.

Considerato il livello delle forze armate della Corea del Nord, nettamente inferiori a quelle dei paesi occidentali e dei suoi alleati, Pyongyang fa largo uso dello strumento cyber per sfruttare le debolezze dei propri avversari[7].

Proprio per questo motivo secondo Daniel Russel, ex assistente del segretario di stato per gli affari dell’Asia orientale e del Pacifico, il Paese ha coltivato e investito in una forza cibernetica d’élite di circa 7.000 soldati sotto il controllo dei suoi militari e dell’esercito popolare coreano.

Questo cyber esercito spesso lancia i propri attacchi da altri paesi, quali Cina e Russia, poiché la Corea del Nord ha creato un proprio sistema interno di intranet così da evitare che altri paesi possano accedervi.

Tale elemento, tuttavia, rende difficile attribuire l’attacco a Pyongyang, rischiando che siano Mosca e Pechino ad essere incolpate. Secondo Russel, quindi, poiché la Corea del Nord dipende fortemente dalla Cina, non solo per il cyber, per l’accesso ai server, ai suoi gasdotti e così via, sarebbe fondamentale per gli Stati Uniti sviluppare un certo grado di cooperazione con la Cina per limitare la minaccia cibernetica offensiva della Corea del Nord[8].

Cina, spionaggio industriale e furto di proprietà intellettuale

E proprio la Cina è un altro fondamentale attore del cyber space. Tra le principali accuse rivolte alla Cina quale attore cyber figurano quelle di spionaggio industriale e furto di proprietà intellettuale.

L’ultimo caso si è registrato lo scorso luglio, quando il Dipartimento di Giustizia americana ha accusato due hacker cinesi di voler rubare informazioni sul vaccino contro il Corona virus, dopo essere già entrati in possesso di moltissimi segreti commerciali di diverse aziende dislocate in tutto il mondo per il valore di svariati centinaia di milioni di dollari[9].

Secondo l’assistente procuratore statunitense John Demers, “la Cina ora si è allineata a Russia, Iran e Corea del Nord. Fa ora parte di quel vergognoso club di nazioni che offre un rifugio sicuro agli hacker in cambio del loro lavoro a beneficio dello Stato. Alimentando così la fame insaziabile del partito comunista cinese per le proprietà intellettuali guadagnate duramente dalle società americane, e non cinesi, compresa la ricerca sul Covid”.

Anche la Russia, infatti, insieme alla Cina, è accusata di spionaggio in merito alle ricerche per trovare un vaccino contro la pandemia di Covid-19[10].

La Cina tuttavia rappresenta un esempio estremamente interessante per la sua modalità di utilizzo dello strumento cyber quale elemento che si integra perfettamente nelle sue operazioni per perseguire obiettivi politici a livello internazionale, come nel caso del Mar Cinese Meridionale, per cui Pechino rivendica il possesso sul 90% di queste acque, entrando in aperto contrasto con tutti i paesi del Sud-est asiatico che si affacciano sulla regione.

Su questo scacchiere, Pechino esercita la sua pressione su un doppio binario: oltre a fare uso di pescherecci civili, che costituiscono una vera e propria milizia marittima impegnata a pattugliare costantemente le acque della regione, Pechino ha più volte lanciato attacchi cibernetici contro due dei più grandi aeroporti del Vietnam, i cui schermi hanno più volte trasmesso messaggi critici riguardanti le affermazioni di Hainoi sulle acque contese e che hanno portato la società di sicurezza FireEye ad affermare che il lavoro è opera di cyberspie che lavorano per o per conto del governo cinese[11].

È così che Pechino dimostra grande padronanza nel maneggiare lo strumento cyber, rendendo il confronto liquido e sempre sotto controllo.

Cyberwar e infrastrutture critiche

Come visto precedentemente nel caso della Difesa, dell’energia e dei trasporti, i settori critici dell’economia nazionale degli stati rappresentano certamente un obiettivo privilegiato rispetto all’ipotesi di una o più operazioni di tipo cyber.

Queste sono infatti essenziali al mantenimento delle funzioni vitali della società civile e, riguardando tali settori, è facilmente comprensibile quale sia il loro legame anche per il benessere economico e sociale della collettività[12].

Inoltre, è necessario ricordare che un attacco cyber è stato riconosciuto per la prima volta quale problema di sicurezza nazionale nel 2007, quando una serie di attacchi informatici attribuiti alla Russia ha colpito i sistemi informatici delle istituzioni pubbliche e private dell’Estonia, pregiudicando in maniera importante le attività che consentono lo svolgimento della vita sociale ed economica dello Stato[13].

Tuttavia, secondo Corrado Giustozzi, esperto di sicurezza cibernetica, membro del CERT-AgID e già componente dell’advisory group dell’Agenzia dell’Unione Europea per la sicurezza cibernetica (ENISA), le società globali dipendono in modo sottile e spesso non evidente da molti altri servizi erogati da aziende private che non sono riconducibili a quelle che vengono comunemente identificate quali infrastrutture critiche, ma sono invece altrettanto essenziali.

Giustozzi riporta gli esempi di Twitter e Garmin, con il primo che è stato il mezzo per raccogliere qualche centinaia di migliaia di dollari in bitcoin in maniera fraudolenta, mentre il secondo ha subito un attacco di ransomware che ha impedito a sportivi e piloti di aereo di inviare a Garmin i propri dati di fitness o ricevere i dati per compilare i piani di volo perché tutti i servizi interattivi dell’azienda hanno subito un blackout[14].

Secondo Giustozzi, entrambe le società erogano servizi da cui dipende il funzionamento della società. In particolare, Twitter è ormai utilizzato come canale di comunicazione ufficiale da parte di aziende grandi e piccole, organizzazioni internazionali, agenzie di stampa e leader politici.

Garmin, da parte sua, si è trasformata da azienda di prodotto ad azienda di servizi, come quelli di supporto alla navigazione nel settore aeronautico e per gli utenti che forniscono non solo la propria posizione, ma, come i runner, anche una serie di parametri di wellness e fitness quali la frequenza cardiaca, la forma fisica ed altro ancora, identificabili come veri e propri dati sanitari.

Conclusioni

Benché sia necessario ricordare che se tutto è strategico allora nulla è strategico, è innegabile che secondo lo studioso stiamo scoprendo l’esistenza di infrastrutture critiche che in passato non erano ritenute tali e, considerando la superfice di attacco sempre più vasta, è necessario imparare dall’esperienza per prevenire casi ancora peggiori in futuro, anche in considerazione delle possibili evoluzioni degli attacchi cyber e della guerra cibernetica (cyberwar), destinata ad essere sempre di più uno strumento essenziale dei confronti sul quadro internazionale.

NOTE

  1. Baram Gil, Lim Kevjn, Israel and Iran Just Showed Us the Future of Cyberwar With Their Unusual Attacks, June 2020.
  2. Del Giudice Giuseppe, Cyber warfare: tecniche, obiettivi e strategie dietro gli attacchi “state-sponsored”, Gennaio 2020.
  3. Baram Gil, Lim Kevjn, Israel and Iran Just Showed Us the Future of Cyberwar With Their Unusual Attacks, Op. Cit.
  4. Porro Gabriele, Cyber war: Iran all’attacco delle infrastrutture più strategiche degli Stati Uniti, Gennaio 2020.
  5. O’Flaherty Kate, The Iran Cyber Warfare Threat: Everything You Need To Know, January 2020.
  6. Baram Gil, Lim Kevjn, Israel and Iran Just Showed Us the Future of Cyberwar With Their Unusual Attacks, Op. Cit.
  7. Ha Mathew, North Korean Cyber Espionage Campaign Seeks to Compensate for Air Power Vulnerabilities, August 2020.
  8. Ioanes Ellen, Kim Jong Un has quietly built a 7,000-man cyber army that gives North Korea an edge nuclear weapons don’t, June 2020.
  9. Boccellato Piero, Cyberspionaggio e Covid-19, gli Usa contro due hacker cinesi: ‘Hanno tentato di rubare le ricerche sul vaccino’, Luglio 2020.
  10. Longo Alessandro, Santarelli Marco, Cyberwar mondiale, è escalation: ecco i tasselli (Usa, Russia, Cina, Europa), Agosto 2020.
  11. Maldera Marco, Cyber-attacks and hybrid challenges in the South China Sea, Maggio 2015.
  12. Campanale Giovanni, Dal concetto di cyber attack al cyberwarfare: l’uso della forza in ambito cyber, Febbraio 2020.
  13. Ibidem
  14. Giustozzi Corrado, Da Twitter a Garmin, ecco le infrastrutture critiche di cui ignoravamo l’esistenza. L’analisi di Giustozzi.
WHITEPAPER
Energy e Blockchain: quali opportunità?
Blockchain
Utility/Energy

@RIPRODUZIONE RISERVATA

Articolo 1 di 5