Con l’avvento di Internet e i passi da gigante fatti in svariati ambiti, soprattutto nel settore dell’informatica, è cambiato sia il modo di fare la guerra che il campo di battaglia: si parla di cyberwar e di information war, fenomeni non del tutto sconosciuti, ma che non sempre si è in grado di spiegare correttamente.
Negli scontri armati le nuove tecnologie informatiche vengono utilizzate in maniera stabile con l’obiettivo di potersi assicurare la vittoria sul nemico. Solitamente, dietro a un attacco informatico, ci sono persone oppure organizzazioni criminali che intenzionalmente causano danni, colpendo e violando a vario titolo i sistemi IT.
L’accento sul conflitto russo-ucraino in corso pone l’attenzione su ciò che pian piano sta prendendo piede nello spazio cibernetico, ossia quel luogo in cui si misurano piccole e grandi potenze, detto anche il “quinto dominio” della conflittualità, e sulle relazioni cyber e information warfare che sembra sempre di più necessario individuare e comprendere.
Così le armi cyber hanno stravolto le relazioni tra gli Stati
Indice degli argomenti
Information war e cyberwar: le differenze
L’information war pone al centro della sua attenzione l’informazione e il suo obiettivo è quello di ottenere un vantaggio informativo sull’avversario: la guerra dell’informazione può essere sia difensiva che offensiva e fino ad oggi si sono formati diversi gruppi di hacker, come ad esempio Sofacy russo o Equation Group americano.
Così come Lapsus$, che negli ultimi mesi ha colpito rilevanti aziende che operano nel settore tecnologico, diffondendo i loro dati.
Secondo l’Intelligence del Regno Unito, la peculiarità di questo gruppo è che si ha a che fare con ragazzi molto giovani di età compresa tra i 16 e i 21 anni, che mettono a segno i loro colpi grazie al reclutamento attraverso un canale Telegram di insider, cioè contatti che possono diffondere le informazioni direttamente dalle aziende di interesse.
La cyberwar, invece, non persegue il fine di ottenere dati, ma manipola o distrugge i sistemi informativi per scopi strategici, politici o militari.
Qui il protagonista è il cyberspazio, riconosciuto come il quinto dominio della conflittualità che si correla agli altri quattro: terra, mare, aria e spazio. Ciò comporta pesanti conseguenze in merito alla funzione degli Stati e delle organizzazioni sovranazionali, che combattono guerre in questo dominio sia per difendere se stessi che i propri cittadini da minacce poste in essere da criminali.
È proprio qui che si racchiude la differenza tra cybercrime e cyberwar.
Dunque, il cybercrime è un’attività criminosa che consiste nell’abuso di tecnologie informatiche, sia hardware che software, legata solitamente alla figura dell’hacker, mentre l’hacktivist persegue il raggiungimento di scopi sociali o politici avvalendosi sempre della cyber pirateria[1].
Il contesto dell’attuale guerra ibrida
In considerazione di tutto ciò, alla domanda “information o cyber war” come si può rispondere? Di certo la componente cyber, che caratterizza la guerra tra Russia e Ucraina, non è un elemento esiguo e insignificante, infatti sono diversi gli hacker che hanno preso parte a questo conflitto.
Sin da subito, l’acuirsi delle tensioni tra Russia e Ucraina si è configurato come una guerra ibrida, dove si assiste ad un connubio perfetto tra scontro convenzionale e conflitto irregolare posto in essere dalla guerra cibernetica e da quella dell’informazione.
La componente cyber ha evidenziato come l’uso di strumenti virtuali possa avere rilevanti conseguenze anche nel mondo fisico, pertanto, si prende parte ad un concetto differente di guerra.
Nuovi orizzonti sono stati aperti dalla cyber intelligence e in particolare dalle tecnologie OSINT (Open Source Intelligence), ossia la raccolta di informazioni da fonti aperte: banche dati e servizi di pubblico dominio accessibili, non sempre in maniera così agevole, a tutti coloro che desiderano investigare un certo fenomeno su Internet.
Prima che ci fosse l’avvento di queste nuove tecnologie, le notizie relative ai conflitti armati venivano date attraverso i canali tradizionali: la stampa, la radio e la televisione.
Oggi, invece, chiunque può tentare di recuperarle accedendo a clear, deep e dark web. Le tecniche di OSINT vengono utilizzate anche in supporto alle indagini, ma occorre sempre appurare la veridicità delle fonti di provenienza affinché possano essere ritenute attendibili.
Si può parlare di conflitto “open source”
Diversi esperti sostengono che si possa addirittura parlare di conflitto “open source” per indicare questo nuovo modo di fare guerra[2]. In uno scontro, la necessità di controllare le informazioni ha sempre rappresentato un importante strumento decisivo per ottenere il consenso dell’opinione pubblica, infatti, manipolando le notizie è più facile vendere la guerra alle persone.
Con le tecnologie OSINT, invece, si cerca di combattere questa disinformazione fornendo a chiunque, in tempo reale, dati preziosi e accurati in merito.
In passato, durante il periodo della Guerra Fredda, il mondo era sostanzialmente diviso in due grandi blocchi, quello occidentale e quello orientale, oggi, la storia si ripete: da un lato la Nato compatta contro il Cremlino e dall’altro la Russia che vede dalla sua parte non solo la Corea del Nord che spinge per creare un nuovo ordine mondiale, ma anche Cuba, Siria e alcuni Stati che fino al 1991 facevano parte dell’ex Unione Sovietica.
Assistiamo non solo ad uno scontro vis-à-vis, ma anche ad un conflitto nel cyberspazio, facendo dell’elemento cyber il filo conduttore tra guerra dell’informazione e cibernetica.
Quest’altra faccia della medaglia, dove si combatte nel quinto dominio della conflittualità, è caratterizzata dalla presenza di professionisti che hanno un’ampia e profonda conoscenza dell’informatica e delle telecomunicazioni e, inoltre, dalla rilevanza che, anche qui, hanno la geopolitica e i relativi scontri di potere.
Fin dall’inizio di questa escalation politico-militare sono stati evidenti due importanti elementi sui quali porre l’accento, la pericolosità degli attacchi informatici e la necessità di avere un’eccelsa capacità di difesa per evitare danni ai dispositivi, ai sistemi informatici ed alle infrastrutture critiche del Paese.
Ad entrambi gli Stati sono da riconoscere competenze non solo nel campo della cyber difesa ma anche in quello del cyber attacco, facendo di questo uno scontro senza precedenti.
Cyber gang: chi sono e come agiscono i gruppi criminali più pericolosi
Schieramenti hacker: caratteristiche e tipologie di attacchi informatici
Come sappiamo, il 24 febbraio 2022 la Russia ha invaso il territorio ucraino fomentando una brutale escalation della crisi russo-ucraina già in corso da diversi anni. A poche ore dall’invasione, il Conti Group ha fatto il suo ingresso in questa guerra, le cui conseguenze sono rilevanti ed evidenti anche nel mondo della cyber security, appoggiando sin da subito il Governo russo.
Il ransomware della cyber gang Conti
Già a partire dal 2020, sulla base del ransomware Ryuk, è stato possibile individuarne una nuova variante, detta “Conti”. L’omonimo gruppo di hacker non solo ha dimostrato una notevole capacità di adattamento, ma è anche fortemente organizzato, evidenziando sostanziali differenze rispetto al modello standard delle altre organizzazioni criminali che utilizzano programmi RaaS (Ransomware-as-a-Service) più o meno simili tra loro[3].
Peculiare è la solida collaborazione che c’è tra i membri al suo interno, il cui reclutamento prevede che ciascun candidato abbia una specifica expertise. Questa strategia permette di aumentare le probabilità di successo di eventuali attacchi, vantando anche un’ampia gamma di scenari ipotetici di compromissione, dalla email di phishing allo sfruttamento di qualche falla nei sistemi di sicurezza.
Il loro sostegno a Putin è stato giustificato tramite un annuncio pubblicato in rete, dove si poteva leggere chiaramente che condannavano la guerra in essere e inveivano nei confronti dell’Occidente poiché solito coinvolgere nelle sue guerre anche i civili che, invece, necessitano di protezione[4].
Da qui la necessità di ergersi a baluardo in favore dei pacifici cittadini, minacciando ritorsioni contro chiunque attenti alla Russia.
Come contro-risposta, un anonimo esperto informatico ucraino ha deciso di contrastarli, è riuscito a infiltrarsi nei loro server, ha ottenuto l’accesso a dati riservati e li ha divulgati. Così facendo ha danneggiato l’organizzazione proprio il giorno in cui gli hacker filo-ucraini Cyber Partisans hanno sabotato le infrastrutture ferroviarie in Bielorussia utilizzate dalle truppe russe, paralizzando gli hub ferroviari di Minsk e Orsha.
Nonostante la diffusione di queste informazioni abbia rappresentato un duro colpo per il Conti Group, il tutto potrebbe non essere sufficiente a indebolirlo nel lungo termine.
Grazie a questa fuga di notizie riguardante i registri delle chat del collettivo, è stato possibile venire a conoscenza più nello specifico della sua struttura aziendale, nonché degli stipendi e dei riscatti.
Il leader, Stern, agisce come amministratore delegato del gruppo e paga in criptovalute tutti i membri, il cui numero esatto varia nel tempo. La retribuzione avviene due volte al mese e differisce in base alla mansione espletata, infatti un semplice programmatore guadagna tra i 1500 e i 2000 dollari, mentre chi negozia il pagamento del riscatto può addirittura ottenere una fetta dei profitti.
In merito alle criptovalute, il Conti Group utilizza i portafogli SegWit, Segregated Witness, grazie ai quali è possibile ridurre le commissioni di transazione. Così facendo si possono trasferire ingenti quantità di denaro ed è stato stimato che le entrate totali del collettivo superino i 2,7 miliardi di dollari.
Questo gruppo è famoso per aver messo a segno diversi attacchi a doppia estorsione: esfiltra e cifra i dati delle società bersaglio, poi chiede di pagare un riscatto, pena la diffusione delle informazioni riservate, che causerebbe un forte impatto reputazionale.
Opera su una sorta di timeline di pubblicazione e dopo aver fatto presente dell’estorsione alla vittima, viene pubblicata di volta in volta una quantità di dati proporzionale al tempo che si impiega a pagare il riscatto.
Purtroppo, anche il nostro Paese è finito nel mirino di questa organizzazione, infatti nel 2021 sono stati colpiti sia il produttore di patatine e snack San Carlo che l’azienda di giocattoli Clementoni. Dopo la chiusura delle infrastrutture del Conti Group a maggio, le attività del gruppo si sono arrestate, ma diversi esperti sostengono che, in realtà, tutto questo sia da considerarsi un rebranding.
KillNet e gli attacchi DDoS
Anche KillNet si è schierato con la Russia in questo conflitto dichiarando guerra a tutti i Paesi che appoggiano l’Ucraina, Italia compresa. Si tratta di un collettivo criminale filorusso che poco dopo l’inasprirsi dei rapporti tra Russia e Ucraina ha preso di mira il nostro Paese causando il down dei siti della Difesa, del Senato, dell’Aci e anche della Polizia di Stato[5].
Nato per lo sviluppo di una botnet per attacchi DDoS (Distributed Denial of Service) conta un numero così elevato di host infetti, detti zombie, che potrebbe mettere in ginocchio anche i siti ben più protetti.
A differenza degli attacchi ransomware il suo scopo è quello di mandare in tilt le risorse digitali non solo di aziende e di siti strategici, ma anche di infrastrutture critiche, come gli ospedali[6].
Ufficialmente il primo attacco riconosciuto in capo a questo gruppo è stato quello perpetrato contro Anonymous, incondizionato sostenitore del fronte opposto. Ha poi colpito il sito del Presidente Zelensky, dell’esercito ucraino, così come diversi siti della Germania, Polonia, Estonia, Lettonia e della Repubblica Ceca.
Si pensa che dietro KillNet ci siano perlopiù giovani universitari russi appena ventenni che vengono assoldati per combattere contro l’Occidente e che questo collettivo sia legato al gruppo Legion, una sorta di versione russa di Anonymous che recluta hacker che perseguono lo stesso fine in questa guerra ibrida, ossia attaccare i Paesi Nato e l’Ucraina.
A marzo KillNet non solo ha cominciato a chiedere donazioni ma ha iniziato anche a collaborare con un altro collettivo, XakNet, che ha colpito il provider Internet ucraino in risposta ad un attacco all’operatore mobile russo Beeline[7].
Anche KillNet è stato a sua volta vittima di un attacco, questa volta, però, portato avanti da Bluehornet, una gang chiaramente a favore della controparte che ha divulgato informazioni riservate del gruppo.
Il ruolo di Anonymous nella guerra ibrida
L’antitesi di KillNet, invece, è Anonymous, un movimento di hacktivisti che subito dopo l’invasione ha dichiarato guerra alla Russia e si è infiltrato nelle TV e nei siti di Stato.
Composto da chiunque voglia farne parte, purché persegua gli stessi valori e obiettivi e sia in possesso di competenze volte ad attuarli, si basa sulla convinzione che tutti possono essere Anonymous.
Nato agli inizi del nuovo millennio, si caratterizza per la scelta di utilizzare la maschera di Guy Fawkes, famoso cospiratore cattolico che cercò di assassinare Giacomo I d’Inghilterra, diventando così un vero e proprio marchio distintivo. Questo gruppo è privo di capi e di gerarchie.
Tra le armi che solitamente Anonymous utilizza vi sono gli attacchi DDoS, le modifiche ai siti, ovvero i c.d. defacement, per mandare messaggi o prendere in giro il legittimo proprietario, così come insinuarsi nei media tradizionali[8].
Alcune volte coopera con le forze di polizia nell’ambito di indagini che contribuiscono a diversi arresti.
Tra gli attacchi più rilevanti ricordiamo quello contro Scientology, il supporto a WikiLeaks andando a colpire Amazon, PayPal e Visa, quello contro il Governo della Tunisia poiché ne appoggiava la rivolta e anche quello contro l’ex Presidente dell’Egitto Mubarak mandando in tilt i siti governativi fino a quando non ha rassegnato le sue dimissioni. In passato anche l’Italia è stata colpita con attacchi mirati ad Enel, AGCOM, Trenitalia, Equitalia ed alle forze dell’ordine[9].
Ora, al centro della sua attenzione, c’è il Cremlino, infatti durante l’anno in corso ha hackerato la Banca centrale russa e ha messo offline diversi siti di società che continuavano ad operare in Russia nonostante il conflitto, tra cui Nestlé.
Il vicepremier ucraino ha annunciato tramite Twitter la creazione di un esercito IT, costituito da sviluppatori ed esperti informatici volontari che difendono il Paese dalla minaccia russa. Tipici sono gli attacchi DDoS, i ransomware e le azioni di defacement che mostrano una pagina compromessa del sito preso d’assalto. Gli obiettivi da colpire sono svariati e vengono inseriti all’interno di canali-ritrovo cosicché gli hacker possano eseguire autonomamente gli attacchi[10].
Non tutte queste azioni hanno un valore puramente simbolico, infatti alcune rivendicate sia da Anonymous che da IT Army hanno una diversa portata, come la già citata incursione di Anonymous nella televisione russa per mostrare le immagini del conflitto e gli attacchi di IT Army contro i bancomat russi per renderli inutilizzabili.
Purtroppo, non sempre è agevole e facile appurare che queste attività siano andate a segno o meno a causa non solo della confusione, che si crea all’interno dei diversi canali di comunicazione impiegati, ma anche per l’assenza di riscontri e per la natura informale che caratterizza tutti questi gruppi di hacker[11].
NOTE
Andrea Antonielli, Cos’è il Cybercrime e come possono combatterlo le aziende in Italia, qui, 4 maggio 2020. [Ultima consultazione: 04/11/22]. ↑
Marco Santarelli, Una nuova intelligence: così la guerra ibrida Russia-Ucraina ha cambiato i nostri Servizi, qui, 14 luglio 2022. [Ultima consultazione: 11/12/22] ↑
Emanuele De Lucia, Conti, la gang del ransomware che sta attaccando l’Italia, qui, 17 novembre 2021. [Ultima consultazione: 07/11/22] ↑
Arturo di Corinto, Perché la gang ransomware Conti si schiera con Putin: come cambia il cyber crime, qui, 28 febbraio 2022. [Ultima consultazione: 07/11/22]. ↑
Dario Fadda, Nuovo attacco russo a siti istituzionali italiani, disservizi diffusi: cosa sta succedendo, qui, 20 maggio 2022. [Ultima consultazione: 09/11/22]. ↑
Emanuele De Lucia, Killnet, chi è la cyber gang vicina al Cremlino che sta attaccando l’Italia, qui, 16 maggio 2002. [Ultima consultazione: 09/11/22]. ↑
Ibidem. ↑
Luca Sanna, Anonymous: oggi eroi, ma domani? Breve storia del collettivo che fa la guerra a Putin, qui, 14 marzo 2022. [Ultima consultazione: 10/11/22]. ↑
Ibidem. ↑
Luisa Franchina, Gli hacker filoucraini contro la Russia: chi sono, come agiscono, cosa vogliono, qui, 16 maggio 2022. [Ultima consultazione: 10/11/22]. ↑
Ibidem. ↑
