I confini rilevanti per l’individuazione di gruppi di cybercrime, hacktivisti e minacce cibernetiche poste in essere dagli Stati vivono una situazione tale da renderli sempre più effimeri ed evanescenti.
Tale dimensione si accentua maggiormente laddove si assiste a una sorta di sovrapposizione tra le attività dei gruppi di hacker criminali e le attività delle agenzie di intelligence degli Stati. Matthew Olsen, Assistente del Procuratore Generale per la Sicurezza Nazionale presso il Dipartimento di Giustizia degli Stati Uniti, ha recentemente dichiarato in un’intervista al Wall Street Journal che “in alcuni casi, questi gruppi sono favoriti dai servizi di spionaggio” specificando, inoltre, che “non solo vengono accettati, ma anche supportati in maniera diretta”.
La questione si è accentuata con particolare rilevanza in relazione al conflitto tra la Russia e l’Ucraina. Tale scenario ha incrementato le difficoltà di analisi e individuazione degli attori operanti nel cyberspazio, così come ha reso più complicato lo studio e la qualificazione delle loro condotte.
Un esempio su tutti è il caso del collettivo Conti. Inizialmente formato come gruppo specializzato in attività di cybercrime, Conti ha espresso pieno supporto al Governo di Mosca a seguito dell’invasione dell’Ucraina, sottolineando che avrebbe attuato operazioni cibernetiche offensive contro i paesi considerati “ostili” dalla Federazione Russa.
D’altro canto, il collettivo Anonymous, tipicamente impegnato in attività di hacktivismo, ha espresso sostegno alla causa ucraina, realizzando cyber operations aventi come finalità l’esfiltrazione e la pubblicazione di dati e documenti riservati. Tra esse, si rileva la diffusione online di 120 mila nominativi di soldati russi e il furto di 700 GB di dati appartenenti ad aziende di importanza strategica per il Cremlino, tra cui Aerogas e Petrovsky Fort.
Il conflitto in Ucraina segna l’ingresso dei privati nella cyberwar: ruoli e scenari
Indice degli argomenti
Come cambia il modus operanti dei gruppi criminali
Parallelamente all’emersione di nuove tendenze ed equilibri delle condotte illecite che prendono forma all’interno del cyberspazio, si assiste allo sviluppo e al raffinamento del modus operandi tipico degli attori in esso coinvolti.
A fronte delle sanzioni statunitensi irrogate nei confronti della Federazione Russa, infatti, le frange di hacker vicine a Mosca procedono su nuovi binari, anche sfruttando la possibilità di attaccare per mezzo di cellule eterogenee e di dimensioni minori.
Sintomatica è la vicenda che vede protagonista Evil Corp, gruppo cyber criminale localizzato in Russia e sanzionato dagli Stati Uniti nel 2019 dopo essere stato accusato di essere responsabile di un furto da 100 milioni di dollari nei confronti di oltre 300 banche.
Si è assistito, in tale contesto, ad un cambiamento di approccio strategico e tattico da parte degli hacker ritenuti solidalmente vicini al collettivo. La galassia ruotante attorno ad Evil Corp, infatti, ha abbandonato lo strumento del malware da loro prodotto ed utilizzato, virando verso metodi alternativi. La nuova tendenza si sposta verso il ricorso al noleggio del ransomware, noto come Lockbit, al fine di ottimizzare la loro attività e garantire un maggior grado di anonimato.
Un altro tipo di ransomware apparso di recente è quello denominato come Chaos. Si tratterebbe di un virus mirante alla distruzione dei dati contenuti in un dispositivo, a cui non sono associati codici di decrittazione o istruzioni per il recupero dei file.
Secondo gli esperti di FortiGuard Labs, questo malware sarebbe stato sviluppato da un anonimo attivista filorusso non facente parte di nessun gruppo. È probabile che nel prossimo futuro questo tipo di malware subiscano un incremento a causa della facilità del loro sviluppo e del loro impiego da parte di qualsiasi esperto informatico.
Così i gruppi criminali aggirano le sanzioni occidentali
Un numero sempre maggiore di gruppi hacker potrebbe fare ricorso alle nuove misure di camuffamento soprattutto per eludere le sanzioni poste in essere contro di essi dagli Stati occidentali.
Recentemente, l’Office of Foreign Assets Control (OFAC) del Dipartimento del Tesoro statunitense ha diramato una direttiva che vieta alle vittime dei ransomware di pagare riscatti ad organismi inseriti nelle black list.
Nel caso in cui un’entità fosse oggetto di questa tipologia di attacco da parte di un attore fino a quel momento sconosciuto, sarebbe assai complesso determinare se l’azione sia portata avanti da un soggetto sottoposto a sanzioni.
Il Governo russo e i rapporti con i criminal hacker
Questa specifico scenario potrebbe verificarsi nel caso di un ulteriore aumento delle tensioni tra Russia e Occidente.
In seguito allo scoppio delle ostilità in Ucraina, le autorità di Mosca hanno cessato di collaborare con quelle dei paesi occidentali nel contrasto alla pirateria informatica. È dunque possibile che il Governo russo possa arruolare hacker in qualità di suoi agenti operativi.
Una prova in tal senso sarebbe osservabile nell’imminente rilascio dei 14 membri del gruppo REvil, arrestati nel 2021 sulla base di un presunto accordo tra Washington e Mosca durante il summit di Ginevra. Secondo quanto riportato dal quotidiano russo Kommersant, i magistrati sarebbero intenzionati a far cadere le accuse pendenti contro gli hacker imprigionati, a patto che questi ultimi collaborino con agenzie governative di sicurezza per contrastare “azioni malevole condotte dall’Ucraina”.
La strategia di Mosca per destabilizzare l’Occidente
In un simile contesto, la Russia sarebbe in grado di fare largo uso delle competenze dei suoi hacker per lanciare attacchi su vasta scala contro gli Stati rivali al fine di destabilizzarli. In particolare, il Cremlino potrebbe utilizzare questi attori come espediente per ottenere ingenti guadagni dalla riscossione degli attacchi ransomware, sulla scia di strategie già impiegate da altri paesi, in primis la Corea del Nord. Si calcola, infatti, che nel 2021 Pyongyang abbia guadagnato circa 400 milioni di dollari in criptovalute dalle azioni condotte dai suoi hacker.
Oltre alle istituzioni statali e alle grandi compagnie, sarebbero minacciate anche le aziende di piccole e medie dimensioni.
Una strategia parallela che potrebbe condurre il Cremlino attraverso i suoi hacktivisti è la massiccia diffusione di propaganda filorussa volta a generare insicurezza verso i paesi occidentali e a screditare i governi agli occhi dei loro cittadini.
