Al culmine delle tensioni tra Ucraina eRussia, nella notte tra giovedì 13 e venerdì 14 gennaio 2022, decine di siti governativi ucraini sono messi offline da un cyberattacco. Chi visitava siticome quello del Ministero degli Esteri, trovava le pagine completamente defacciate, su cui campeggiava un messaggio minaccioso in ucraino, russo e polacco: ‘Ucraini! Tutte le vostre informazioni sono diventate pubbliche; abbiate paura e preparatevi al peggio. Per il passato, il presente e il futuro’, si leggeva nel testo sottostante ad un’icona con la bandiera di Kiev ‘bannata’.
Una fonte della giornalista Kim Zetterha rivelato che tutti i siti violati sarebbero stati attaccati sfruttando una vulnerabilità del sistema di content management, October. Tuttavia, non sarebbero stati cancellati database e, nonostante alcuni rimandi alla seconda guerra mondiale e a vecchie tensioni con i polacchi – probabilmente inseriti ad arte per sviare – in molti avevano notato che l’attacco era avvenuto a poche ore dal fallimento dei negoziati tra NATO, Stati Uniti e Russia sulla crisi ucraina.
In una nota, il Ministero della Trasformazione digitale ha affermato: “Tutte le prove indicano che c’è la Russia dietro al cyberattacco. Mosca sta continuando a condurre una guerra ibrida” contro l’Ucraina. Secondo Serhiy Demedyuk, vice segretario del Consiglio per la sicurezza e la difesa nazionale, ha detto a Reuters che l’Ucraina ritiene che la responsabilità dell’attacco sia di un gruppo noto come UNC1151.
“L’obiettivo” della Russia – prosegue la nota ministeriale – “non è solo quello di intimidire la società. E’ di destabilizzare la situazione in Ucraina fermando il lavoro del settore pubblico e minando la fiducia nelle autorità da parte dei cittadini”, prosegue il ministero nella nota, esortando i cittadini “a non farsi prendere dal panico”. Dal canto suo, Mosca ha respinto ogni accusa: “La Russia non ha nulla a che fare con questi attacchi informatici”, ha detto alla Cnn il portavocedel Presidente Vladimir Putin, Dmitri Peskov. “Gli ucraini danno la colpa di tutto alla Russia, anche del maltempo nel loro paese”, ha aggiunto.
“Gli esperti informatici della NATO” — ha annunciato il Segretario generale dell’Alleanza, Jens Stoltenberg — “hanno scambiato informazioni con le loro controparti ucraine sulle attuali attività informatiche dannose. Gli esperti alleati nel paese stanno anche sostenendo le autorità ucraine sul terreno. Nei prossimi giorni, la NATO e l’Ucraina firmeranno un accordo su una maggiore cooperazione informatica, compreso l’accesso ucraino alla piattaforma di condivisione delle informazioni sui malware della NATO. Il forte sostegno politico e pratico della NATO all’Ucraina continuerà”. Nei giorni successivi, l’Alleanza e Ucraina hanno siglato un accordo per una maggiore cooperazione informatica, che comprende anche l’accesso per Kiev alla piattaforma di condivisione delle informazioni sui malware alleata. Eppure – stando alle rivelazioni di Oleksiy Danilov, Segretario del Consiglio di sicurezza nazionale e difesa ucraino – l’Ungheria avrebbe posto il veto all’ingresso di Kiev nella Cooperative Cyber Defense of Excellence della NATO.
“Apprezziamo l’aiuto delle aziende e dei funzionari statunitensi, è molto prezioso per noi” – ha ribadito Victor Zhora, vicecapo della Derzhspetszviazok, l’agenzia di sicurezza informatica ucraina, a CyberScoop – “Abbiamo avuto alcuni colloqui con diverse persone, e sentiamo il sostegno e il supporto pratico. Continuiamo a ricevere informazioni preziose, che ci permettono di continuare le indagini”.
“Tutti i dati personali sono protetti in modo affidabile nei registri statali” ha rassicurato il Ministero della Trasformazione digitale di Kiev, ma l’attacco cibernetico è stato quasi contestuale alla segnalazione da parte di Microsoft della diffusione di un (ancora dormiente) malware ‘distruttivo’ dei dati ( un wiper) ai danni di “agenzie governative ucraine che forniscono funzioni critiche del ramo esecutivo o di risposta alle emergenze” e addirittura “un’azienda informatica che gestisce siti web per clienti del settore pubblico e privato, comprese le agenzie governative i cui siti web sono stati recentemente danneggiati”.
Il malware, di cui Kiev non ha esitato a denunciare la matrice russa, – chiarisce Microsoft – “è mascherato da ransomware ma, se attivato dall’attaccante, rende il sistema informatico infetto inutilizzabile“, distruggendo i registri del governo ucraino, interrotto i servizi online e impedito al governo di comunicare con i suoi cittadini. L’efficacia della tecnica del wiper ransomware consiste anche nel fatto che il software sembra in superficie come se fosse stato costruito da criminali – quindi, richiesta di un riscatto in cambio della restituzione dei dati – dando al governo che lo ha creato un modo per negare il coinvolgimento, ma non è davvero un prodotto criminale. Come ha affermato Matthew Olney, direttore di threat intelligence e interdizione con Cisco Systems Inc., lo scopo di questo malware è danneggiare il più possibile: “Se lo fai sembrare proprio come un ransomware, non hai applicato alcuna pressione all’altra parte, hai solo causato loro dolore. È una tecnica sottile”.
Il Vicepresidente senior di Intelligence della società di cybersicurezza CrowdStrike, Adam Meyers, ha messo in guardia l’Occidente: “Non crediamo che i russi prenderanno di mira gli Stati Uniti o le entità occidentali, ma se le cose si intensificano e usano ulteriori capacità informatiche in Ucraina, potrebbero esserci delle ricadute”.
D’altra parte, fa notare Microsoft, l’attacco del 2017, noto comeNotPetya, fece uso dello stesso tipo di malware, il ‘wiper’ (che cancella tutti i dati della vittima), compromettendo un software per la contabilità molto usato nel Paese: distrutti più di 12.000 computer e interrotti gli scambi tra le agenzie governative e le imprese, al contempo, attivòlo ‘spillover’. Ad esser infettati, infatti, oltre ai due terzi dei computer ucraini, anche i sistemi di altri 60 Paesi. L’attacco, poi ricondotto dall’intelligence USA alla Russia, danneggiò diversi settori dell’economia, paralizzò i porti internazionali e società come FedEx e la compagnia di navigazione Maersk, interrompendo le catene di approvvigionamento e bloccando l’economia globale. “Come ha dimostrato l’attacco NotPetya, la Russia non ha evitato attacchi online che hanno provocato danni collaterali alle organizzazioni al di fuori dell’Ucraina e qualsiasi ulteriore invasione avrebbe probabilmente un impatto internazionale”, afferma Ian Thornton-Trump, CISO presso la società di intelligence sulle minacce Cyjax.
Un cyber-attacco coinvolgerebbe, dunque, anche quei Paesi occidentali che intrattengono rapporti commerciali con Kiev, ma non è escluso che si propaghi oltre. Un’ipotesi che impensierisce anche il mondo assicurativo visto che i danni causati dal cyberattacco russo di quattro anni fa contro l’Ucraina del 2017 sono stimati in 10 miliardi di dollari. Per questo, le compagnie stanno provando a crearsi uno scudo, visto l’esito del processo tra il gigante farmaceutico Merck & Co. e i suoi assicuratori di proprietà, conclusosi con la considerazione delle clausole relative alla guerra anche a quella cyber, e quindi l’obbligo dell’assicurazione di risarcire i danni.
: «Small molecules rallentano artrite reumatoide»
00:00
/
00:00
Joshua Motta, amministratore delegato dell’assicuratore Coalition Inc, si è detto convinto che il settore assicurativo “è un grande pendolo tra paura e avidità” e i costosi attacchi di ransomware negli ultimi anni hanno fatto spostare il pendolo verso la paura, con la conseguenza dell’aumento dei prezzi o la riduzione della copertura degli incidenti informatici in generale.
Occorre, però, contestualizzare questi attacchi nella cyberwarfare di bassa intensità che si protrae da diversi anni in Ucraina, divenuta il bersaglio di un attacco cibernetico alla Commissione elettorale per condizionare l’esito del voto già nel 2014. La prima offensiva cibernetica ad aziende di distribuzione dell’energiarisale al dicembre 2015, lasciando per ore al buio 230mila persone nella regione di Ivano-Frankivsk. A Natale 2016, un secondo cyber-attacco tenne Kiev in blackout per un’ora. Nel giugno 2017, con il NotPetya, all’eterno ritorno si è aggiunto il salto di qualità con relativo spillover. Niente di nuovo se si considerano gli attacchi all‘Estonia e alla Georgia che dimostrano chiaramente come la Russia possa interromperele funzioni del governo e seminare confusione mentre si prepara per le operazioni militari. Più recentemente, Mosca avrebbe preso di mira le infrastrutture e le catene di approvvigionamento degli Stati Uniti, ma avrebbe anche condotto importanti campagne di disinformazione. I funzionari statunitensi stanno ancora indagando sull’entità del recente attacco informatico SolarWinds, ad esempio, ma hanno stabilito che l’attacco ha compromesso agenzie federali, tribunali, numerose società private e governi statali e locali. È evidente che le attività russe mirino ad intaccare la sicurezza interna e nazionale degli Stati Uniti, le istituzioni democratiche e persino la salute pubblica. Tali trascorsi spiegano perché, con intensità crescente, negli ultimi anni, l’Occidente ha provato a rafforzare le cyber-difese di Davide-Ucraina (ci sarà riuscito?).
Come dimostrano quegli incidenti, la Russia non è sembrata rifuggire i ‘test sul campo’ – ha affermato Robert Hannigan, l’ex capo del GCHQ, l’agenzia britannica di intelligence dei segnali, crittografia e garanzia delle informazioni – “Mentre alcune attività sono sembrate una vera e propria sperimentazione, altre sembrano aver testato e perfezionato potenziali attacchi distruttivi, ad esempio contro le reti di servizi”. Se, strategicamente, le operazioni informatiche russe sono progettate per indebolire il governo ucraino e le organizzazioni private, tatticamente, le operazioni mirano a spaventare e fiaccare la popolazione. Del resto, la propaganda russa, veicolata soprattutto in rete, ha dipinto una guerra con l’Ucraina come una guerra di liberazione. Molte false narrazioni dipingono gli ucraini come sottomessi e desiderosi di riunificazione nell’intento (russo) di seminare confusione ed influenzarne la popolazione etnica russa all’interno dell’Ucraina. Il tutto per aprire la strada all’invasione. Tale impostazione chiarisce la logica di fondo: la Russia vede la guerra come un continuum, con intensità variabile e su più fronti, di cui l’aspetto cyber costituisce solo una parte.
“Per molti anni, l’Ucraina è stata il parco giochi informatico della Russia”, ha dichiarato alla BBC Ciaran Martin, che ha gestito il National Cyber Security Center for Britain del GCHQ dal suo lancio nel 2014 fino al 2020. “Se o quando si verifica un’operazione offensiva, i russi probabilmente riveleranno attacchi molto più significativi di quelli usati nella prima invasione dell’Ucraina e nella campagna della Georgia del 2008″, ha detto a Information Security Media Group. “A causa del diffuso trasferimento di etichette VPN e multiprotocollo – MPLS – connessioni dall’Ucraina a organizzazioni esterne, per aziende e sistemi finanziari, qualsiasi tipo di attacco informatico significativo contro l’Ucraina potrebbe rapidamente trasformarsi in un attacco informatico internazionale”.
Per Ciaran Martin, che ora è professore di pratica presso la Blavatnik School of Government dell’Università di Oxford, “quello che sappiamo dalla… maligna attività informatica russa contro l’Ucraina è che la Russia ha sia la capacità che la volontà di usarla contro quel Paese. Quello che ci si potrebbe aspettare in caso di azione militare è una combinazione di attività cibernetica e azione diretta contro i sistemi di comunicazione militari ucraini, ovviamente, ma anche forse il tipo di interruzione sociale di cose come elettricità e forniture energetiche, interruzione potenzialmente a media, un po’ di disinformazione e così via, nonché interruzioni dei servizi governativi”.
Il ritmo delle operazioni informatiche russe ha continuato ad aumentare nelle ultime settimane – conviene Dmitri Alperovitch, Presidente di Silverado Policy Accelerator e co-fondatore ed ex CTO della società di sicurezza informatica CrowdStrike. – “Dall’inizio di dicembre, c’è stato un drammatico aumento delle intrusioni informatiche sul governo ucraino e sulle reti civili dalla Russia”, inclusi i sistemi bancari, governativi e infrastrutturali, afferma Alperovitch tramite Twitter. “Gli obiettivi sono esattamente quelli che ti aspetteresti di essere preso di mira per la raccolta di informazioni e la preparazione del campo di battaglia prima di un’invasione”. Alperovitch osserva che Putin ha quasi 70 anni, ansioso di legare obiettivi geopolitici liberi per il suo paese, e “probabilmente crede che il costo militare sarà basso” se la Russia occupasse la parte orientale dell’Ucraina e la usasse per “stabilire una zona cuscinetto permanente tra Europa e Russia, nonché un ponte terrestre verso la Crimea”.
Negli stessi giorni della crisi (anche cyber) ucraina, il servizio di sicurezza russo, l’FSB, ha reso noto (diffondendo il video dell’operazione) di aver perquisito le 25 abitazioni dei 14 membri arrestati del gruppo criminale ransomware noto come REvil, accusato di grandi attacchi contro le imprese e le infrastrutture critiche degli Stati Uniti (come quello al processore di carni JBS – per il quale ha ottenuto un pagamento di riscatto di 11 milioni di dollari – e al fornitore IT Kaseya), interrompendo le sue operazioni su richiesta delle autorità statunitensi. Sarebbero stati sequestrati più di 426 milioni di rubli, 600mila dollari e 500mila euro in banconote, criptovalute, computer e auto di lusso. I membri di REvil sarebbero stati arrestati in relazione alle accuse di riciclaggio di denaro: infatti, ha rivelato un alto funzionario americano, tra gli arrestati, ci sarebbe “il responsabile dell’attacco alla Colonial Pipeline la scorsa primavera”, un’offensiva ransomware particolarmente devastante che ha portato il principale condotto di carburante sulla costa orientale degli Stati Uniti ad essere chiuso per giorni. Lo stesso funzionario ha accolto “con favore le notizie che il Cremlino sta prendendo misure di applicazione della legge per affrontare il ransomware all’interno dei suoi confini”, ma ha precisato che il giro di vite “non è legato a ciò che sta accadendo con la Russia e l’Ucraina”, e che gli Stati Uniti sono stati chiari sulle sanzioni che Mosca dovrà affrontare se invade il suo vicino. In realtà, “questa è la diplomazia russa del ransomware” – è la tesi di Dmitri Alperovitch – “Un segnale per gli Stati Uniti: se non emanate severe sanzioni contro di noi per l’invasione dell’Ucraina, continueremo a collaborare con voi sulle indagini ransomware”.
È anche vero che, dalla scorsa estate, i funzionari statunitensi e russi hanno conversazioni bilaterali per la cooperazione sul terreno cyber. Gli arresti sono un primo importante segnale. Non è detto tuttavia che sia l’inizio di una vera cooperazione cyber strutturale tra i due Paesi, ma solo un modo per ridurre le tensioni.
Interessante è il punto di vista di John Hultquist, Vicepresidente della società intelligence analysis Mandiant, azienda statunitense specializzata nella difesa e risposta ai cyber attacchi, “gli attacchi defacement di massa ai siti web del governo ucraino sono coerenti con gli incidenti che abbiamo già notato in passato, quando le tensioni erano in crescita nella regione. Già durante l’invasione della Georgia nel 2008 avevamo rilevato un attacco defacement al Ministero degli Affari Esteri che metteva a paragone il presidente georgiano a Hitler. Recentemente, nel 2019, Sandworm, l’unità GRU 74455, ha effettuato attacchi defacement di massa in Georgia. Questa attività potrebbe essere il lavoro svolto da parte di personale governativo o aggressori sponsorizzati da un governo oppure da elementi della società civile che reagiscono in modo indipendente. Storicamente, la maggior parte di queste attività di defacement sono state realizzate sia da hacker, che con metodi poco sofisticati volevano divulgare un messaggio patriottico, ma anche da aggressori molto esperti sponsorizzati da un governo. Anche se un incidente che colpisce diversi obiettivi contemporaneamente può sembrare a prima vista un’operazione complessa e avanzata, potrebbe essere il risultato dell’accesso a un singolo sistema di gestione dei contenuti. È importante non sopravvalutare la capacità necessaria per portare a termine questo attacco. Con la crescita delle tensioni possiamo aspettarci un’attività informatica più aggressiva in Ucraina e potenzialmente anche in altri Paesi. Questa attività può variare da defacement e DDOS ad attacchi distruttivi che prendono di mira le infrastrutture critiche. Le organizzazioni, per questo motivo, devono iniziare ora a prepararsi.”
È così? Cosa aspettarsi dalle prossime settimane?Lo abbiamo chiesto a Luigi Martino, Responsabile e coordinatore del Center for Cybersecurity and International Relations Studies (Ccsirs) presso la Facoltà di Scienze Politiche ‘Cesare Alfieri’ di Firenze, dove insegna Cyber Security and International Relations. Autore di numerose pubblicazioni in italiano, inglese e spagnolo su temi legati alla sfera cyber, è membro del Research Advisory Group of the Global Commission on the Stability of Cyberspace e del gruppo di esperti ENISA per l’implementazione della Direttiva Europea NIS. Dal 2017 è siede anche nel gruppo di lavoro Ise-shima G7 Cyber Group e del Forum for Cyber Expertise, dove rappresenta il Ccsirs.
Professor Martino, in molti sostengono che l’invasione dell’Ucraina da parte russa, a livello cyber, sia già iniziata. Lei che idea si è fatto?
Lo dicono i fatti empirici, nel senso che, fin dal 2014, quando è nata la questione della Crimea, la Russia ha utilizzato anche gli strumenti cyber per raggiungere gli obiettivi politici. Quindi, scansiamo subito un equivoco per cui ci sarà una guerra cyber. Lo strumento cyber è messo a disposizione dell’intero comparto militare e i russi non hanno mai diniegato di ricorrere a questi strumenti, fin dal 2007, in Estonia, e poi con nel 2008-2010, in Georgia, dove lo strumento cyber ha coadiuvato l’azione militare. Anche nell’ambito del confronto ucraino, questo strumento viene utilizzato, fin dall’inizio, sia in ambito militare che in ambito più ‘politico’, per attività di ‘disinformation’, ossia per attività psicologiche come quando, per esempio, hanno iniziato ad inviare via mail oppure a veicolare con i troll sui social media messaggi che definivano il governo Kiev come ‘nazista’, che perseguitava il popolo ucraino, in particolare russofono.
Allora, partendo da questo presupposto, è plausibile che il recente attacco hacker a diverse decine di siti governativi ucraini – che Kiev ha subito attribuito alla Russia – sia effettivamente responsabilità russa? Il tentativo russo è stato quello di aumentare la pressione diplomatica sull’Ucraina?
Il modus operandi russo c’è, lo abbiamo visto anche in altre occasioni, come nel caso della Georgia, dove hanno utilizzato lo strumento cyber per il ‘denial of service’, cioè mandare in tilt il sistema di comando e comunicazione del governo georgiano prima dell’invasione. È un modus operandi che non credo non utilizzerebbero (o non utilizzeranno) nel caso di un confronto militare. È, quindi, molto plausibile che l’attacco contro l’Ucraina del gennaio scorso sia attribuibile alla Russia, visto il modus operandi. L’attacco, però, può essere interpretato in vari modi: per il confronto diretto con il governo ucraino oppure per alzare l’asticella del confronto diplomatico.
Siamo pur sempre nell’ambito della cosiddetta ‘guerra ibrida’.
Assolutamente sì, anche se, come sappiamo, tutte le guerre sono ibride per natura.
Negli stessi giorni della crisi tra Mosca e Kiev, la Russia ha annunciato l’arresto di 14 membri del gruppo criminale ransomware, REvil, accusato di grandi attacchi contro le imprese e le infrastrutture critiche degli Stati Uniti. Una coincidenza sospetta?
Su quello che succede dietro le quinte, noi potremmo fare degli scenari, ma anche degli ‘scemari’. Per mia natura, non credo alle coincidenze, però, fatto sta che se il governo russo ha preso questa decisione, avrà fatto un calcolo costi-benefici che, evidentemente, la stessa rete criminale aveva colpito anche obiettivi russi. Come accade nella lotta al terrorismo, c’è una collaborazione che va al di là degli interessi particolari perché quello è il nemico comune. Non mi sorprende questa collaborazione: può certamente colpire la coincidenza nei tempi e non è detto che questa cooperazione non venga messa sul piatto del negoziato aperto tra Mosca e Washington. Allo stesso modo, non mi sorprende che la Russia abbia collaborato con gli Stati Uniti per l’ultima operazione fatta in Siria contro il capo locale dell’ISIS.
Cosa ci dice la somiglianza – rintracciata dall’Ucraina, ma anche da Microsoft – tra il malware del gennaio scorso e quello del 2017? L’Occidente sta pian piano aumentando le sue capacità cyber mentre la Russia non sta facendo grandi passi in avanti?
Il salto di qualità, se vogliamo, c’è stato nel contesto dell’attribuzione, il ‘male originale’ di questo tipo di azioni. Del resto, se vogliamo usare la battuta di un film, ‘così fan tutti’. Ma c’è stato un passo in avanti dall’attribuzione tecnica, basata su evidenze tecniche, all’attribuzione politica: lo abbiamo visto quando Joe Biden ha reagito con vigore al ransomware contro la Colonial Pipeline, dando un’attribuzione politica alla Russia, alla quale ha chiesto spiegazioni nonostante non ci fossero evidenze tecniche che dietro l’attacco ci fosse Mosca. Si tratta della cosiddetta ‘attribuzione pubblica’, uno strumento un’attività che si sta implementando da parte degli Stati occidentali. Quello che mi preoccupa di più è la convergenza di interesse tra Russia e Cina.
La Russia potrebbe avere bisogno del supporto cinese per una guerra cyber? O, comunque, ha qualcosa da imparare dal Dragone nell’utilizzo delle armi cibernetiche?
Io penso che la Russia abbia di che guardarsi dalla Cina. Quello che l’Occidente sta facendo è isolare la Russia, ma non va dimenticato che quando Mosca è stata isolata – come accaduto a ridosso della Prima Guerra Mondiale – ad un certo punto si è dovuta creare delle alleanze. Il fatto che la Russia e la Cina abbiano fatto un comunicato congiunto contro la NATO ed un suo allargamento ad Est, questo è, secondo me, è un dato molto importante sia dal punto di vista politico che diplomatico-militare.
In caso di cyber-attacco da parte della Russia, l’Ucraina sarebbe in grado di difendersi o resta, come in passato, vulnerabile sotto il profilo cibernetico?
‘Vale la pena morire per l’Ucraina?’. Mi spiego: un cyber-attacco all’Ucraina comporterebbe l’innesco dell’automatismo delle alleanze, quindi, gli Stati Uniti dovrebbero dare sostegno tecnico per rispondere all’attacco. A quel punto, sarebbe la discesa in campo degli Stati Uniti contro la Russia, ma a fianco di un non-membro dell’Alleanza Atlantica. L’Ucraina ha dimostrato di non essere in grado di affrontare un attacco russo a livello cyber anche perché le infrastrutture ucraine sono gestite da strumenti russi. Fino a poco tempo fa, Mosca è stata provider tecnologico dei Paesi sovietici ed è ovvio che è più semplice, avendo il vantaggio di poter contare su propri uomini all’interno dell’apparato statale ucraino. Lo hanno dimostrato nell’affaire ucraino di Trump.
A seguito del recente cyber-attacco ai siti governativi ucraini, la NATO ha ribadito il proprio sostegno, anche tecnico, a Kiev. Negli ultimi anni, anche in preparazione del nuovo Concetto Strategico per la NATO2030, l’Alleanza ha posto la cyber-sicurezza tra le sue nuove priorità. Ma qual è lo stato attuale delle sue capacità cibernetiche? In altri termini, sarebbe in grado, ad oggi, di reagire ad un attacco cibernetico russo?
Se si parla di un attacco militare classico, è ovvio che la Russia non potrebbe sostenere un confronto con la NATO. Tuttavia, è fuorviante fare analogie tra gli attacchi cyber e gli attacchi classici: se un attacco cyber invece che colpire una forza armata della NATO, andasse a colpire un’azienda strategica che è provider della forza armata, è un attacco bellico oppure no? Bisognerebbe capire fino a che punto i Paesi dell’Alleanza Atlantica sono in grado di allargare lo scopo del concetto di attacco bellico.
E, quindi, modulare una risposta comune alleata, il che non è facile vista l’’opacità’ di un attacco cyber.
Non a caso, Putin sta ammassando truppe al confine con l’Ucraina. Se avesse potuto raggiungere l’obiettivo militare con un costo bassissimo, cioè mediante l’attacco cyber, lo avrebbe fatto. Ma sa benissimo che, anche come messaggio alla Comunità Internazionale, ha bisogno di mettere sul tavolo la sua forza militare classica così come lo stanno facendo gli altri Paesi a supporto dell’Ucraina.
Come possiamo leggere l’invio da parte di Biden della sua vice-Consigliera alla Sicurezza Nazionale, Anne Neuberger – che ha la delega alle tecnologie cyber – in Europa? C’è la volontà di rassicurare quei Paesi del sostegno americano anche sul piano cyber?
Assolutamente sì. Se si fanno delle dichiarazioni che non si faranno passi indietro nel caso di invasione russa, bisogna poi mantenere le promesse ed è ovvio che questo è un segnale di supporto politico e tecnico agli alleati della NATO, come Estonia e Polonia. Questo anche per ribadire la robustezza della difesa, ma anche per fornire capacità di risposta.
“Se continuano ad usare sforzi informatici, beh, possiamo rispondere allo stesso modo, con il cyber”, ha avvertito il Presidente Joe Biden in conferenza stampa nei giorni seguenti al recente attacco ai siti ucraini.Nel caso di una cyber offensiva contro Kiev di matrice russa, gli Stati Uniti sarebbero effivamente pronti ed in grado di contrastarla?
Ovviamente, secondo me, gli Stati Uniti darebbero supporto all’Ucraina anche in modo molto aperto in quanto la caratteristica più interessante dello strumento cyber è che permette di agire nel più completo anonimato. Quindi, darebbero supporto, ma le linee rosse sono state poste da entrambi i lati. Il fatto che gli Stati Uniti possano dare supporto all’Ucraina di fronte ad un’invasione o ad un’operazione ibrida innescherebbe un meccanismo che spianerebbe la strada a Putin. Quello che mi chiedo è fino a che punto gli attori in campo sarebbero disponibili a far sì che la Russia non si trovi con le spalle al muro perché, come sosteneva Machiavelli, le guerre non si fanno solo per questioni militari, ma, soprattutto, per onore e per paura: uno degli obiettivi principali di uno Stato è sopravvivere e, se si sente minacciato, quello è un problema serio.
E’ comprensibile il timore russo di un allargamento ad Est della NATO, che, peraltro, a suo tempo, l’Occidente aveva promesso di non realizzare?
Come sosteneva Machiavelli, ‘bisogna dire le cose per quello che sono’: negli anni ‘60 è successo qualcosa che non è andato giù agli Stati Uniti, quando l’URSS ha installato i missili a Cuba. La domanda che pongo è: cosa sarebbe successo se la Russia avesse stretto un’alleanza con il Messico? Come hanno reagito gli Stati Uniti durante la crisi di Cuba? Non l’hanno accettata, ma i sovietici arrivarono a tanto perché erano stati dislocati i missili con testata atomica in Turchia e in Italia. È ovvio che, quindi, c’è un problema di sicurezza nazionale che i russi hanno ben presente. Dall’altro lato, c’è anche la questione dell’Unione Europea: non dimentichiamoci che Kiev aveva fatto la richiesta di aderire all’UE. Però questo attore stenta ancora una volta a ‘battere un colpo’.
Se la Russia volesse effettivamente dare il via ad un cyber-attacco contro l’Ucraina contestualmente ad un’invasione, quali sarebbero gli obiettivi? C’è chi teme che i bersagli, come accaduto in passato, diventerebbero le infrastrutture energetiche.
Non mi spingerei oltre a ribadire gli esempi avuti finora. Qual’è l’infrastruttura più critica che, se colpita, può creare un effetto domino? Ovviamente il settore elettrico, perché, colpendo quelle infrastrutture, si tocca anche il sistema delle telecomunicazioni. La Russia ha già dimostrato di essere in grado di spegnere l’Ucraina. Quello potrebbe essere un fattore chiave, insieme ad un bombardamento tattico. Potrebbero essere anche colpiti i sistemi radar per l’avvistamento degli aerei. In altre parole, gli occhi e le orecchie del nemico e questo sia per negare lo scambio di informazioni strategiche, sia per impedire di vedere cosa avviene sul campo.
È, peraltro, quello che avrebbe iniziato a fare diffondendo un virus ransomware wiper in decine di siti governativi. Ma un attacco alle infrastrutture potrebbe essere contrastato in modo efficace? L’Ucraina sarebbe all’altezza di difendere tali infrastrutture?
La storia dell’Ucraina dimostra che il Paese non ha grandi capacità, ma, in realtà, non c’è un Paese all’avanguardia per difendersi da attacchi cyber che colpiscono dove non si sa nemmeno che ci sono delle vulnerabilità finché non vengono scoperte, ma che poi paga sulla propria pelle.
Le autorità di Kiev hanno attribuito la responsabilità del recente cyber-attacco al gruppo noto come UNC1151, gruppo di spionaggio informatico affiliato ai servizi segreti russi. Nel caso di un cyber attacco propedeutico ad un’effettiva invasione dell’Ucraina, sarebbe sempre questa la struttura responsabile? Oppure Mosca potrebbe far ricorso a dei ‘cyber omini verdi’, cioè gruppi non ufficialmente riconducibili agli apparati russi?
Se ci sarà un confronto aperto, la Russia non si farà problemi a ricorrere alle proprie capacità governative. Dove invece si dovesse parlare di guerra per procura, ci sarebbero reti criminali disponibili oppure ancora le strutture di qualche Stato satellite.
Un cyber-attacco all’Ucraina avrebbe ripercussioni importanti per l’Occidente?
Questo è ovvio perché una delle capacità degli attacchi cyber è proprio quella di creare effetti collaterali, così come accade per le scorie nucleari dopo un attacco atomico. C’è, quindi, il tema dell’interdipendenza che si è costruita, ma quello che bisognerebbe tenere in considerazione è anche una strana convergenza con Teheran che ha portato a delle esercitazioni militari congiunte con Russia e Cina.
Un recente rapporto di intelligence inviato ai fornitori di infrastrutture e alle istituzioni governative degli Stati Uniti ed esaminato dal ‘Wall Street Journal’ ha ipotizzato un cyber-attacco russo agli Stati Uniti così da isolare il Vecchio Continente e procedere all’invasione dell’Ucraina. È uno scenario fantascientifico?
Da circa dieci anni, gli Stati Uniti lavorano al Pentagono ad uno scenario molto interessante, che cerca di comprendere gli attori in gioco in caso di guerra cyber. Quesì sarebbero: la Russia, la Cina, la Corea del Nord e l’Iran. Mosca e Pechino, a fronte di un’escalation militare, sono disposte a prestare le loro capacità all’Iran e alla Corea del Nord per supportarli in azioni militari di cyber-war. Da una parte, ci sarebbe l’attivazione dell’art.5 della NATO se venissero colpiti attori statali membri dell’Alleanza, dall’altra, sorgerebbe la necessità di proteggere Taiwan dalla Cina e i Paesi del Golfo dall’Iran. Questo è uno scenario che fino a poco tempo fa sembrava fantapolitica, ma se andiamo a vedere quello che sta accadendo oggi, lo scenario, in realtà, si sta realizzando perché abbiamo delle pressioni crescenti della Cina su Taiwan e delle incursioni con droni iraniani negli Emirati. Per questi motivi, lo scenario non si mi sembra tanto fantascientifico, ma plausibile. Ma l’unica cosa che bisogna stabilire è se vale o meno la pena morire per l’Ucraina, anche perché la guerra, qualora ci fosse, si allargherebbe a tutta una serie di fattori collegati. È meglio rimanere noi senza gas, rispettando l’alleato americano, oppure far saltare l’Alleanza per puro utilitarismo? L’altro problema vero che mi porrei è se l’escalation possa favorire qualche attore terzo.
Si possono fare previsione sulle prossime settimane, a livello cyber? Dopo l’’avvertimento’ del mese scorso, ci potrebbe essere un’escalation?
Non mi spingerei a fare ‘scemari’, ma è un dato di fatto che gli attacchi cyber stanno aumentando di anno in anno e, quindi, al di là del contesto specifico, vedremmo una tendenziale crescita di questo tipo di attacchi. Questo perché sono più economici, ma più ‘produttivi’ in termini di effetti e di obiettivi raggiunti. Molto probabilmente, mi aspetto che, laddove ci sia un’escalation, la componente cyber abbia un ruolo rilevante, ma non fondamentale, da apripista delle operazioni militari. Tuttavia, negli anni a venire, mi aspetto che ci sia sempre più una componente cyber nei contesti militari, criminali e via dicendo.
In questa nuova crisi ucraina, quanto è massiccia la disinformazione e la propaganda russa veicolata in rete?
In tutte le guerre, la disinformazione è una componente fondamentale, soprattutto perché devi catturare l’animo del nemico, piegandolo anche dal punto di vista psicologico, delle menti. Lo stesso è accaduto con l’invasione dell’Afghanistan da parte americana. Inoltre, c’è la volontà di utilizzare lo strumento informatico per favorire una parte o l’altra in quanto molti componenti del Parlamento ucraino sono filo-russi. Quello che sostengo è una delle componenti cyber delle ‘information operations’ è molto utilizzata per la propaganda politica e sarebbe adottata dalla Russia, in caso di invasione, per legittimare le proprie azioni. Ma sono tentativi che proseguono da anni.
