Le azioni cyber della Russia sono state meno aggressive del previsto, il che però non deve far pensare alle aziende che non possano essere vittime collaterali di un conflitto che è anche digitale
Autore: Adam Meyers
Mentre tutto il mondo guarda con preoccupazione al conflitto in Ucraina, i professionisti della sicurezza informatica si trovano in stato di allerta. Insieme a governi e al settore industriale, stanno monitorando l’utilizzo di minacce informatiche nell’ambito del conflitto e si preparano alla possibilità che gli attacchi russi possano colpire altrove, sia a scopo di ritorsione che di coercizione.
Questa tipologia di minaccia non è nuova. La Russia ha, infatti, una lunga storia di operazioni criminali informatiche contro l’Ucraina, iniziate dopo le proteste di Euromaidan alla fine del 2013. Il gruppo criminale informatico Voodoo Bear, anche noto come Unità 74455 di operazioni di intelligence militare russa, è stato il principale autore di questi attacchi, con lo scopo di degradare, delegittimare o ridurre la fiducia pubblica verso le istituzioni Ucraine e i settori industriali.
Voodoo Bear era dietro le operazioni di attacco alle infrastrutture critiche ucraine che hanno portato ad interruzioni elettriche a dicembre 2015 e l’anno successivo. Le operazioni del gruppo hanno creato forti timori su scala internazionale a giugno 2017, quando un attacco alla supplu chain ucraina ha causato la diffusione di NotPetya, con un danno totale stimato in 10 miliardi di dollari USD, effetti su aziende e servizi pubblici mondiali. Altri gruppi criminali russi, come Primitive Bear, hanno contribuito alla più ampia campagna asimmetrica condotta contro l'Ucraina.
Mentre la Russia ha iniziato ad ammassare truppe lungo il confine ucraino, gli attacchi criminali informatici da parte di avversari russi contro l’Ucraina si sono intensificati. A metà gennaio 2022 si è verificata una campagna di defacement di siti web governativi e furto di dati, insieme ad un attacco wiper che l'industria della sicurezza ha soprannominato Whispergate. L'attacco wiper e i defacement di siti web si sono verificati immediatamente dopo una serie di incontri di mediazione tra gli Stati Uniti e la Russia, a seguito del dispiegamento di truppe vicino al confine ucraino. Dopo gli attacchi, gli avversari associati al gruppo criminale russo Ember Bear sono emersi sul dark web, offrendo in vendita i dati rubati negli attacchi.
A metà febbraio, le istituzioni bancarie ucraine e i siti governativi sono stati presi di mira dall’intelligence militare russa nell’ambito di un attacco denial-of-service (DDoS) distribuito su larga scala. Questo includeva i siti web del Ministero della Difesa e delle Forze Armate ucraine, oltre alla Cassa di Risparmio Statale dell'Ucraina (Oschadbank) e l'applicazione mobile della più grande banca commerciale dell'Ucraina, PrivatBank. Allo stesso tempo, alcuni SMS vennero inviati ai clienti delle banche, dove veniva falsamente indicato che i sistemi ATM non funzionavano, oltre ad una serie di minacce di attacco contro diverse sedi bancarie.
Il 23 febbraio 2022 è stato identificato un secondo attacco wiper, DriveSlayer, più sofisticato dal punto di vista tecnico rispetto all’attività di gennaio ad opera di WhisperGate/Ember Bear. Le caratteristiche di DriveSlayer erano più coerenti con le attività di Voodoo Bear.
Il 24 febbraio 2022, diversi siti web ucraini hanno mostrato un messaggio di defacement pressocchè identico a quello usato nell’attività di defacement contro obiettivi simili il 14 gennaio 2022, prima di diventare insensibili ai visitatori.
Successivamente all’attacco wiper DriveSlayer e ai defacement di siti web, le truppe russe hanno attaccato l’Ucraina. Nelle settimane successive all’inizio del conflitto, sono stati identificati numerosi incidenti informatici che includevano l’utilizzo di ulteriori attacchi wiper, disinformazione e spionaggio contro obiettivi ucraini.
Ma altre due forme di attività cyber-criminale associate al conflitto sono state rilevate. La prima riguarda gli attacchi distruttivi pensati per compromettere le capacità di comunicazione satellitare ucraine. La seconda è un'attività di (dis)informazione o di tipo psicologico, che include l'amplificazione attraverso persone e la propagazione attraverso i social media.
È risaputo come il conflitto in Ucraina abbia coinvolto anche l’ecosistema delle minacce informatiche, soprattutto poichè la Russia ha ospitato a lungo gli autori della minaccia eCrime, sfruttandoli principalmente per fini politici. Questi avversari hanno ora il potenziale per agire a sostegno degli obiettivi dello stato russo, ad esempio agendo come componente irregolare ed eseguendo attacchi dirompenti in tutto il mondo, in particolare negli Stati Uniti.
I gruppi di eCrime normalmente responsabili di attacchi cyber-criminali con scopi finanziari hanno iniziato a rispondere al conflitto. Alcuni di questi sembravano sostenere direttamente gli interessi dello stato russo, come Wizard Spider, avversario emerso per la prima volta nel 2016 con il suo malware Trickbot e più recentemente associato a operazioni ransomware tra cui Ryuk e Conti. Proprio Wizard Spider ha annunciato il pieno sostegno al governo russo e la sua volontà di ritorsione contro i nemici. Altri gruppi di eCrime hanno anche recentemente preso di mira obiettivi ucraini in attacchi DDoS, seppur non si tratti di un elemento caratterizzante delle loro operazioni precedenti.
Molto prima dell'attuale conflitto in Ucraina, i funzionari della sicurezza nazionale degli Stati Uniti e gli analisti del settore della sicurezza informatica hanno sollevato timori circa le capacità dimostrate dalla Russia e le potenziali intenzioni di attaccare le infrastrutture critiche degli Stati Uniti. Violazioni periodiche in questo spazio, attribuite ad attori cybercriminali legati alla Russia, mostrano che le infrastrutture statunitensi potrebbero essere a rischio, e possibilmente attaccate, degradate e distrutte durante un periodo di accresciute tensioni geopolitiche. Mentre la guerra in Ucraina prosegue senza sosta, senza che la Russia raggiunga i suoi obiettivi politici e mentre le sanzioni degli Stati Uniti e degli alleati aumentano di portata e di impatto, questi rischi diventano ancora più alti.
Gli operatori delle infrastrutture critiche statunitensi si sono concentrati maggiormente su questa minaccia. Nel corso degli anni, il governo degli Stati Uniti - attraverso gli sforzi collettivi della Casa Bianca, della CISA, del Dipartimento dell'Energia e altre agenzie - ha lanciato una serie di campagne di sensibilizzazione e assistenza per contribuire a rafforzare la posizione di sicurezza delle entità infrastrutturali. Ci sono stati miglioramenti nell'ultimo decennio, seppur non particolarmente significativi.
Anche con una consapevolezza sufficientemente elevata, nuove risorse e maggiore supporto, coloro che operano nelle infrastrutture critiche devono ancora prendere coscienza delle migliori pratiche per la sicurezza informatica. In particolare, queste organizzazioni dovrebbero concentrarsi su alcuni elementi chiave.
In primis, costruire relazioni con le forze dell'ordine o con personale addetto alla sicurezza interna, fondamentali in caso di incidenti informatici. Poi sviluppare o mantenere l'accesso al know-how, ai lavoratori qualificati o a personale di supporto. Ciò include l'esistenza di un piano di incident response e, in molti casi, un contratto con un fornitore qualificato di servizi di incident risponse.
Occorre poi sfruttare le misure identificate in vari documenti tecnici e governativi sul miglioramento della propria sicurezza informatica. Ciò include ad esempio l'uso di moderni strumenti e concetti IT di sicurezza aziendale, come l'autenticazione a più fattori (MFA) e l'Endpoint Detection and Response (EDR), la migrazione (dove possibile) ad applicazioni cloud/Software-as-a-Service (SaaS), l'implementazione di architetture Zero Trust, il threat hunting proattivo all'interno delle reti. Conviene poi utilizzare, dove appropriato, strumenti specializzati e capacità necessarie per la sicurezza della parte OT.
Andando oltre la questione Ucraina, rispetto alle previsioni iniziali l'attività informatica russa è stata – per ora – modesta. Un aspetto che, tuttavia, potrebbe subire variazioni in qualsiasi momento: la Russia potrebbe, ad esempio, diventare più aggressiva come conseguenza del sostegno straniero all'Ucraina e delle sanzioni emanate dalla comunità europea.
Proprio per queste ragioni, gli operatori delle infrastrutture critiche rimangono in uno stato di allerta. Con una significativa copertura mediatica e gli sforzi delle azioni e degli avvertimenti dei Governi, sembra che anche le entità del settore privato stiano prendendo sempre più nota.
Adam Meyers è Senior Vice President of Intelligence di CrowdStrike