La guerra tra Ucraina e Russia è da tempo anche una guerra cyber. Già da anni le due nazioni si confrontano a colpi di hacking ostile, la novità di questi mesi è che anche altri Paesi sono di fatto già coinvolti nello scontro digitale. La "chiamata alle armi" dell'Ucraina ha coinvolto fazioni di hacker e di semplici volontari che in queste settimane hanno messo in campo di tutto, dagli attacchi DDoS alla controinfomazione attraverso i social network russi.

La Russia ha già iniziato a rispondere a questi attacchi, direttamente con le sue risorse e coinvolgendo altre fazioni digitali a suo favore. E nel mirino non ha solo l'Ucraina. Nei prossimi mesi colpirà anche le nazioni che partecipano attivamente alle sanzioni economiche anti-Mosca o che ne sono il tramite. Come anche le aziende e le organizzazioni che hanno in vario modo preso posizione pubblicamente contro l'invasione.

Mandiant ha pubblicato una analisi approfondita degli attacchi che possiamo aspettarci in futuro, qui ne tratteggiamo le conclusioni principali. Per un futuro anche a lungo termine, se si consoliderà la contrapposizione tra Est e Ovest come ai tempi della Guerra Fredda. Va in questo senso notato che, come si è già visto in passato, l'azione digitale ostile di Mosca non comprenderà solo attacchi cyber mirati veri e propri, a fini distruttivi o di spionaggio. Vedremo anche attività di disinformazione, specialmente attraverso i social network, per diffondere la propria narrazione degli eventi in corso e per danneggiare mediaticamente determinati bersagli.CyberArmy, uno di molti siti che guidano ad attivare azioni di hacktivism contro la Russia

Chi scende in campo a fianco di Mosca? In primis, ovviamente, i gruppi che Mosca stessa sponsorizza. Secondo Mandiant si tratta in particolare di Sandworm, UNC2589, UNC3715, TEMP.Isotope. Non va poi escluso che Mosca coinvolga gruppi di cyber criminali che risiedono fuori dalla Russia. Potrebbe anzi essere un buon modo per attaccare aziende e istituzioni di Paesi NATO senza essere riconosciuta come mandante.

Il gruppo Sandworm, che si ritiene sia collegato al GRU (l'ex KGB), è il più pericoloso. Ha elevate capacità tecniche ed è capace di condurre attacchi distruttivi per le risorse IT e per quelle OT, oltre che di portare avanti azioni di disturbo contro l'operatività delle reti (come i ransomware o gli attacchi DDoS). Storicamente non si preoccupa del fatto che i suoi attacchi finiscano per coinvolgere molte vittime collaterali. Dietro Sandworm c'è ad esempio la mattanza digitale di NotPetya, in origine destinato solo alle aziende ucraine ma poi veicolato sulle reti di tutto il mondo.

Il gruppo UNC2589 è ancora "unclassified" ma ha già colpito diverse volte in Ucraina e oltre. Si è interessato anche a bersagli europei e statunitensi in ambito governativo, Finance, farmaceutico. Porta avanti azioni di cyber spionaggio ed è stato collegato a vari malware distruttivi. UNC3715 e TEMP.Isotope hanno diversi tratti in comune. Sono due gruppi con documentate capacità distruttive e di recente hanno portato avanti alcune azioni basate su malware di wiping.

Finance ed Energia nel mirino

Azioni cyber ostili saranno probabilmente portate contro le realtà del settore Finance, in particolare attacchi di cyber spionaggio per raccogliere informazioni su come le sanzioni saranno man mano implementate. Gli attacchi diretti al mondo Finance ucraino avranno come vittime collaterali le aziende dei Paesi confinanti e, in misura minore, delle altre nazioni in generale. Nel 2017, accadde esattamente questo con NotPetya.

Una azione distruttiva esplicita russa contro le aziende occidentali del Finance è meno probabile e non fa parte della "tradizione" di Mosca, se si escludono pochi casi eccezionali. Ma non è da escludere se il livello della contrapposizione dovesse aumentare e la Russia si trovasse a subire una mole crescente di sanzioni. Diverse aziende globali del settore finanziario stanno interrompendo le loro attività in Russia o stanno valutando l'opzione: questo potrebbe renderle bersagli specifici.

Il settore Energia è un altro probabile bersaglio. Ma c'è da dire che in questo ambito la Russia può agire molto più facilmente in maniera "analogica", ossia riducendo la sua erogazione di gas verso l'Europa. In questo modo giocherebbe sull'effetto-choc di un forte aumento dei prezzi dell'energia, estremanente impopolare in qualsiasi nazione. E quelle dipendenti dalle forniture russe non sono poche.

Gli attacchi cyber contro le infrastrutture e le aziende energetiche sono certamente possibili, l'Ucraina in questi anni ne ha subiti molti e importanti. Ma devono essere portati avanti con attenzione: qualsiasi attacco distruttivo - in campo IT ma anche OT - contro impianti e centri di distribuzione energetici posti nelle nazioni NATO rischia di scatenare una reazione anche armata. Le prove concrete di un coinvolgimento di Mosca forse non si troverebbero, ma nazioni come gli Stati Uniti hanno già chiarito che per gli attacchi cyber alle infrastrutture critiche non serve trovare la metaforica "smoking gun".

Hacker ostili filo-russi potrebbero invece attaccare specifici impianti delle nazioni non NATO che forniscono gas ed energia all'Occidente. In questo modo si danneggerebbero i Paesi occidentali, ma senza giustificare formalmente una loro reazione militare. Attenzione anche alla dinamica opposta: gruppi filo-ucraini che attacchino aziende russe dell'Energia, come è accaduto per Rosneft, potrebbero scatenare rappresaglie impreviste.

Le criticità di Trasporti e Media

Gli ambiti Trasporti e Logistica sono un altro settore certamente nel mirino di Mosca. Un settore peraltro ad alta criticità, perché qualsiasi azienda risente di eventuali difficoltà nelle reti mondiali di supply chain, e che proprio in questi mesi stava recuperando quasi definitivamente dalle sofferenze di due anni di pandemia. Tra l'altro, se nel comparto Energia gli attacchi cyber sono per Mosca un vettore di rappresaglia secondario, in campo Logistica la Russia quasi non ha leve diverse da quella digitale.

Probabilmente subiranno attacchi cyber tutte le imprese che hanno annunciato di non servire più le aziende e l'economia russa. Dai grandi nomi della Logistica (FedEx, UPS, Maersk) a quelli dei Trasporti in senso stretto (Boeing, Airbus, Sabre). Se colpiti con successo, faranno da esempio alle altre aziende che intendono uscire dalla Russia. Gruppi filo-russi poi potrebbero anche colpire non le imprese, ma direttamente l'operatività degli snodi dei trasporti, in primo luogo gli aeroporti.

Infine, tutto il comparto Media sarà oggetto di attacchi e rappresaglie. Mosca ha già messo al bando i siti di informazione occidentali e c'è da aspettarsi l'avvio di numerose campagne di disinformazione al di fuori della Russia. Anche attraverso vettori del tutto nuovi: in queste settimane, ad esempio, persino i circuiti che collocano automaticamente i banner pubblicitari online sono sfruttati per far circolare messaggi pro e contro l'invasione in Ucraina.

In Russia non sono più accessibili molti social network che Mosca non può controllare, come Twitter o Instagram. Aumenterà il controllo del Governo russo sui sistemi di comunicazione, come Whatsapp o Telegram, che non ha ancora chiuso (probabilmente perché sono usati in modo massiccio anche per attività di suo interesse). Come ciliegina sulla torta, la Russia è stata anche esclusa da praticamente tutte le competizioni sportive ed è quasi "tradizione" che boicottaggi del genere scatenino attacchi cyber contro gli organismi che controllano lo sport mondiale.