Il 15 febbraio, nella stessa giornata in cui le tensioni in Ucraina sembrano iniziare ad allentarsi, è stata riportata la notizia di un attacco hacker nei confronti di alcune istituzioni del Paese, sferrato probabilmente da gruppi hacker più o meno collegati con le forze armate russe. In particolare, l’attacco che ha bloccato l'accesso al sito Web del ministero della Difesa ucraino, avrebbe coinvolto anche due istituti bancari, come riportato dal centro per la sicurezza delle informazioni dell'Ucraina (Fonte Reuters: Ukraine reports cyber attack on defence ministry website, banks). Il rischio di azioni di questo tipo era già stato previsto dal Segretario generale della NATO Stoltenberg durante la sua recente visita in Romania, presso la base di Costanza. In tale occasione, Stoltenberg aveva infatti avvertito che il “pericolo non è confinato a una "piena invasione militare" bensì ad "azioni ibride", comprese quelle "cibernetiche", o a un tentativo di "ribaltare il governo di Kiev"” (Fonte Ansa: Stoltenberg, '007 russi in Ucraina, c'è rischio di golpe').
Tuttavia, è importante ricordare come in realtà la Russia non sia nuova ad attacchi cyber nei confronti dell’Ucraina. Fin dal 2014 infatti vi sono state una serie di azioni condotte nel cyberspazio nei confronti del governo di Kiev. In particolare, la Russia ha interferito nelle elezioni ucraine, ha preso di mira la sua rete elettrica, ha alterato i suoi siti web governativi3 e ha compiuto azioni di disinformazione.
Strategicamente, le operazioni informatiche russe sono state mirate ad indebolire e delegittimare il governo ucraino e le organizzazioni del settore privato.
Tatticamente, invece, hanno mirato a influenzare, spaventare e sottomettere la popolazione (Fonte The Conversation: Russia has been at war with Ukraine for years – in cyberspace). Se da un lato le possibilità di una invasione sembrano ridursi, dopo le notizie di distensione giunte a seguito dell’incontro Putin – Scholz e del parziale ritiro delle forze armate russe (Fonte corriere.it: Scholz e Putin: l’ora di trattare. Dai russi primo ritiro parziale), dall’altro risulta sempre più verosimile l’aumento dell’assertività russa in ambito cyber. In particolare, già a gennaio, in un comunicato stampa del Dipartimento del Tesoro degli Stati Uniti, l'amministrazione Biden ha accusato la Russia di attuare un piano di information warfare risalente al 2020 per "destabilizzare la situazione politica in Ucraina e gettare le basi per la creazione di un nuovo governo controllato dalla Russia in Ucraina” (Fonte thecipherbrief.com: A New Path to Cyber Conflict with Russia). Il piano, secondo il comunicato del Tesoro, includeva "l'identificazione e la cooptazione di individui filo-russi in Ucraina e la diffamazione di eminenti ucraini considerati filo-occidentali, che avrebbero ostacolato gli sforzi russi per portare l'Ucraina sotto il suo controllo". "La Russia ha ordinato ai suoi servizi di intelligence di reclutare gli attuali ed ex funzionari
del governo ucraino per prepararsi a prendere il governo dell'Ucraina e per controllare le infrastrutture critiche dell'Ucraina con una forza russa di occupazione", secondo il comunicato del Tesoro. La Russia, in precedenti incursioni in Ucraina, "ha perseguito ampie operazioni informatiche contro le infrastrutture critiche", ha affermato il Tesoro, aggiungendo che gli operativi di Mosca "si sono concentrati sull'interruzione di un settore delle infrastrutture critiche in particolare: il settore energetico ucraino. La Russia ha anche degradato l'accesso dell'Ucraina ai prodotti energetici in pieno inverno".
Inoltre, il 15 gennaio, Microsoft ha annunciato che i suoi investigatori hanno scoperto un malware distruttivo in dozzine di organizzazioni governative, senza scopo di lucro e di tecnologia dell'informazione ucraine. Stranamente, il malware mostrava una richiesta di riscatto, ma sembra essersi trattato di uno stratagemma poiché non veniva mostrato alcun modo per decrittografare le informazioni nel caso di pagamento del riscatto. A fine gennaio, la Cybersecurity and Infrastructure Security Agency (CISA) degli Stati Uniti ha confermato i resoconti della stampa secondo cui "entità pubbliche e private in Ucraina hanno subito una serie di incidenti informatici dannosi, tra cui defacement del web e segnalazioni del settore privato di malware potenzialmente distruttivi sui loro sistemi". Apparentemente riferendosi alla divulgazione di Microsoft, la CISA ha affermato che il malware identificato era simile a NotPetya. La CISA ha descritto tale scoperta come "particolarmente allarmante" perché NotPetya è stata ritenuta dalla CIA una creazione del GRU russo dopo essere stata utilizzata nel 2017 contro l'Ucraina, dove ha causato danni diffusi alle infrastrutture critiche. Anch'esso si è comportato più come un malware distruttivo piuttosto che come un ransomware (Fonte thecipherbrief.com: A New Path to Cyber Conflict with Russia).
Se da un lato la destabilizzazione dell’Ucraina al fine di favorire un cambio di potere mediante azioni di guerra ibrida comprendenti attacchi cyber risulta esser la chiara strategia perseguita attualmente dal governo di Mosca, meno chiaro risulta essere il confine oltre il quale Putin non sarà disposto a spingersi.
Per esempio, BBC prospetta un possibile ampliamento dello scenario: l’eventuale conflitto militare rimarrebbe ovviamente confinato in Ucraina, ma gli attacchi informatici potrebbero andare ben oltre i suoi confini fisici. È per questo che le organizzazioni britanniche sono state esortate a rafforzare le proprie difese informatiche. Il National Cyber Security Centre (NCSC) ha pubblicato nuove linee guida, e sebbene sia stato chiarito che non si conoscono al momento minacce specifiche alle infrastrutture inglesi, è anche chiaro che il rischio sia stato messo in conto.
Lo stesso ha fatto NSA, prendendo parte a una serie di riunioni sulla sicurezza che hanno valutato il possibile impatto interno degli eventi in Ucraina. Lo scenario più preoccupante è che la Russia bersagli le infrastrutture occidentali con attacchi simili a quello alle centrali elettriche ucraine del 2015. Un attacco al settore finanziario potrebbe impedire agli ucraini di disporre del denaro per sostentarsi, un attacco alle infrastrutture di comunicazione potrebbe paralizzare e isolare l’intero Paese (Fonte securityopenlab.it: Ucraina e Russia, se la cyber guerra arrivasse in Occidente?).
Per quanto tale scenario risulti al momento molto improbabile, le azioni di cyber warfare russe in Ucraina negli ultimi sette anni e il loro rinnovato intensificarsi sono una chiara dimostrazione come, nel confronto con l’Occidente, la Russia abbia una ulteriore significativa arma di pressione (oltre a quella già considerevole del controllo di una significativa percentuale delle forniture di gas naturale di molti Paesi europei, in primis Germania e Italia).
Il fatto che gli attacchi cyber russi si siano per ora limitati al territorio ucraino non significa che ciò possa valere anche in futuro, soprattutto nel caso di un ulteriore acuirsi delle tensioni che potrebbe venir causato dall’incorrere di nuove sanzioni nei confronti della Russia o da un percorso di avvicinamento dell’Ucraina alla NATO o alla UE.
Angelo Socal
