Hacker contro hacker: la cyberwar che accompagna le ostilità in Ucraina


La repentina e sanguinosa invasione su vasta scala dell’Ucraina, che con largo impiego di truppe di terra, colonne di mezzi blindati e bombardamenti sulle città, appare ancora intrinsecamente legata alla res bellica novecentesca, potrebbe indurci a pensare che la guerra a cui stiamo assistendo sia chiaramente definibile attraverso categorie tradizionali. Eppure, vi è un diffuso allarme, tra analisti ed autorità, che questa crisi possa coinvolgere, per la prima volta in modo significativo, anche un’altra sfera, il cosiddetto quinto dominio: quello cibernetico.
In tal senso, in Italia, il CSIRT ha evidenziato che vi è un “significativo rischio cyber derivante da possibili impatti collaterali a carico di infrastrutture ICT interconnesse con il cyberspazio ucraino” e Mario Draghi, al Senato, ha dichiarato che “il deterioramento delle relazioni tra la Russia e l’Unione europea e la Nato ha reso ancora più aggressiva la postura di Mosca verso l’Occidente in ambito cibernetico e di disinformazione” e che “è stato attivato un apposito Nucleo per la Cybersicurezza”. Ciò, in un contesto in cui già il DIS, nella Relazione annuale al Parlamento, aveva posto l’allarme sulla minaccia cyber, capace di mettere “a rischio la tenuta del Sistema Paese”.
Le crescenti preoccupazioni non derivano unicamente dalla propensione di Mosca all’utilizzo dello spazio cibernetico per condurre azioni ostili, come verificatosi già in Estonia nel 2007 ed Georgia nel 2008, ma, piuttosto, dall’impiego di una vasta gamma di strumenti di attacco cyber nello specifico teatro ucraino. Oltre ai diffusi attacchi DDos che hanno preceduto l’invasione, cyberattacchi mirati, attraverso l’utilizzo di diversi componenti (tra cui il malware HermeticWiper per la cancellazione dei dati), hanno accompagnato l’avanzata in territorio ucraino delle truppe di Mosca. Il Wall Street Journal ha scritto che dall’inizio della crisi si erano già succeduti sessanta attacchi significativi contro agenzie governative, aziende ed organizzazioni ucraine, mentre il Check Point Research (Cpr) ha reso noto che gli attacchi informatici nei confronti della infrastruttura politico-militare ucraina sono più che raddoppiati nei primi giorni dell’invasione, mentre il volume di e-mail phising sarebbe cresciuto di ben sette volte.
La reazione è stata di ampia portata. Alla creazione di un “IT Army” da parte del governo ucraino, con l’inizio delle ostilità è seguita la forte presa di posizione delle BigTech americane contro la disinformazione proveniente da Mosca, sospendendo servizi ed accessi in Russia, nonché la dichiarazione di guerra da parte di Anonymous. Gli attacchi del collettivo di hacktivisti hanno coinvolto il database del Ministero della Difesa russo – riuscendo, si dice, anche a sottrarre documentazione riservata, come i piani di invasione dell’Ucraina già pronti dal gennaio di questo anno – e dopo aver colpito altri siti ministeriali, hanno interessato quello di Gazprom e quello della azienda bielorussa di armamenti Tetraedr, nonché RT News ed i principali canali di informazione russa, compresi quelli televisivi, al fine di “trasmettere informazioni al popolo russo in modo che possa essere libero dalla macchina della censura statale di Putin”.
Tutto ciò apre lo spazio ad alcune considerazioni. Innanzitutto, il marcato posizionamento delle BigTech a fianco dell’indirizzo politico della Casa Bianca, condiviso con gli alleati, riafferma la forte collaborazione pubblico-privata statunitense, nel solco della direzione presa dai grandi centri di potere economico privato americani nel corso del secolo scorso dinnanzi alle più gravi crisi internazionali. Un fatto tutt’altro che scontato finora e denso di significati.
Il vasto coinvolgimento di altri attori non-statali nell’area del conflitto cibernetico, invece, secondo alcuni analisti, potrebbe contribuire a complicare ulteriormente il già difficile processo di attribution, nonché acuire la percezione che, forse, dietro questo genere di azioni, come quelle condotte da Anonymous, si possano celare dei governi che intendono condurre le proprie operazioni “sotto copertura”, si potrebbe dire. E’ difficile avere dei riscontri verificabili, ma si sa che nell’area politica, spesso, le percezioni contano più della realtà fattuale, specialmente quando si pensa all’interpretazione che ne potrebbe dare il Cremlino.
Infine, va detto che sarebbe errato attribuire al conflitto cyber in corso, comunque, una dimensione esclusiva, ossia quella di una vera e propria Cyberwar, una guerra nello spazio cibernetico con significative ricadute in quello cinetico. Come sottolineato dal Prof. Luigi Martino dell’Università degli Studi di Firenze, sembra che l’utilizzo dello strumento informatico debba essere considerato come un fattore abilitante ed essenziale della strategia politico-militare russa, un’arma in più di cui poter disporre, capace di moltiplicare le direzioni di offesa, non in grado di sostituire l’uso della forza tradizionale per Mosca.
Allora, chiedendosi perché Mosca non abbia impiegato tutte le risorse Cyber di cui dispone per conseguire la propria strategia, preferendo l’effetto delle enormemente più catastrofiche armi tradizionali, con tutto ciò che ne è derivato in termini di condanna internazionale, è possibile, forse, giungere ad una conclusione in sintonia con la preoccupazione espressa dalle autorità italiane e dagli esperti più competenti.
Mentre le operazioni militari in corso si svolgono in preciso teatro, comprensivo degli obiettivi raggiunti dalle forze armate russe e raggiungibili dalle loro armi, lo stesso non si potrebbe dire delle armi cibernetiche. Così come dimostrato da innumerevoli precedenti, una peculiare caratteristica di questo genere di armamenti è la sua non piena controllabilità dei loro effetti una volta lanciati gli attacchi. Si pensi, a titolo di esempio, al caso del virus Stuxnet nel 2010, progettato per imprimere un determinato effetto in Iran, su una specifica categoria di PLC e la cui diffusione finì per colpire anche non meno di duemila dispositivi negli Stati Uniti. Oppure, particolarmente rilevante in questo scenario, al caso di NotPetya nel 2017, quando un malware di presunta fabbricazione russa, atto a produrre azioni offensive nel contesto ucraino, è circolato indiscriminatamente in decine di altri paesi europei.
Si deve tener conto, quindi, di un mutamento di assoluto rilievo verificatosi nel contesto atlantico, avvenuto a Bruxelles nel giugno 2021, quando, nel comunicato diffuso dalla NATO al termine del summit venne affermato che: “Gli alleati riconoscono che l’impatto di significative e massicce attività informatiche dannose potrebbe, in determinate circostanze, essere considerato come un attacco armato”. Legando la cybersecurity alla cyberdefense, gli alleati hanno concordato di considerare ogni azione ostile condotta nel dominio cyber come un atto di aggressione rientrante a pieno titolo tra i motivi validi per invocare l’articolo 5 del Patto Atlantico, cioè la clausola di difesa collettiva. Tale innovativo orientamento è stato confermato anche dallo stesso Jens Stoltenberg, che appena qualche giorno fa ha dichiarato che “We have stated that cyber attacks can trigger Article 5.”
Al netto dell’attuale impossibilità di ricostruire le ragioni che muovono la strategia del Cremlino, sembra evidente la volontà, da parte russa, di contenere le operazioni, con l’obiettivo di non coinvolgere direttamente la NATO. Un attacco cyber di ampia portata, quindi diverso dalla gamma di strumenti finora messa in atto, diversamente dagli effetti prodotti dalle armi cinetiche tradizionali, potrebbe velocemente varcare i confini ucraini e produrre significativi effetti altrove, come dichiarato anche dallo stesso Presidente Draghi, rischiando di coinvolgere l’intera Alleanza atlantica, che ha esplicitamente ed ufficialmente dichiarato che un attacco nello spazio cibernetico nei confronti di un alleato potrebbe condurre all’attivazione del meccanismo di difesa collettiva.


Lamberto Frontera

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *