Il conflitto tra Russia e Ucraina quarant’anni fa sarebbe stato considerato lontano, ma oggi ad affiancare lo scontro militare, vi è anche la minaccia cibernetica. Questa è una guerra che colpisce anche la cyber-security.

L’invasione russa ai danni dell’Ucraina è avvenuta il 24 Febbraio scorso, ma è dal 2015 che l’Ucraina è vittima di sofisticati attacchi informatici di tipo Anti-DDoS. Ad anticipare il conflitto armato vi sono stati vari malware. Il primo, il “WhisperGate”, è stato scoperto il 13 gennaio 2022 ha colpito organizzazioni governative e non, con lo scopo di compromettere i sistemi operativi, distruggendo o crittografando dati, ma senza chiedere un riscatto.

All’alba dell’invasione russa i siti web governativi ucraini sono stati colpiti da un continuo attacco Anti-DDoS e da un secondo malware, noto come “Hermetic Wiper”. In seguito, si sono verificati attacchi informatici di varia natura, volti a compromettere sistemi o rubare dati riguardanti personale militare e umanitario. I ricercatori di ESET, azienda slovacca di digital security leader a livello globale, hanno individuato un terzo malware chiamato “IsaacWiper”, volto a cancellare tutti i file presenti nei dispositivi in uso nei settori sanitari, energetici e finanziari.

Il 24 febbraio il malware wiper “Acid Rain” ha danneggiato router e modem, con l’obiettivo di disturbare le comunicazioni militari proprio all’inizio dell’invasione russa. Gli effetti collaterali hanno avuto ripercussioni anche al di fuori dei confini ucraini: i modem di circa trentamila utenti in Europa sono andati irreversibilmente off-line.

L’evoluzione della cyberwar: la guerra attraverso internet

Da quando è scoppiato il conflitto l’Ucraina ha reclutato il suo esercito IT globale, utilizzando il social Telegram per condividere e i siti bersaglio e i relativi successi. Riguardo la guerra Russia Ucraina Anonymous, collettivo di hacker, il 26 febbraio ha dichiarato la prima guerra digitale contro la Russia, con l’obiettivo di lanciare continui cyber attacchi alle strutture informatiche russe, in modo particolare quelle governative, con scopi variegati: furto di dati, interruzione del servizio, propaganda.

L’attacco Russia Ucraina ha evidenziato il ruolo che la cyber-security e i cyber attacchi rivestono nei conflitti moderni. Esistono quattro diverse tipologie di attacchi hacker:

1. Malware distruttivi, come ad esempio, Industroyer2, una combinazione di wiper tradizionali capaci di cancellare dati su sistemi Windows, Linux, Solaris e MaIware per ICS (Industrial Control Systems) progettato per inficiare la tecnologia operazionale (OT) usata per controllare e monitorare la rete elettrica. Virus che è stato rilevato e neutralizzato dall’Ucraina.
2. Disinformazione e guerra dell’informazione, questa è l’arma utilizzata dalla Russia, che ha bandito i media stranieri e quelli indipendenti, bloccato l’accesso ai social media e ha criminalizzato la definizione dell’invasione come una guerra. La Russia, inoltre, ha cercato di influenzare Paesi non allineati come India, Egitto e Indonesia con lo scopo di ottenere il loro appoggio.
3. Hacktivismo, da parte di entrambi i fronti, gli Hacktivisti di entrambi i fronti si erano attivati nei primi giorni della guerra: deturpamento di siti web, attacchi DDoS e altri attacchi non sofisticati avevano colpito un po’ tutto quello che era vulnerabile e chiaramente identificabile come appartenente a uno dei due contendenti.
4. Cyber spionaggio – la Russia utilizza questo tipo di attacchi per colpire la cyber-security di Stati Uniti, Unione Europea e Stati membri della NATO con malware, campagne di phishing e sottrazioni di dati.

Conflitto Russia-Ucraina: quando i social sono più influenti delle bombe

Nei conflitti asimmetrici, come quello tra Russia e Ucraina, un account social di successo può essere un’arma utile contro un avversario con molte pistole e carri armati. Questa cosa la si può riscontrare visto quello che è riuscito a fare Mykhailo Fedorov, ministro ucraino per la trasformazione digitale,utilizzando Twitter per spingere per un “blocco digitale” della Russia da parte delle aziende tecnologiche globali. Richiesta che è stata esaudita, infatti Google e Meta hanno bloccato la pubblicità dei media di stato russi sulle piattaforme social, l’Unione europea ha limitato l’accesso ai media ufficiali russi sui canali di comunicazione occidentali.

La cyber-security dopo il conflitto

La guerra in Ucraina sicuramente avrà conseguenze sulla cyber sicurezza nazionale e sulla “sovranità digitale” dell’Europa. Infatti molte delle soluzioni per la sicurezza informatica sono russe, come Kaspersky e altre, utilizzate dalle pubbliche amministrazioni, e rischiano di trasformarsi da strumento di protezione in strumento di attacco.

È normale, quindi, che cresca il livello di allerta ed è molto probabile che avvenga una corsa alla creazione di armi cyber sempre più efficaci e potenti per scopi bellici, sia in attacco che in difesa. Uno degli esempi più recenti è l’azione di reclutamento di tecnici, anche dall’Occidente, da parte dello Stato ucraino, per attaccare le infrastrutture online russe.

Pierluigi Paganini, esperto di cyber sicurezza, sottolinea l’importanza della sovranità tecnologica e della capacità di qualifica di sistemi hardware e software. Bisogna essere in grado, quindi, di certificare l’assenza di backdoor in un software e di sincerarsi che aggiornamenti successivi non alterino il comportamento del software favorendo infezioni o consentendo attività di spionaggio e sabotaggio.

Le aziende italiane sono pronte per difendersi dagli attacchi informatici?

Lo scorso 9 novembre, nel corso della Nato Cyber Defence Pledge Conference 2022, che si è tenuta, a porte chiuse alla Farnesina, il Segretario Generale della NATO, Jens Stoltenberg, ha dichiarato che l’Italia è a livello degli Stati Uniti come esempio di “forti difese informatiche”, grazie a provvedimenti come la Strategia Nazionale del maggio 2022 e la creazione dell’Agenzia per la Cybersecurity Nazionale.

Nonostante la NATO abbia indicato l’Italia come esempio da seguire, ci troviamo di fronte a due scenari.

Da una parte le grandi aziende, che hanno avuto la capacità e la lungimiranza di guardare alla cybersicurezza come ad un’opportunità, attrezzandosi sia in termini di soluzioni che di risorse, facendo investimenti importanti, e dall’altra, le PMI che, invece, ritengono che la cyber-security sia un problema.

Le piccole imprese sono diventate gli obiettivi principali degli hacker: bloccare l’accesso ai computer di un’azienda attraverso un ransomware è molto semplice e nella maggior parte dei casi le società pagano senza troppi problemi. È anche vero però che una PMI su quattro è fallita dopo il furto dei propri dati.

Il ruolo della cybersecurity nelle aziende

Le PMI devono affrontare varie sfide che riguardano la cybersicurezza:

• Scarsa consapevolezza della sicurezza informatica tra il personale;
• Protezione inadeguata delle informazioni “critiche”;
• Mancanza di budget adeguati;
• Mancanza di specialisti o capacità adeguate in materia di cybersicurezza;
• Inapplicabilità delle linee guida in materia di cybersicurezza specifiche per le PMI
• Lo “shadow IT”, ovvero lo spostamento del lavoro in un ambiente ICT fuori dal controllo delle aziende,
• Scarso supporto della direzione aziendale

Con questo articolo, Alessio Piccinni, Intelligenge & Cybersecurity  Analyst di INSIDE Intelligence & Security Investigations, vuole spiegare quanto sia importante per le aziende difendersi dal cybercrime e grazie ai servizi di Managed Detection and Response (MDR) forniti dalla nostra agenzia investigativa, è possibile supportare quelle aziende che sono impossibilitate a gestire internamente i processi per la  prevenzione e la gestione degli attacchiinformatici.