Ucraina: cronache dal fronte cyber
di Carola Frediani – Guerre di rete
Attacchi contro la Russia
“Siamo introducendo un nuovo calendario di attacco per sapere che cosa accade e per una migliore gestione del tempo per tutti noi. Il calendario è semplice (…): i target per gli attacchi DDoS appariranno ogni due ore, a partire dalle 10 del mattino. Un esempio:
10 am – Inizia l’attacco su Putin. Dura un’ora
11 am – Fine dell’attacco. Riposo per tutti
12 pm – Iniziamo di nuovo l’attacco a Putin. Dura un’ora
1 pm Fine dell’attacco. Riposo
E avanti così fino alle 10 pm”
Scampoli da uno dei tumultuosi canali e gruppi Telegram dell’IT Army che, come raccontavo la scorsa settimana, è stato messo in piedi dal governo ucraino per organizzare la controffensiva cyber e informativa contro la Russia. In questo specifico canale (56mila iscritti) dedicato ai DDoS, gli obiettivi da colpire si susseguono con quella metodicità enunciata nell’esempio (con riferimento ironico a Putin) all’inizio.
I DDoS sono gli attacchi di negazione distribuita del servizio che hanno come obiettivo mandare offline siti (il livello più basso, proletario dei cyberattacchi, e a maggior ragione di quella che per comodità ormai tutti chiamiamo “cyberwar”, anche per la sua stretta associazione con una guerra effettiva). Dunque indirizzi IP, orario di inizio e fine. In particolare, si specifica, per colpire i siti della “propaganda russa” non è richiesta conoscenza speciale, “vi insegniamo noi tutto”. E infatti ci sono altre chat per gli inesperti, dove non mancano richieste d’aiuto anche molto di base.
In una di queste, 600 persone iscritte, qualcuno chiede se può ricevere aiuto a configurare un tool usato da utenti alle prime armi per fare attacchi DDoS. Quanto questi metodi e questo tipo di partecipazione possa essere efficace, e su quali obiettivi, e con quali rischi per chi partecipa, resta un bel punto interrogativo.
Intanto nell’altro canale arriva un nuovo messaggio: “In questo momento, i russi stanno ritirando soldi dai bancomat in massa. Possiamo infliggere un danno enorme colpendo i Dns delle banche. Ecco gli obiettivi”. Segue lista.
Uno dei target più ricorrenti è Sberbank, una delle maggiori banche russe (che sul fronte finanziario nel mentre si stava ritirando dall’Europa a causa delle sanzioni). Ma alcuni degli obiettivi principali sono elencati in un altro canale (tutti facilmente accessibili, e di certo accessibili all’intelligence russa): Glonass, il sistema satellitare globale di navigazione russo; le ferrovie bielorusse; le telco russe (Beeline, MTS); la banca nazionale russa; i bancomat di varie banche russe. Ma anche gli exchange, i cambiavalute online sono presi di mira. Ad esempio Bestchange, perché “i “russi cambiano criptovalute in euro con rubli”.
Da un’altra parte, su una pagina del servizio Pastebin (usato per condividere/editare velocemente dati online), sono elencati, apparentemente dall’IT cyber army ucraino, 3713 obiettivi russi. La pagina ha oltre mille visualizzazioni.
Sul canale IT Army (280mila iscritti), che coordina un po’ tutto l’insieme di attacchi, anche quelli sui social media, le indicazioni sono varie. L’obiettivo qua è più da guerriglia informativa. Ci sono gli account Instagram dei famigliari degli oligarchi. I numeri di telefono dell’élite russa, celebrità ecc. I video e i canali YouTube da far chiudere con segnalazioni. E poi ci sono le challenge, le sfide: ad esempio ci sono delle foto o dei video da scaricare. “Chi riesce a farli finire sugli schermi della metro di San Pietroburgo?”.
La rivoluzione non sarà teletrasmessa, recita il noto slogan, ma può la “cyberwar” finire su Telegram? E può funzionare con uno Stato (sotto le bombe) che organizza online una chiamata alla cyber radunando e raccogliendo un po’ di tutto, da gruppi veterani a improvvisati, mettendo insieme obiettivi militari e profili social, sfornando attacchi da una catena di montaggio con una divisione fordista del lavoro?
Preferirei non definire quello cui stiamo assistendo questi giorni, ma qualunque cosa sia ha qualcosa di inedito, straniante e inquietante. E tutto ciò anche se non si sono visti gli attacchi cyber di impatto che alcuni si sarebbero aspettati (altri invece non sono affatto stupiti, perché i cyberattacchi funzionano bene in situazioni di pace o tensione sotterranea, e hanno meno senso o una diversa priorità con una guerra aperta, e questo lo hanno spiegato vari esperti).
Come raccontato la scorsa settimana, a gestire questo sforzo massivo di coordinamento online per attacchi cyber è, su mandato del governo, una società di cybersicurezza di Kiev (con uffici anche in Asia), la Cyber Unit Technologies, specializzata nella protezione di infrastrutture critiche e guidata da Yegor Aushev. Due giorni fa lo stesso Aushev ha annunciato su Twitter addirittura un programma di bug bounty. I bug bounty sono dei premi in denaro che vengono dati a ricercatori di sicurezza che trovino vulnerabilità in software e sistemi, e sono adottati dalle maggiori società tech che li usano per difendersi, così come da piattaforme apposite che lavorano con le aziende.
Ora l’IT Cyber Army ucraino promette 100mila dollari di bug bounty, pagati in criptovalute, per chi riporti (a un indirizzo Gmail) vulnerabilità interessanti con cui attaccare obiettivi russi. L’intera operazione si chiama “f̶u̶c̶k̶ HACK RUSSIA”. So che la letteratura cyberpunk è stata richiamata più volte in questi giorni, ma vorrei evocarla ancora, aggiungendoci però anche un po’ di MadMax.
Non ci sono stati ancora attacchi clamorosi, dicevo, ma c’è una miriade di micro attacchi o di attacchi di media entità difficili da verificare. Anche perché si moltiplicano i gruppi e gli annunci. Sempre pro-Ucraina, ci sono ad esempio i Network Battalion 65, che hanno rilasciato quelli che apparentemente sembrano essere documenti dell’Istituto nucleare russo. Sono sbucati fuori i Georgian Hackers Society, che avrebbero mandato offline siti governativi, banche e media russi. Hanno aperto da poco tutti i loro canali social, e il gruppo Telegram ha oltre duecento iscritti.
C’è ovviamente Anonymous, che tra le varie cose ha “defacciato” (violato un sito e modificato la sua home) vari media russi: TASS, Kommersant, E1, Fontanka, e Izvestia. E ci ha piazzato un messaggio col numero (presunto) dei soldati russi morti in Ucraina. È questo un tipo di azione emblematica di quel che Vice definisce un “uno tsunami di hacktivismo”. Invece il gruppo AgainstTheWest ha detto di aver colpito vari obiettivi, ad esempio un’azienda russa di tecnologie tlc, Unique Fiber Devices, violandone i sistemi, ma di nuovo verificare questo genere di informazioni resta complicato, anche perché nelle stesse ore l’account Twitter del gruppo veniva sospeso.
A essere colpite da Anonymous anche le banche bielorusse. E forse proprio in Bielorussia sono avvenuti alcuni degli attacchi più interessanti. Qui i CyberPartisans bielorussi, gruppo hacktivista anti-Lukashenko di cui ho scritto ampiamente in passato, ha di nuovo preso di mira i sistemi informatici delle ferrovie bielorusse, in particolare il sistema di controllo del traffico, con l’effetto di rallentare l’attività e le tratte tra Minsk, Orsha e Osipovichi. Questo attacco è stato parzialmente confermato da alcuni media, ma resta difficile valutare in modo indipendente l’impatto effettivo sugli orari e spostamenti dei treni. Sappiamo che a gennaio lo stesso gruppo aveva già attaccato con successo i sistemi informatici delle ferrovie del Paese, provocando quanto meno problemi con l’emissione dei biglietti.
In questi giorni ho intervistato la portavoce dei CyberPartisans, Yuliana Shemetovets. “I CyberPartisans sono concentrati su attacchi che possano bloccare o rallentare lo spostamento di truppe e materiali russi attraverso la Bielorussia”, ha commentato a Guerre di Rete. “Artiglieria, rifornimenti usano soprattutto i treni”.
A gennaio i CyberPartisans avevano usato un ransomware (un software malevolo che cifra file e in teoria viene usato per chiedere riscatti) contro le ferrovie, ma oggi Shemetovets non vuole dare dettagli su questo nuovo attacco. L’impressione è che da quelle reti i CyberPartisans non siamo mai usciti e vogliano tenersi questo vantaggio strategico.
Chiediamo se e come si stanno coordinando con altri gruppi, a partire dall’IT Army ucraino, e la portavoce spiega che stanno ricevendo moltissime richieste e offerte d’aiuto, o di coordinamento, ma anche per loro è molto difficile fare verifiche su quanto affermato. “Abbiamo contattato l’IT Army ucraino per passare soffiate e informazioni, anche perché abbiamo visto che volevano colpire le ferrovie bielorusse. In generale loro vogliono risultati rapidi, i CyberPartisans si muovono su tempi più lunghi”.
Shemetovets spiega che al momento i CyberPartisans sarebbero un gruppo di oltre 40 persone, impegnate in vari ruoli, con forti legami sul territorio bielorusso e anche negli apparati statali.
Attacchi contro l’Ucraina
Ma gli attacchi sono andati anche in direzione contraria, contro obiettivi ucraini e non solo. Il 28 febbraio Microsoft avvisava di una serie di malware, software malevoli, indirizzati verso istituzioni militari ucraine, agenzie governative e aziende. Il WashPost ha riferito di almeno una stazione di controllo alla frontiera con la Romania in tilt per un attacco informatico. Alcuni media come il Kyv Post e New Voice of Ukraine avrebbero subito attacchi DDoS. Negli ultimi due giorni il CERT (il team nazionale di risposta cyber) ucraino ha ammonito dell’invio di massa di malware attraverso campagne di phishing contro dipendenti statali e cittadini ucraini.
Intanto crescevano i gruppi che si dichiaravano pro-Russia, alcuni con un passato chiaramente criminale. Abbiamo già detto la scorsa settimana del Conti Group, uno dei più noti e pericolosi diffusori di ransomware.
Anche se il gruppo subiva una debacle subito dopo il suo annuncio di fedeltà a Mosca perché qualcuno (a partire da un ricercatore ucraino) ne faceva uscire un leak, in pratica 160mila messaggi interni scambiati fra i suoi membri e il codice del suo ransomware e di altre operazioni, incluse quelle legate a un noto malware di nome Trickbot. Una manna per gli esperti di sicurezza informatica che seguono il cybercrimine. Il gruppo che ha lavorato su questo rilascio di informazioni ora viene chiamato ContiLeaks.
Poi si sono fatti vivi altri gruppi russi come XakNet, che si definiscono “patrioti russi”. E che hanno promesso vari attacchi contro obiettivi ucraini in un loro annuncio. Quasi dal nulla sembra essere sbucato Killnet che riprende modi alla Anonymus ma contro Anonymous. Mentre gli Stormous Ransomware – un gruppo che diffondeva ransomware, con membri che parlano arabo e attivi dal 2021, secondo un’analisi TrendMicro appena uscita – hanno annunciato la discesa in campo pro-Russia.
Questo per citare solo alcuni casi, la lista è lunga, la confusione massima, ed è nella confusione che possono meglio muoversi gli attacchi più sofisticati, quelli degli Stati, quelli che non cercano visibilità se non per mescolarsi al rumore di fondo. Di questi sapremo qualcosa forse in futuro, ma di nuovo, come ho scritto nella scorsa settimana e detto in alcune interviste, aspettiamoci per ora soprattutto una guerriglia di bassa intensità, più che singole azioni eclatanti (sempre possibili, ma alla fine qui si ragiona in termini di probabilità e scenario attuale, che è ovviamente in rapido divenire).
E quindi a essere esposti sono e saranno soprattutto le aziende, la sanità e la pubblica amministrazione, già pesantemente colpite negli ultimi due anni da azioni di cybercrimnali. Con i gruppi ransomware che, affiliati o meno a Mosca, russi o di qualsiasi altro Paese, possono provare a inserirsi in questo quadro confuso per sfruttarlo in modo opportunistico e monetizzare ancora di più con una pioggia di altri attacchi. O scambiando dati e informazioni preziose con soggetti statali interessati.
Attacchi contro altri Paesi
Al momento la situazione in altri Paesi è di massima allerta, sul fronte cyber, ma anche di attesa verso minacce poco chiare al momento. Una situazione da Deserto dei Tartari, su cui si innestano gli alert delle agenzie governative. Ieri in Italia la nostra Agenzia per la cybersicurezza nazionale (attraverso il suo Csirt, il Computer Security Incident Response Team) ha diramato via mail un allerta a una serie di aziende. L’alert era inconsueto perché presentava una minaccia non definita legata però a una data precisa.
“Da notizie riservate si è appreso che domenica 6 marzo potrebbero essere eseguiti attacchi cyber, legati alla situazione internazionale, ai danni di enti governativi e industriali, non meglio definiti, anche nel nostro Paese. Nel ricordare la necessità di adottare tutte le misure di protezione degli asset IT, in particolare quelle oggetto degli alert specifici già diffusi dall’Agenzia per la Cybersicurezza – Csirt Italia, si raccomanda prestare particolare attenzione nel giorno indicato e comunicare eventuali evidenze di attività malevole utilizzando i canali di comunicazione dello Csirt Italia”.
A quanto apprende Guerre di Rete, nella serata di sabato sarebbe seguito un secondo avviso con alcune indicazioni e indicatori su possibili minacce malware.
Mentre scrivo, dalla Germania arriva la notizia che ai clienti del servizio internet satellitare Viasat è stato detto di non aggiornare i dispositivi. Viasat sarebbe stata compromessa da un attacco informatico. Notizia che ripeto mentre scrivo è in via di sviluppo e da verificare e che se confermata sarebbe una delle più preoccupanti di questi ultimi giorni.
CAPITOLO 4 – Gli altri fronti: crypto, Big Tech, (dis)informativo
Ma ovviamente molto sta accadendo anche sugli altri fronti digitali di questa guerra. Pensiamo solo al ruolo delle criptovalute. Lo sforzo complessivo del crowdfunding via criptovalute e cryptoasset del governo ucraino ha raggiunto il valore equivalente di oltre 50 milioni di dollari in pochi giorni, da quando è iniziata l’invasione e sono stati diffusi via Twitter gli indirizzi, i wallet, su cui donare, riferisce la società di analisi della blockchain Elliptic.
O alle comunicazioni di intelligence. Gli americani passerebbero informazioni agli ucraini sulle truppe e i movimenti russi anche attraverso un portale sicuro predisposto in queste settimane dove vengono caricati documenti che gli ucraini possono visionare in tempo reale, riferisce CNN.
E poi c’è il ruolo della guerra informativa che meriterebbe un capitolo a parte e di cui riporto solo alcuni esempi, perché si legano al fronte cyber con cui abbiamo iniziato la newsletter. Ad esempio l’iniziativa, rilanciata da account di Anonymous, di invitare gli utenti a scrivere recensioni per i locali, ristoranti russi, andando su Google Maps o Yandex, scrivendo commenti sulla guerra e l’invasione dell’Ucraina. L’iniziativa ha avuto un suo impatto, Guerre di Rete ha verificato che in effetti queste recensioni c’erano e si trovavano facilmente. Al punto che Google e TripAdvisor hanno poi sospeso la possibilità di lasciare commenti (WSJ).
Nel mentre Twitter chiudeva oltre 100 account che spingevano l’hashtag pro-russo #IStandWithPutin per comportamento coordinato inautentico.
In questa guerra di comunicazione/informazione, il governo ucraino e in particolare il premier Zelensky and il suo vice e ministro per la Trasformazione digitale Fedorov stanno giocando un ruolo di primo piano (forti di esperienze con case di produzione alle spalle e un entourage di esperti di IT e di comunicazione digitale), con Twitter e Telegram a giocare ruoli decisivi (e diversi). Fedorov è l’avamposto diplomatico con Big Tech. Dal suo account Twitter sono partiti una serie di appelli alle grandi aziende tecnologiche per obbligarle a prendere posizioni nette e sospendere servizi in Russia. Quasi tutte hanno in vario modo risposto all’appello. Dal suo canto abbiamo visto la Russia iniziare a bloccare servizi e piattaforme, a partire da Facebook e Twitter.
L’attacco all’Ucraina sta avendo tra le molte e drammatiche conseguenze anche una ridefinizione della Rete, una sua riconfigurazione che ovviamente spinge la Russia verso l’isolamento ma che ridisegna anche il modo in cui gli altri Paesi intendono questo spazio. Le implicazioni di quanto sta avvenendo da questo punto di vista sono ancora tutte da capire e magari saranno materia di un’altra newsletter.
Altre letture su specifici aspetti:
– Instagram abilita la cifratura dei DM per ucraini e russi (TechCrunch inglese)
– Ritratto del WashPost di Fedorov
– Telegram e riduzione del danno per utenti russi e ucraini (inglese – EFF)
– Venti di deglobalizzazione (Agenda Digitale)
– Guerra in Ucraina, le piattaforme di social media si attivano contro le fake news (SkyTg24)
Guerre di Rete ora ha anche un sito, una pagina Facebook, un profilo Twitter, Linkedin e Instagram. Seguiteli! I podcast della newsletter (che escono il lunedì in genere) li trovate sulle principali piattaforme (Apple Podcasts; Spotify; Google Podcast; Anchor.fm).
Foto: Red Hot Cyber e Prosyscom
RedazioneVedi tutti gli articoli
La redazione di Analisi Difesa cura la selezione di notizie provenienti da agenzie, media e uffici stampa.