Red Hot Cyber
La cybersecurity è condivisione.
Riconosci il rischio, combattilo, condividi le tue esperienze ed
incentiva gli altri a fare meglio di te.
Menu
La cybersecurity è condivisione.
Riconosci il rischio, combattilo, condividi le tue esperienze ed
incentiva gli altri a fare meglio di te.
Olivia Terragni : 1 Marzo 2022 10:39
Autore: Olivia Terragni
Data Pubblicazione: 24/02/2022
Russia – Ucraina, Israele – Iran, Cina – Taiwan, le tensioni geopolitiche – oltre che su terra, acqua, aria e spazio – si stanno manifestando sempre più nello spazio digitale, con impatti che si dipanano in vari settori.
Mentre in questi giorni il conflitto e le trattative tra Kiev e Mosca ci lasciano con il fiato sospeso, sui fili del cyber spazio la tensione sale ancor di più in uno scenario confuso e alquanto complicato – grazie anche all’anonimizzazione – dove ci aspettiamo crescenti rischi di attacchi e incidenti informatici mentre delineiamo gli scenari peggiori.
Supporta Red Hot Cyber attraverso
Si tratta di cyberwarfare?
A dire il vero non ancora, ma c’è una parte di Internet che si sta muovendo in questa direzione, soprattutto quella underground, con attacchi alle infrastrutture informatiche di Kiev e Mosca. Attacchi DDoS sono arrivati dal collettivo hacker Anonymous – apertamente schieratosi dalla parte del popolo ucraino e non degli stati – e dal gruppo GhostSec – famoso per aver preso di mira i siti web ISIS – mentre la banda ransomware Conti si è schierata dalla parte della Russia.
A questi si sono aggiunti vari gruppi sponsorizzati come il moscovita UNC1151 o il gruppo Sandworm e bande criminali come i The Red Bandits e gli attivisti Cyber Partisans bielorussi. Per finire l’appello del Ministro ucraino per la Trasformazione digitale, Mykhailo Fedorov, che ha chiamato a raccolta gli hacker underground per proteggere le infrastrutture critiche e condurre missioni di spionaggio informatico contro le truppe russe.
Tra la violazione della Rosatom State Nuclear Energy Corporation Russa da parte dell’Ukraine Cyber Troops e la disclosures di documenti contenenti le istruzioni riguardanti il Research Reactor Complex che la russa Rosatom sta costruendo in Bolivia, il blocco dei servizi della ferrovia bierlorussa – che dovrà passare al controllo manuale – sembra che la guerra non finirà presto oramai nemmeno con le trattative
Tuttavia, la grande corsa delle potenze è diretta anche verso la supremazia digitale e tecnologica, per plasmare strategicamente il potere politico, militare, economico e ideologico globale, su cui la “cyber warfare” e la sicurezza informatica impattano direttamente. Alcuni paesi, tra cui la Cina e la Russia – a causa del rapido aumento della connettività a livello globale – hanno già provato a predisporre la loro rete per isolarla in tempi rapidi in caso di emergenza. “Dobbiamo prepararci a reagire davanti all’imprevedibilità delle azioni Occidentali”. Sono le parole di Dimitry Peskov, portavoce del Cremlino.
A cambiare le regole dei giochi è stato un virus informatico: Stuxnet, una vera e propria arma informatica: un codice informatico di 15.000 righe, in grado di distruggere le centrifughe di arricchimento dell’uranio all’interno di una struttura clandestina a Natanz, in Iran. Stuxnet ha sintetizzato la natura davvero complessa delle minacce informatiche, che, navigando in profondità nella rete, riguardano tutti noi da molto vicino.
Bart Groothuis, membro del Parlamento europeo ha recentemente affermato [in merito alla situazione in Ucraina]: ”Non c’è guerra nel Cyber spazio, è una sciocchezza”. Eppure l’interruzione di un servizio, o un’infrastruttura, tramite attacco informatico corrisponde ad un “bombardamento” di un punto strategico. Nell’ultimo rapporto di Carlo Mauceli su Difesa Online – che abbiamo intervistato prima dello scoppio del conflitto – vengono citate le parole della NATO (art. 5 Alleanza Atlantica): “un attacco cyber rivolto ad una nazione è un’aggressione a tutti i paesi membri”.
Carlo Mauceli è National Digital Officer di Microsoft Italia e la sua è un’importante responsabilità: quella di promuovere l’innovazione del Paese attraverso un piano di sviluppo nazionale in linea con l’Agenda Digitale, supportando le scelte strategiche in materia ICT di istituzioni ed enti governativi. Laureato in Ingegneria Elettronica – Bioingegneria presso il Politecnico di Milano, Mauceli, che opera nel mondo della cybersecurity, afferma di non avere mai abbandonato “l’amore per il connubio tra ingegneria e tutto ciò che ruota intorno alla vita”: abbiamo infatti letto un articolo interessante su difesaonline.it in cui parla di Cyber biohacking ed exploit e la possibilità remota di poterli installare all’interno di una molecola genetica.
Uomo dalle infinite risorse, oggi è qui con noi per parlare di come e quanto la geopolitica e gli attacchi informatici siano collegati, lungo un’analisi che ci porterà ad attraversare l’intero globo esaminando i punti critici attuali che nel 2022 potrebbero portarci ad un intenso cyber traffico.
Grazie Carlo Mauceli per avere accettato questa intervista con Red Hot Cyber, che ha come obiettivo quello di divulgare l’importanza della cybersecurity ad un numero ampio di persone e crediamo che solo attraverso la collaborazione sia possibile in qualche modo ridurre i rischi di una società sempre più informatizzata.
RHC: Partiamo subito dall’Ucraina, dati gli ultimi sviluppi e parliamo dell’attacco informatico ai siti governativi di metà febbraio. Cisco ha affermato che chi ha attaccato fosse sui sistemi da tempo, almeno dall’estate scorsa. Kiev accusa il Cremlino, il Cremlino nega, è stato anche affermato che dietro l’attacco ci potrebbe essere la propaganda bielorussa, altro punto critico attuale e dove il gruppo Belarusian Cyber-Partisans hanno crittografato i server appartenenti alla Belarusian Railway, accusando la Russia di avere utilizzato la ferrovia per trasportare armi nel paese.
Qualche precisazione sull’attacco in Ucraina? Che tipo di vantaggio strategico può essere attribuito a questo attacco di cui non si conoscono ancora le origini? Perchè non è stata nascosta l’origine russa? Parliamo anche della tipologia di attacco, non si tratta di un’anomalia?
Carlo Mauceli: Per rispondere a questa domanda estremamente semplice, consentimi di fare una breve analisi storica. Nessun continente ha combattuto così tante guerre come l’Europa. Se ci fermiamo ad analizzare, soltanto, il XX secolo, nessuno può dimenticare che è stato un periodo caratterizzato da due conflitti mondiali che, presi insieme, hanno provocato il maggior numero di vittime dirette e indirette che si ricordi. Ai due conflitti mondiali dobbiamo aggiungere, nell’ultimo decennio scorso, le guerre nell’ex Jugoslavia e in Kosovo, che hanno causato circa 150.000 vittime, e, entrando nel XXI secolo, la guerra nel Donbass, iniziata nel 2014 tra Ucraina e Russia, che continua ancora oggi e conta circa 14.000 morti e 25.000 feriti.
Oggi, la storia, ahimè, sembra ripetersi probabilmente anche perché l’Europa è il continente che ospita sei dei dieci maggiori Paesi esportatori di armi al mondo.Se esaminiamo il rapporto annuale del SIPRI (Stockholm International Peace Research Institute) del dicembre 2020, ci rendiamo conto che le esportazioni di armi da parte delle 25 maggiori aziende produttrici nel mondo hanno raggiunto la cifra di 361 miliardi di dollari, con un aumento dell’8,5% rispetto al 2018.
Viviamo il paradosso ipocrita per cui alcuni dei Paesi che dicono di proteggere le vite umane e firmano trattati per il disarmo, sono tra quelli che detengono il triste primato delle vendite di armi. Stiamo parlando di Stati Uniti, Russia, Francia, Germania e Cina.
La storia ci insegna che i periodi di pace in Europa sono sempre stati di breve durata. Con la fine della Seconda guerra mondiale si sono nutrite grandi speranze per un nuovo ordine mondiale basato sulla pace che, però, a onor del vero, non si è del tutto realizzato.
Sono sorte due nuove potenze, gli Stati Uniti e l’Unione Sovietica mentre l’Europa ha continuato a produrre armi, a modernizzare e a rafforzare la forza militare.
I quasi quarant’anni di pace vissuti sul territorio europeo sono culminati nel conflitto nella ex Jugoslavia, avvenuto sotto gli occhi delle Nazioni Unite, della NATO (Organizzazione del Trattato Nord Atlantico) e dell’allora Comunità Economica Europea (CEE). Le immagini di quella guerra con genocidi e massacri, sono stati trasmessi dalle televisioni di tutto il mondo, senza alcuna possibilità di intervento.
Le tensioni che hanno percorso la storia del continente europeo non sono svanite con la fine della guerra fredda e la dissoluzione dell’Unione Sovietica e del Patto di Varsavia. La fine di quest’ultimo, nato per reazione alla creazione della NATO guidata dagli Stati Uniti e composta originariamente da solo 12 Paesi, avrebbe dovuto portare anche alla scomparsa della NATO stessa, cosa che invece non è avvenuta e addirittura, i nuovi Stati indipendenti nati nel continente sono stati invitati a unirsi all’accordo militare occidentale per proteggersi dalla Russia.
Oggi la NATO conta 30 membri, con Ucraina, Georgia e Bosnia ed Erzegovina in attesa di entrare mentre Svezia e Finlandia partecipano, soltanto, alle esercitazioni militari congiunte.
Le tensioni che si stanno vivendo in quest’ultimo periodo sul suolo europeo sono nate per una serie di ragioni, tra cui l’allargamento verso est della NATO e l’annessione della Crimea, che apparteneva all’Ucraina, da parte di Mosca con un plebiscito del 2014 che non è stato riconosciuto da gran parte della comunità internazionale.
Un ulteriore motivo di tensione sono le controversie sull’accordo russo-tedesco per la costruzione dei gasdotti Nord Stream 1 e 2.
Nord Stream 1 è un gasdotto in funzione dal 2011 e, attraversando il territorio ucraino, fornisce gas naturale proveniente dalla Siberia a diversi Paesi occidentali per un valore di circa 2 miliardi di dollari all’anno.
Nonostante l’opinione contraria degli Stati Uniti, il governo tedesco ha approvato la costruzione del secondo gasdotto, Nord Stream 2, che collega direttamente la Russia alla Germania, passando per il Mar Baltico senza toccare il territorio ucraino e ad un costo più basso per i destinatari finali. Nel 2017, con le sanzioni inflitte alla Russia, la società energetica di Stato russa Gazprom ha messo l’ex cancelliere Gerhard Schröder a capo del progetto.
Nord Stream 2, costato circa 11 miliardi di dollari, investiti da Gazprom, è stato completato a settembre 2021 ma non è stato reso operativo a causa delle pressioni degli Stati Uniti che lo considerano un progetto vincolato alle sanzioni provocate dall’annessione della Crimea.
“La regione del Donbass è oggi il punto caldo della disputa tra Mosca, gli Stati Uniti e la NATO, che sostengono l’Ucraina”.
È chiaro che alla luce di quanto detto, si può evincere che la crisi sia iniziata proprio lì nel 2014 e che il livello di tensione sia sempre rimasto alto in seguito alla proclamazione di indipendenza delle sue due regioni sostenute da Mosca che attualmente mantiene 100.000 soldati al confine con quel Paese.
Se Mosca vuole dimostrare che quella parte di mondo le appartiene, potrebbe anche scegliere tattiche e piani differenti, molto meno “forti” ma non per questo meno incisivi.
A questo proposito è molto interessante l’analisi e le prospettive che sono state proposte dal giornale di lingua inglese di Mosca, il Moscow Times, secondo il quale erano quattro gli scenari possibili, compreso quello della guerra totale, al quale era difficile credere per diversi motivi: difficoltà a entrare nelle città densamente abitate (non solo Kharkiv, ma anche la capitale Kiev), affinità culturali che possono anche dare sorprese, e lo spettro Afghanistan: si entra, si conquista, e poi? come si mantiene?
Tra gli latri scenari proposti dal giornale ecco il più gettonato: la guerra solo nel Donbass, l’area sudorientale dell’Ucraina, a maggioranza russa, oggetto dell’invasione del 2014 e che da allora si è autodefinita zona autonoma. Uno scenario simile sarebbe possibile in quanto la situazione è davvero critica tanto che il Parlamento russo ha già approvato un appello dei comunisti per fermare il genocidio in atto in quel territorio contro i russi da parte degli ucraini.
L’annessione, tuttavia, non è quello che ha auspicato Putin finora. Putin, infatti, ha sempre considerato quel conflitto una questione interna all’Ucraina, una sorta di guerra civile fra gli abitanti di lingua russa, in questo caso le vittime, e quelli che parlano ucraino, ossia i persecutori. Gli sarebbe piaciuto che venisse applicato l’accordo di Minsk che seguì a quella rivolta e che garantisce ampia autonomia ai territori ribelli ma sempre dentro l’Ucraina. L’invasione e l’annessione del Donbass provocherebbe uno squarcio ma darebbe un’altra lezione all’Ucraina oltre che portarle via un altro pezzo di territorio.
Il terzo scenario proposto dal Moscow Times ripercorre quanto accaduto nella Georgia, nel Caucaso, nel 2008. Siamo, cioè, di fronte ad una possibile azione di guerriglia veloce o dimostrativa appena oltre le frontiere. Si entra in Ucraina, si sconfigge il primo esercito che si incontra e si rientra. Pensate che in Georgia funziona ancora, visto che l’Abkhasia e l’Ossetia del Sud sono ancora territori ribelli, protetti da Mosca.
Tuttavia, rimane un’arma a doppio taglio perché non solo la Georgia, pur avendo perso un quinto del suo territorio, non ha capito la lezione ed è sempre rimasta filoccidentale, ma aspira ancora ad entrare nella Nato.
E infine la descrizione dell’ultimo scenario: una guerra non convenzionale, ibrida, fatta di minacce psicologiche rappresentate dai soldati ammassati al confine, e pressioni cibernetiche per destabilizzare il Paese.
A questi scenari aggiungiamo quello reale, quello che sta accadendo ora, una guerra convenzionale, accompagnata da attacchi cibernetici, favoriti dall’anonimizzazione, ove si possono infiltrare gruppi che sono associati ad uno stato piuttosto che ad un altro. La guerra sul fronte cyber è però in questo momento solo la punta dell’iceberg.
Hacker bielorussi hanno già attaccato il governo ucraino bloccando servizi amministrativi importanti mentre la comunicazione basata sulle fake news è in atto quotidianamente sui social.
“…la guerra cibernetica può essere vista come la punta dell’iceberg di un conflitto ancora in embrione”.
Pertanto, direi che la guerra cibernetica può essere vista come la punta dell’iceberg o come una delle tante facce di un conflitto perenne, un modo sottile e molto più invasivo, per certi versi, che garantisce disagio sociale, provocando fermi ad enti e infrastrutture che erogano servizi essenziali per il Paese. Questo genere di attacchi va inquadrato nella cyberwarfare latente che va avanti da anni in Ucraina tanto da averla fatta diventare una sorta di “laboratorio” dove esercitare le cyberweapon più varie. Proviamo a ripercorrerli così da renderci conto di cosa stiamo parlando.
Il Paese è stato teatro di un primo cyberattacco ad aziende di distribuzione dell’energia nel dicembre 2015, quando 230000 persone rimasero senza elettricità per alcune ore nella regione di Ivano-Frankivsk.
Un anno dopo, durante il Natale 2016, ci fu un secondo episodio che causò un’ora di blackout in una parte di Kiev. Gli esperti considerano questi attacchi i primi casi noti e confermati di blackout causati da cyberattacchi.
Nel giugno 2017 è la volta di NotPetya, il malware nato proprio in Ucraina e poi propagatosi in molti Paesi. Gli attaccanti avevano compromesso un software per la contabilità molto usato nel Paese che è rimasto, peraltro, il più flagellato dall’infezione. L’Ucraina è stata, pertanto, oggetto di attenzione da parte di Usa e UE che hanno aiutato il Paese nel rafforzamento della propria capacità cyber attraverso sostanziosi investimenti.
Qualsiasi cosa succeda in Ucraina, pertanto, si inserisce in questo quadro complesso e multilaterale senza dimenticare, però, che nel rapporto con la Russia, l’Occidente non è mai innocente.
Nessuno ha mai creduto fino in fondo, in Europa come a Washington, che la divisione del mondo fosse finita sul serio una volta caduto il Muro di Berlino e l’impero sovietico. Dopo quei fatti che rappresentarono un qualcosa di epocale, ci si è fermati a metà strada, lasciando credere a popoli sottomessi e impauriti che bastasse entrare nella Nato per raggiungere la democrazia ed essere protetti da ogni tirannia. Ovviamente non era così: un’Alleanza militare non può infondere fiducia nei diritti ed educare alla libertà e alla tolleranza. La parola militare dovrebbe fare riflettere ☹ molte coscienze. Infatti, lo verifichiamo ogni giorno con alcuni Paesi dell’Est, fatti entrare nella UE piuttosto in fretta e che, oggi, rappresentano una spina nel fianco sulla strada comune. La Nato andava riformata subito, appena crollata l’Urss, perché era nata con l’intento di difendersi da quel sistema e quel sistema non esisteva più. Se fosse stato fatto, la Storia avrebbe preso altre strade.
È evidente che in questo scenario il punto non sia l’Ucraina, la Crimea o la Russia. Il punto è l’Europa, intesa come continente, ovviamente Ucraina compresa. Siamo tutti di fronte ad una ipocrisia generale, ad una volontà di potenza completamente fuori dal tempo, espressa con linguaggi anacronistici, falsamente pacifica nei toni ma violenta nei modi. E dobbiamo preoccuparcene. Il cyber è solo un aspetto, per altro minimale, di uno scenario ben più ampio. Un mezzo silente per generare disagio sociale e per riuscire a nascondersi. Alla fine, chi paga è sempre il popolo a cui vengono nascoste moltissime verità. La storia si ripete, semplicemente, con altri mezzi.
RHC: Dalla Russia arrivano informazioni opposte a quelle occidentali: Dimitry Peskov afferma: il motivo dell’aggravarsi della situazione intorno all’Ucraina risiede nelle azioni di Bruxelles e Washington, afferma poi che continuano a circolare false notizie riguardo le azioni della Russia. La Gran Bretagna è stata accusata di aver cospirato sulle elezioni di un presidente filo russo a Kiev, l’ex deputato ucraino Yevhen Murayev. Si tratta di una guerra dell’informazione? Guerra psicologica, propaganda e disinformazione, come questi elementi subentrano nel cyber spazio e quali danni arrivano ad arrecare?
Carlo Mauceli: L’uso della propaganda come strumento di politica estera è noto da secoli. Nell’epoca contemporanea è servito, in particolare, a giustificare guerre e interventi militari. Nel caso della Russia, che nell’attuale fase di restaurazione politica interna ha visto la ripresa del controllo dello Stato da parte di una classe politica già in possesso, da oltre settant’anni, delle leve del potere e una consistente continuità amministrativa, questo strumento, rigenerato da una quindicina d’anni, è stato sottovalutato nelle analisi dei political scientists occidentali.
E questo è davvero un paradosso se si pensa a quante e quali tecniche siano state sviluppate nel periodo sovietico in tema di disinformazione, propaganda, operazioni coperte e disorientanti, alterazione della storia, discredito nei confronti di nemici, costruzione di falsi dossier. Tecniche sulle quali si sono formati gli attuali detentori del potere, eredi di concrete istituzioni preposte alla propaganda e che vi fanno ricorso in modo massiccio anche nella conduzione contemporanea della politica estera.
“I nuovi media hanno fornito formidabili strumenti per la rinata potenza politico-militare”
Le tecniche di Information Warfare (IW) sono state perfezionate e si sono moltiplicate. I nuovi media hanno fornito strumenti per la rinata potenza politico- militare, che non agisce solo per consolidare un proprio soft power, ma utilizza i metodi della “strategia indiretta” del passato, trasformata in agitazione politica e ricerca di supporter riuniti in rete per l’influenza e l’azione politica in Occidente e nelle Repubbliche ex sovietiche indipendenti.
Gli strumenti vanno dall’uso di media tradizionali alla creazione di canali televisivi all’estero, quali media-offshoring, a quello di internet con interi uffici dedicati alla generazione di fake news, alla disinformazione e all’orientamento dell’opinione pubblica e dei governi, di troll factories che agiscono con centinaia di addetti nei social media, nei blog e nei forum, diffondendo commenti pilotati, false informazioni e utilizzando le tecniche più sofisticate della guerra psicologica. Non sono state abbandonate, comunque, le tradizionali pubblicazioni disorientanti, basate su documenti artefatti, presentati parzialmente o sulla de-contestualizzazione storica. In alcuni casi tali pubblicazioni sono apparse solo all’estero, così come film e documentari prodotti in grande quantità dal 2005 e finalizzati a influenzare l’opinione pubblica internazionale.
“La disinformazione serve a preparare l’opinione pubblica prima di operazioni militari”.
Le tecniche sono ancora quelle studiate in passato, in campo politico-militare, descritte ad esempio dall’analista americano T. L. Thomas: il discredito, l’inganno degli oppositori e il disorientamento dell’opinione pubblica, Proviamo a pensare alla martellante retorica dei “fascisti” in Ucraina o nei Paesi Baltici.
Si servono poi del cosiddetto fenomeno della “distrazione”, ossia della creazione di minacce immaginarie per fornire obiettivi inconsistenti e indurre la paralisi, dell’invio ai nemici di una grande quantità di informazioni contraddittorie, dell’esaurimento delle forze, inducendo a impiegarle per obiettivi inutili o fittizi, dell’inganno,provocando la concentrazione dell’attenzione e delle forze su temi e obiettivi irrilevanti, del divide et impera, inducendo fratture nel campo avverso (UE, NATO, partiti politici o coalizioni, anche mediante finanziamenti selettivi per influenzare elezioni e durante cicli elettorali), della deterrenza, creando l’impressione di un’insormontabile superiorità, della provocazione, al fine di indurre azioni a sé favorevoli, della suggestione, offrendo informazioni che colpiscano la legalità, moralità, ideologia, i valori del nemico (ad es. con una “guerra culturale” tra “valori tradizionali cristiani” e “liberalismo” occidentale, a volte utilizzando contraddittoriamente la storyline dell’“età d’oro” del regime sovietico).
Si fa poi uso del discredito di interi paesi o classi politiche agli occhi della popolazione o dell’opinione pubblica internazionale mediante tesi complottiste. Gli esempi di applicazione recenti sono innumerevoli. La disinformazione serve a preparare l’opinione pubblica prima di operazioni militari, come si è visto nella campagna di Crimea o nel Donbass. Tutti questi metodi fanno parte della strategia, la cosiddetta dottrina Gerasimov, del “conflitto non-lineare”, o hybrid warfare, nel quale sopravvivono i concetti militari dell’era sovietica:
Le finalità perseguite da un’autentica geopolitica delle informazioni sono manifeste e latenti. Fra le prime vi è il dichiarato contrasto al soft power occidentale, visto come “guerra non lineare” e alle sue “mire di destabilizzazione dello Stato russo” e del suo “cortile di casa” mediante “rivoluzioni colorate”. Fra le seconde vi è la creazione, mediante information tools e campagne comunicative, di una fake reality basata sulla manipolazione del passato che consenta il perseguimento e la legittimazione di obiettivi specifici di politica estera quali la riacquisizione dell’influenza nel near abroad, l’influenza sulle istituzioni straniere, nazionali e sovranazionali, logorandone l’autorità, la credibilità e la loro rete di alleanze e indebolendo l’efficacia del loro decision-making.
L’uso della propaganda a fini di politica estera non è certo una prerogativa della Russia di Putin. Tuttavia, gli strumenti usati e i metodi per conseguire precise finalità di politica estera ne fanno un uso fra i più efficaci al mondo. La sua specificità è che non può essere ridotta al soft power, dato che risponde a frequenti strategie offensive, con metodi consolidati e di antica origine, che possono causare o inasprire conflitti, contrasti interetnici e regionali, divisioni fra istituzioni e raggruppamenti politici, ma anche giustificare violenze, guerre o interventi militari.
RHC: Quali sono i possibili sviluppi degli ultimi attacchi? I punti cruciali sono le infrastrutture se si vuole fare un vero e proprio danno, lo abbiamo visto con Stuxnet e recentemente in Israele, con il cyber attacco dell’Iran al sistema idrico. In Ucraina nel 2017 il ransomware NotPetya – attribuito dalla NATO al Gruppo Sandworm dell’Unità 74455 del GRU – ha colpito il sistema finanziario, il settore dell’energia e poi quello governativo, per poi diffondersi nel resto del mondo.
Carlo Mauceli: La Nato ha più volte ribadito che “un attacco cyber rivolto ad una nazione è un’aggressione a tutti i paesi membri”. L’articolo 5 dell’Alleanza atlantica che sancisce il diritto alla difesa collettiva, scatterebbe immediatamente poiché la Nato considera lo spazio cibernetico una nuova dimensione degli scontri armati al pari di terra, cielo, aria e spazio.
L’incipit è più che mai attuale e mi ha dato lo spunto, insieme alla lettura dell’interessantissimo libro “Cyber War, La Guerra Prossima Ventura” di Aldo Giannuli e Alessandro Curioni, dedicato alla guerra cibernetica, per fare il punto su quanto stiamo vivendo in questo “tempo digitale”.
Ai nostri giorni, la guerra aperta è possibile solo in scenari periferici e a condizione che gli eserciti delle maggiori potenze non si confrontino direttamente sul campo. La recente storia dimostra che azioni di guerra possono essere condotte solo come guerra indiretta attraverso il confronto fra soggetti minori, protetti ciascuno da una grande potenza, oppure sotto forma di guerra coperta o, meglio ancora, catalitica, dove un soggetto scatena una guerra fra due suoi concorrenti, restando nell’ombra.
L’uso di forme di guerra coperta deve accompagnarsi ad altre forme, più o meno coperte, di guerra non militare, come, ad esempio, la destabilizzazione politica, la guerra economica, i sabotaggi, le sanzioni, ecc. e deve avere una certa flessibilità, così da modularsi secondo le esigenze, momento per momento.
È in tale contesto che la cyber war viene ad assumere un ruolo centrale e strategico sovvertendo però, per certi versi, le tradizionali gerarchie di potere.
Ci troviamo di fronte a quello che viene definito Sharp Power, potere tagliente, che, secondo Giannuli, rappresenta il logico sviluppo di quel Soft Power fondato sulle pratiche di seduzione e influenza culturale teorizzate dallo statunitense Joseph Nye negli anni Settanta.
Lo Sharp Power si caratterizza come un sistema, non esclusivamente pacifico, finalizzato a:
A guidare tale sistema di conflitto non possono che essere i servizi di Intelligence dei vari paesi.
Mentre l’Intelligence della seconda metà del Novecento era, in massima parte, ideologica, quella attuale si muove in una prospettiva geopolitica e geoeconomica. Mentre le strategie precedenti avevano al centro l’obiettivo del controllo territoriale, quella attuale ragiona in termini di reti di connessione.
L’enorme raccolta di dati impone tecniche di integrazione, verifica, trattamento e analisi per i quali i servizi si sono dotati di sofisticati sistemi basati su algoritmi e, a volte, i risultati sono rivenduti a imprese industriali e finanziarie. Si tratta di una ricaduta di quella guerra senza limiti che è già cominciata e che porrà problemi drammatici soprattutto ai sistemi democratici. Buona parte della battaglia si svolgerà proprio sul campo della cyber war.
L’11 maggio 2017, pare ad opera di ambienti legati al governo nordcoreano, viene scatenato WannaCry, un virus che ha fatto proprie le caratteristiche di un worm, cioè un malware capace di auto propagarsi, che può essere disattivato da una sorta di codice di emergenza, esattamente come avviene per un missile lanciato per errore. Quasi un mese dopo, fa la sua comparsa NotPetya; in questo caso l’attacco sarebbe stato sferrato da un gruppo vicino ad ambienti russi che in passato hanno colpito con altri malware la rete elettrica ucraina.
Difficile dire se gli attacchi portati da WannaCry e NotPetya possono essere considerati veri e propri conflitti. Resta il fatto che, in entrambi i casi, si ha avuto a che fare con organizzazioni “state sponsored” che hanno fatto ricorso ad armi informatiche di produzione militare. Se il primo caso è di difficile attribuzione, nel secondo ad essere coinvolti sono due paesi, Russia e Ucraina, in stato di ostilità, il che lascia ipotizzare che si possono intravedere le caratteristiche di un’operazione bellica di nuovo tipo con lo spazio cibernetico che si aggiunge ai tradizionali domini dei conflitti: terra, acqua, aria e spazio.
“Il 2017 segna anche la linea di confine tra il vecchio modello di business dei malware che avevano come obiettivo il singolo device e ii nuovo modello che prevede malware che attaccano l’intera organizzazione aziendale”.
Lo spionaggio esiste da sempre ma ciò che è cambiato, in modo radicale, è la tecnologia avanzata che fornisce a quasi tutte le organizzazioni capacità di intelligence innovative. Con la crescente dipendenza dalla tecnologia, lo spionaggio informatico provoca il caos e ostacola lo sviluppo del business sfruttando il cyber spazio per ottenere, segretamente, informazioni riservate appartenenti ad un governo, a un’organizzazione o a specifici individui.
Lo scopo è quello di produrre guadagni netti, per quanto, chiaramente, si tratti di pratiche illegali. Le tecnologie utilizzate per le intrusioni informatiche segrete sono sia avanzate ma, molto spesso, già utilizzate in passato perché consolidate. Ciò che osserviamo è una varietà di modelli di comportamento che sono spesso, ma non sempre, indicativi del tipo di attaccante e del Paese di appartenenza.
Il furto di proprietà intellettuale sembra essere l’obiettivo principale del Partito Comunista Cinese. Il GRU russo è più concentrato agli aspetti legati alla politica estera e alle campagne di disinformazione.
L’esercito cibernetico iraniano è stato particolarmente impegnato in attività di difesa dagli attacchi volti ad impedirne lo sviluppo e l’utilizzo delle armi nucleari ma ha anche, ormai da tempo, sviluppato tecniche di offesa tanto da essere stato ritenuto responsabile di alcuni degli attacchi informatici più dannosi contro parecchie aziende negli ultimi anni.
Gli attacchi informatici della Corea del Nord sembrano essere motivati sia da ragioni di carattere finanziario che basati sui capricci di Kim Jong-un. Hanno preso di mira le istituzioni finanziarie per rubare fondi attraverso il loro famigerato gruppo Lazarus, che, non dimentichiamolo, si presume sia stato responsabile dell’attacco ransomware Wannacry e di altri noti eventi informatici.
L’esercito cyber siriano si è recentemente concentrato sull’hacking delle comunicazioni dei dispositivi mobili, cercando di interrompere e sopprimere l’opposizione al regime dittatoriale.
Come potete vedere, ci sono molteplici ragioni alla base delle attività cibernetiche di questi gruppi. Quel che è certo, però, è che l’escalation continua senza sosta e con sempre maggiore forza.
Negli ultimi anni la guerra cibernetica è diventata una delle forme di guerra più efficaci, utilizzata con l’intento di infliggere danni a chi presiede i governi e le economie ritenute dannose; questo tipo di guerre non comportano costi gravosi come quelle in cui si adottano le armi convenzionali.
“La natura segreta della guerra cibernetica ci riporta all’era degli spionaggi durante la guerra fredda”.
Le superpotenze e non solo loro, stanno alzando la posta in gioco mentre la gente comune si siede e riflette su quanto sia fortunata a vivere in tempi relativamente pacifici, soprattutto in occidente.
“Le armi cibernetiche hanno una capacità distruttiva devastante. E il problema è che non è affatto facile né veloce identificarle e contrastarle”.
Il mondo moderno ruota attorno all’informatica, a cui ha affidato e da cui dipende totalmente la sua esistenza: chi riuscirà ad alterarlo avrà la meglio nelle guerre cibernetiche del futuro, ma con quale prezzo per le popolazioni e i governi colpiti? Sono domande a cui non so dare una risposta. Quel che so e che spero è che tutti dovrebbero fare un passo indietro per salvaguardare quel mondo che ci è stato donato per potere vivere in pace e che tutti si sia in grado di comprendere che la tecnologia è davvero, come dice il Papa, un dono di Dio.
RHC:Passiamo alla Cina: la National Cybersecurity Talent and Innovation Base a Wuhan, è in grado di formare 70.000 persone all’anno in cybersecurity. La Cina sta formando hacker di stato parallelamente alla caccia del presidente Xi ai criminali, nonostante abbiano avuto grande parte nello spionaggio informatico. La strategia cinese nel cyberspazio sta cambiando? E quale è la posta in gioco della corsa alla tecnologia come principale campo di battaglia per il dominio geopolitico?
Carlo Mauceli: Si fa sempre un gran parlare del ruolo della Cina nell’attuale scenario cibernetico e, con altrettanta frequenza, si dibatte circa il suo ruolo nell’implementazione e diffusione delle tecnologie 5G, presto installate in ogni angolo del Continente.
Nonostante non sia semplice analizzare le linee guida della cyber-politica di Pechino né intuire quali possano essere i futuri orientamenti cinesi in materia e come questi potranno alterare equilibri geopolitici sempre più fragili che vedono proprio nella competizione fra Stati Uniti e Cina il principale terreno di gioco, possiamo, comunque, provare a scendere nel dettaglio, individuando tre punti cardine della politica del Presidente Xi Jinping per la conquista del dominio cibernetico:
I vari report relativi alla sicurezza informatica riportano che la Cina può essere considerata responsabile per circa il 67% degli attacchi informatici supportati da apparati governativi condotti a livello globale (una classifica, questa, poi chiusa dal secondo posto iraniano, con il 7% delle cyber incursioni, e dal 5% della Corea del Nord).
Nell’ultimo anno, le minacce operate dagli attori cinesi hanno preso di mira gli Stati Uniti e l’Australia. Nel primo caso per ottenere informazioni in merito alla politica colpendo, in particolar modo, quelle entità governative che attuano politiche estere in Europa e nei Paesi dell’America Latina. Nel secondo caso, invece, per puro e mero interesse economico tanto che sono state colpite da ransomware migliaia di aziende. Per compiere la loro missione, hanno sfruttato una serie di vulnerabilità precedentemente non identificate per diversi servizi e componenti di rete.
Tutto ciò è da ricollegarsi a gruppi hacker al soldo del Ministero della Pubblica Sicurezza cinese, ingaggiati per condurre attacchi ransomware contro le compagnie targetizzate ed estorcere loro milioni di dollari in riscatti.
Tra i gruppi più noti, ne cito due:
Oltre a ciò, va poi sottolineato come gli attacchi abbiano sempre più come vittime, strutture sanitarie ed ospedaliere, maggiormente disposte a saldare in tempi brevi il riscatto richiesto e tornare a operare a pieno regime, specie in tempi così convulsi come quelli caratterizzati dalla pandemia di COVID-19.
Ciò costituisce un significativo passo in avanti rispetto al passato, nella strategia di cyberwarfare nazionale cinese: seguendo l’esempio di Russia e Iran, Pechino ha difatti iniziato a dotarsi di veri e propri hacker “a progetto”, arrivando persino a integrarli all’interno di strutture aziendali propriamente dette.
Emblematico, in questo senso, è il caso di Hainan Xiandun Technology, da un lato startup di servizi ICT e, dall’altro, parte integrante di una più complessa rete di cyber-criminali impegnati nell’hackeraggio di reti situate negli Stati Uniti, in Arabia Saudita o Cambogia. Il fatto che, alla fine, sia stato possibile rintracciare l’operato degli hacker di Pechino non deve trarre in inganno: la spregiudicatezza cinese somiglia, per molti versi, alla medesima spregiudicatezza nordcoreana, paese che ha trovato proprio nel comparto cyber l’arma per depotenziare l’impatto delle sanzioni economiche imposte al regime di Pyongyang e suggerire una nuova velocità operativa a tutti quei paesi che iniziano ad allinearsi ai successi nordcoreani (WannaCry e Lazarus Group in primis).
Un nuovo ritmo è quello che si respira anche in materia di innovazione tecnologica e informatizzazione delle comunicazioni: se è vero che la Commissione Europea ha più volte auspicato una decisa spinta in avanti verso le politiche di digitalizzazione da raggiungersi – a livello comunitario – nel 2030, è anche vero che la gara per il 6G è già in atto e la Repubblica Popolare Cinese ha già mostrato di essere in prima posizione fra i competitors di mercato, pubblici o privati che siano, pronti ad aggiudicarsi una cospicua fetta di mercato.
Sebbene gli standard di telefonia mobile e cellulare di sesta generazione non siano ancora stati definiti, una ricerca redatta da Nikkei e dal centro di ricerca giapponese Cyber Creative Institute, condotta esaminando più di 20.000 domande di brevetto, mostra come Pechino abbia già fatto man bassa di oltre il 40% dei brevetti attualmente sviluppati per il supporto alle tecnologie di natura 6G.
Fra i titolari più attivi nel comparto dei brevetti figurano (ovviamente) Huawei e le due compagnie statali State Grid Corporation Of China e China Aerospace Science And Technology: la prima impegnata nella distribuzione di energia elettrica, mentre la seconda è parte integrante dello sviluppo del programma spaziale cinese.In quest’ultimo ambito, nemmeno un anno fa la UESTC, l’Università di Scienza e Tecnologia elettronica con sede a Chengdu, è stata in grado di mandare in orbita il primo satellite a sfruttare la tecnologia 6G, per l’appunto.
“I players cinesi distanziano di cinque punti percentuali i competitors statunitensi e di ben venticinque punti gli operatori giapponesi ed europei, mentre la Corea del Sud si ferma sulla soglia del 4% dei brevetti posseduti”.
Un percorso, questo dell’accaparramento brevettuale, che la Cina ha già avuto modo di esplorare in anni recenti in merito alla famiglia tecnologica 5G, dove Huawei ha più volte avuto modo di ribadire la propria posizione di dominio rispetto agli operatori occidentali.
Nel maggio di quest’anno, la Cina ha presentato al mondo il suo nuovo piano economico quinquennale, caratterizzato – rispetto al passato – da un più forte accento sui temi della tutela della proprietà intellettuale, delle politiche antitrust e degli standard di settore da adottare per un più rapido sviluppo industriale finalizzato al conseguimento di una supply chain globale dominata da una Cina nel ruolo di indiscussa protagonista (argomento in cui, com’è facile immaginare, la cybersecurity riveste un’importanza fondamentale). Grazie a ingenti investimenti nel settore dell’innovazione tecnologica, la Cina sta oggi sviluppando un’economia nazionale di fatto autosufficiente nei differenti cicli di produzione, distribuzione e consumo: un obiettivo, questo, che si traduce nel raggiungimento di una piena indipendenza tecnologica, al riparo da pressioni di mercato e ingerenze per mano di operatori stranieri (come gli Stati Uniti).
L’iniziativa, denominata Digital Silk Road e da considerarsi parte integrante del più vasto progetto BRI – One Belt One Road Initiative, ha poi l’obiettivo di fornire ai paesi poveri o in via di sviluppo servizi internet per mano dei grandi operatori nazionali, come Huawei e ZTE, e creare così un’infrastruttura informatica mondiale completamente “made in China” entro il 2025: ancora una volta, insomma, per il partito del Presidente Xi la sicurezza nazionale passa dalla messa in sicurezza della supply chain cinese e dal dominio dello spazio cibernetico.
Facile intravedere in questa strategia un disegno diplomatico ancor più sottile: mentre gli aiuti tecnologici ed economici da parte di partner e operatori occidentali sono spesso soggetti a precise richieste di carattere politico, gli aiuti forniti da Xi Jinping hanno una connotazione meno “intrusiva”, elemento che rende più appetibile – per alcuni paesi – accettare aiuti da Pechino invece che da Washington. Così facendo, Pechino può a sua volta controbilanciare gli sforzi geoeconomici di taluni paesi (Europa e Stati Uniti, su tutti) di indebolire la filiera produttiva cinese generando, per parte propria, nuove dipendenze tecnologiche e, al contempo, economiche.
“Nel luglio 2020, Robert Mendez, Presidente della Commissione Esteri del Senato degli Stati Uniti, affermò che «gli Stati Uniti sono sul punto di cedere alla Cina il futuro dominio (nella dimensione, nda) cyber […] se la Cina continuerà a perfezionare i suoi tool di autoritarismo digitale e riuscirà a implementare questi strumenti non solo all’interno dei propri confini, ma anche all’estero, allora sarà la Cina, e non gli Stati Uniti e i suoi alleati, a plasmare la dimensione digitale»”.
Infine, è importante ricordare che la Cyberspace Administration of China ha lanciato per la prima volta pubblicamente una procedura di esame della sicurezza della rete per le imprese e quindi ha esaminato diversi fornitori di servizi di traffico online, incluso il principale servizio di ridehailing “DiDi Chuxing”. Dallo studio è risultato che DiDi “presenta seri problemi nella raccolta e nell’utilizzo di informazioni private, in violazione di leggi e regolamenti”. L’Amministrazione ha sanzionato la condotta con il ban dell’app, blocco della registrazione dei nuovi utenti e richiesta di rettifica, trasmettendo un severo segnale (ITA_DP China Updates Jul.2021.pdf (ice.it)).
RHC: Usa-Cina: è ancora “cyber guerra fredda”: due paesi che restano fondamentalmente in disaccordo, ma quale è la maggior minaccia per gli Stati Uniti? Russia o Cina? Il direttore cyber della NSA dice che “la Russia è come un uragano, mentre la Cina è come il cambiamento climatico”. E’ d’accordo?
Carlo Mauceli: Il 14 gennaio scorso, l’agenzia di intelligence russa FSB ha compiuto una retata su vasta scala in numerosi appartamenti della capitale, arrestando i vertici di una delle gang più insidiose nel mondo dei cyber criminali: la REvil, gang famosa per aver ideato l’omonimo sistema di ransomware che negli ultimi anni aveva fatto numerose vittime illustri. Oltre ad agenzie, enti e aziende erano caduti nella loro rete Acer, JBS, Quanta Technologies, ma anche Lady Gaga e Donald Trump. Le operazioni sono state filmate dagli stessi agenti FSB, e vistose erano le loro bluse. Curiosamente, una giornalista del Washington Post si è ritrovata in possesso del video.
Nel filmato si può riscontrare il sequestro di una notevole quantità di denaro, sia rubli sia dollari, nonché hardware, ovvero i “ferri del mestiere” dei cyber criminali. Casualità oppure no il perfetto tempismo delle autorità russe, che fa seguito ad almeno due proteste che il Presidente americano Joe Biden aveva avanzato nei recenti colloqui di Capodanno con il presidente russo Vladimir Putin?
I concomitanti episodi di attacchi cibernetici ai danni di autorità kazake e ucraine hanno in più alzato il livello di guardia e la preoccupazione nei confronti delle gang russe. Sembra allora che l’inquilino del Cremlino e il sistema di sicurezza russo abbiano quindi voluto compiacere i vertici statunitensi ed europei, dimostrando che in caso di appeasement le gang non sarebbero un problema e che potrebbero essere spazzate via nello spazio di un mattino.
“Sempre nella stessa settimana in cui sono avvenuti gli arresti a Mosca ed è stato sferrato l’attacco ai siti governativi ucraini, l’Unione Europea conduceva simulazioni di attacchi cyber in più Stati”.
Ma quando è ricominciata la nuova guerra fredda? Di sicuro l’attacco del maggio 2021 alla Colonial Pipeline, il più grande oleodotto statunitense, da parte della cyber gang russa DarkSide è lo spartiacque della nuova Guerra Fredda. Ha mandato nel caos gli Stati Uniti e messo in difficoltà persino il Presidente: la sua dichiarazione dello stato d’emergenza è stata senza precedenti.
Quell’attacco ha reso evidenti al mondo intero gli effetti dirompenti che un’arma cyber può produrre su un’infrastruttura critica. Se in precedenza gli attacchi delle gang erano prevalentemente rivolti al mondo corporate con intenti meramente economici, il caso Colonial ha permesso di intravedere anche un altro gioco, ovvero l’avvio di una vera e propria guerra fredda cibernetica. Non meno dannoso era stato a luglio 2021 proprio uno degli ultimi attacchi di REvil: approfittando di una vulnerabilità zero-day di Kaseya VSA, piattaforma cloud per la gestione di servizi IT, aveva installato un ransomware tramite un aggiornamento software e colpito 1.500 aziende della supply chain. I team di sicurezza di Darktrace, leader mondiale di AI nella cybersecurity, erano poi riusciti ad arginare l’attacco.
Dietro le cosiddette “gang” di hacker criminali, per lo più con base in Est Europa, spesso e volentieri iniziano a profilarsi le ombre di attori statali, che erano contrapposti già qualche decennio fa. Non sono normali criminali informatici in cerca del “colpo” da migliaia di dollari, ma vere e proprie milizie paramilitari digitali, in grado di causare danni diretti e indiretti alle infrastrutture per milioni di dollari. Nonostante le smentite, ci sono gruppi con legami molti stretti con il Cremlino dietro molti degli attacchi più eclatanti degli ultimi anni (ed in particolare nel 2021). E se non è proprio Mosca il mandante, è comunque confermato il suo benestare, soprattutto da parte della principale agenzia di intelligence russa, l’FSB, che nei confronti di alcune di queste gang di hacker criminali ha fornito quello che in gergo è un sanctuary, cioè un porto sicuro, e la relativa immunità.
Naturalmente di fronte a quella che possiamo definire una escalation e la trasformazione della rete in strumento “bellico”, i grandi avversari di un tempo, gli Stati Uniti, non si sono fatti da parte. Hanno anzi istituito veri e propri reparti militari
(a partire dalla famosa 780th Military Intelligence Brigade) proprio per compiere operazioni difensive e offensive nel cyber spazio, volte a difendere gli interessi delle aziende e dei cittadini statunitensi.
“Con gli arresti della settimana scorsa sarà quindi terminata la “protezione” di alcuni enti russi nei confronti delle gang?”
Dai tempi della guerra fredda gli arsenali strategici non sono cambiati sostanzialmente. Recente è quindi l’introduzione di nuove armi che vanno a cambiare completamente le regole del gioco: la guerra informatica è ora caratterizzata da una costante innovazione, con nuovi ceppi di malware e nuove tattiche rinnovate su base giornaliera. Non appena gli strumenti di sicurezza vengono aggiornati, gli aggressori scoprono immediatamente nuove vulnerabilità da sfruttare, rendendo i sistemi digitali in costante vulnerabilità.
C’è un altro parallelismo tra la situazione che stiamo osservando oggi e quella che il mondo ha vissuto per circa metà del XX secolo. Mentre le testate nucleari erano i simboli ben visibili e armi concrete della Guerra Fredda, questa veniva però condotta nella pratica con strumenti meno appariscenti: in particolare con lo spionaggio e vari strumenti di intelligence. L’obiettivo di questo gioco era semplice: ferire il nemico senza farsi scoprire. Le tattiche, le tecniche e le procedure impiegate, d’altro canto, erano tutt’altro che convenzionali.
Oggi anche lo spionaggio è diventato digitale: dagli spyware dormienti per mesi e in grado di sottrarre dati molto lentamente e persistere inosservati all’interno dei sistemi bersaglio, agli attacchi di un anno fa alle supply chain, come nel caso di SolarWinds, ancora una volta di matrice russa. La nuova guerra fredda è caratterizzata da missioni digitali segrete, in grado di far crollare una rete elettrica o un sistema di trattamento dell’acqua, oppure di minare la fiducia pubblica influenzando opinioni e ideologie.
Non è una novità, ma la classica Humint (intelligence a componente umana) trent’anni fa non era in grado di far collassare in pochi minuti intere infrastrutture avversarie, come avvenuto questo autunno in Iran alla rete di distribuzione di carburante, a ragione di un attacco con ogni probabilità di origine israeliana. Inoltre, prima del 1991, il confronto militare diretto era impedito grazie alla deterrenza nucleare.
Oggi ci troviamo in un campo nuovo: la Cyber War, da strumento di ransomware e spyware, può divenire esso stesso agente di conquista, contro la quale non c’è deterrenza che tenga. Non si va verso la minaccia del reciproco annientamento, che aveva garantito il lungo equilibrio della guerra fredda nel secondo Novecento. Chi riesce a sferrare la prima mossa, grazie a un vantaggio tecnologico, a una migliore organizzazione delle risorse digitali o, semplicemente, a una distrazione dell’avversario, può assestare il colpo definitivo.
Negli ultimi anni anche il World Economic Forum si è, finalmente 😊 , accorto di quanto il rischio cyber sia una minaccia e quale peso e gravità possa avere.
Il cluster dei rischi cyber crea una sorta di triangolo posizionato nel quadrante in alto a destra della mappa. E qui, entra in gioco il concetto di rischio informatico. Si definisce rischio informatico il prodotto scalare tra la gravità (impatto) delle conseguenze che un evento cibernetico determinerebbe e la probabilità che tale evento pericoloso (minaccia) si realizzi e dunque: R= I x P
I rischi vengono dunque valutati determinando l’entità dei danni potenziali sul sistema che la minaccia potrebbe provocare in caso di suo accadimento, considerando la probabilità che la minaccia causi sempre il maggior danno possibile al suo verificarsi. Le conseguenze della stessa sul sistema dipendono anche in larga misura dal valore dei beni interessati e l’esame delle conseguenze per ogni tipo di minaccia rappresenta un altro aspetto dell’analisi del rischio. Il livello di rischio cibernetico è sempre da considerarsi infatti come una relazione tra il rischio stesso e la valorizzazione dell’asset informatico associato.
Si sta entrando progressivamente in giochi di potere in cui protagoniste sono le superpotenze, e dove gli obiettivi economici possono diventare secondari.
“La presenza di vulnerabilità, soprattutto gli zero-day, rappresenta a tutti gli effetti un’arma di distruzione digitale che è entrata a far parte degli arsenali strategici, accanto alle tradizionali NBC (nucleari, biologiche, chimiche) o ai più asimmetrici strumenti terroristici”.
Ottenere uno zero-day potrebbe dare luogo ad un vantaggio politico e strategico impagabile sullo scenario globale; la possibilità cioè di avere un “orecchio” all’interno della “macchina” dell’avversario e di poterne anticipare ogni mossa.
Per rimanere sempre nello spazio post-sovietico, è di pochi giorni fa la notizia delle rivolte in Kazakistan e la decisione del governo di bloccare l’accesso a internet con conseguenze significative sulla rete bitcoin. Non solo un maggior numero di dispositivi vulnerabili per gli hacker criminali, ma anche notevoli speculazioni finanziarie collaterali, capaci di far collassare mercati. Grazie alla acquisizione di tutte queste nuove tecnologie la Russia e gli Stati Uniti – e in parte minore la Cina, comunque molto attiva – sono ancora una volta pronti a fronteggiarsi nel digitale senza colpo ferire, ma non è chiaro questa volta quale ruolo vuole ritagliarsi l’Europa. Essa è disposta ad essere un semplice comprimario?
In un contesto del genere, anche l’Europa gioca un ruolo significativo. Già nel 2019, al tempo della propria elezione, il Presidente della Commissione Europea Ursula von der Leyen aveva fissato come uno dei suoi principali obiettivi quello di migliorare le capacità digitali in tutta l’UE, definendola una priorità assoluta. In una dichiarazione appena prima della sua nomina a presidente, aveva annunciato che l’Europa avrebbe dovuto raggiungere «la sovranità tecnologica in alcune aree critiche», citando tra queste la cybersecurity.
La necessità è quindi adesso più che mai di realizzare questa promessa nel concreto e di realizzare un polo e un sistema unico di difesa cyber per l’Europa. Non solo per essere utilizzato come eventuale “contrasto” a possibili attività disruptive sul territorio dei 27 Stati, ma soprattutto per dimostrare sul campo geopolitico che l’Europa ha un suo peso specifico e non sarà più solo un gregario. In un’epoca dove sempre più spesso chi si siederà ai tavoli che contano non sarà solamente chi detiene arsenali nucleari, ma anche le competenze cyber, ecco la necessità di investire al più presto in questo campo.
E questo riguarda anche l’Italia, che proprio in queste settimane ha varato l’Agenzia per la cyber sicurezza nazionale. «Questo dell’ACN è un passo avanti necessario e positivo ma non possiamo aspettarci che una singola agenzia sia in grado di affrontare da sola quelle che sono le sfide che presenta il moderno panorama della cybersecurity. Il nostro Paese ha delle eccellenze mondiali in questo campo sia nel pubblico sia nel privato.
La stessa Swascan in questi anni si è distinta per le attività di ricerca degli Zero Day grazie al suo Offensive Team e l’analisi dei Cyber Risk di settore grazie al proprio Security Operation Center. La chiave per rendere il perimetro nazionale resiliente – data la complessità e la vastità della sfida – è quello di stabilire nuovi paradigmi di collaborazione tra la neonata agenzia e il mondo del privato. La collaborazione tra i vari attori della cyber è quindi l’unica strada percorribile per raggiungere questo obiettivo».
RHC: Corea del Nord: Cyber soldati e mercenari: cosa contraddistingue i loro obiettivi? Gli attacchi di spionaggio sono attualmente ancora più diffusi degli attacchi distruttivi, e ci sono attori sempre più motivati sul furto della proprietà intellettuale e sul riscatto, in particolare – secondo il Global Threat Briefing: Threat Actor Activity Update e previsioni per il primo semestre 2022– dalla Corea e dall’Iran.
Carlo Mauceli: La Nord Corea è uno Stato estremamente attivo, se consideriamo le dimensioni e le risorse del paese rispetto ad altri Stati.
La stragrande maggioranza del targeting nordcoreano è stato diretto a personale specifico e la selezione di questi obiettivi è stata, probabilmente, fatta in base alla probabilità che potessero aiutare la Corea del Nord a ottenere informazioni diplomatiche o geopolitiche non pubblicamente disponibili. I gruppi principali nordcoreani, THALLIUM, ZINC, OSMIUM e CERIUM si sono concentrati su funzionari diplomatici, accademici e membri di think tank di tutto il mondo.
La maggior parte di coloro che sono stati presi di mira appartenevano a tre paesi: Corea del Sud, Stati Uniti e Giappone. Tuttavia, gli attori nordcoreani hanno anche preso di mira accademici e funzionari di think tank anche in Europa e persino in Cina e Russia, Paesi generalmente considerati amici della Corea del Nord.
L’attenzione all’intelligence diplomatica o geopolitica, probabilmente, è stata guidata dall’ansia di Pyongyang di avere informazioni relative alla situazione internazionale. L’obiettivo diplomatico è stato particolarmente perseguito sia durante che immediatamente dopo le elezioni statunitensi. Il forte interesse della Corea del Nord per la raccolta di informazioni era, probabilmente, dovuto anche alla necessità di avere risposte alle seguenti domande:
Il COVID-19 è stato al centro anche di diverse campagne d’attacco che i gruppi di matrice coreana hanno realizzato ai danni delle aziende farmaceutiche. Nel novembre 2020, ZINC e CERIUM hanno preso di mira aziende farmaceutiche e ricercatori di vaccini in diversi paesi probabilmente per garantirsi un vantaggio nella ricerca sui vaccini o per ottenere informazioni sullo stato della ricerca dei vaccini stessi nel resto del mondo.
Infine, la Corea del Nord ha anche utilizzato metodi estremamente sofisticati di social engineering mai visti in precedenza. Nel gennaio dello scorso anno, ZINC ha preso di mira i ricercatori di sicurezza con una campagna atta a creare profili falsi che sembravano appartenere a vere società di sicurezza e a ricercatori, con la generazione di falsi siti Web.
Ad un occhio poco attento, l’Iran potrebbe sembrare un attore di poco conto, soprattutto se paragonato a Russia e Cina. È vero che l’Iran è assurto alla scena da non tantissimo tempo; tuttavia, è stato in grado di dimostrare una grande esperienza ed una enorme capacità in materia di compromissione delle applicazioni, ingegneria sociale, esfiltrazione e distruzione dei dati.
I loro obiettivi abituali si trovano in Medio Oriente. In particolare, Israele, Arabia Saudita ed Emirati Arabi Uniti rappresentano gli obiettivi principali. Lo scopo è quello, soprattutto, di interrompere l’egemonia sunnita. Non hanno fatto mancare la loro presenza, però, anche in Europa e in Nord America.
Questo tipo di conflitto asimmetrico fornisce un metodo conveniente e a basso costo per condurre guerre fredde con gli avversari politici e ideologici dell’Iran.
È molto probabile che un gruppo legato all’Iran e noto come RUBIDIUM abbia condotto le campagne ransomware Pay2Key e N3tw0rm che hanno preso di mira Israele tra la fine del 2020 e l’inizio del 2021. Il targeting delle campagne ransomware di RUBIDIUM è stato il settore delle aziende israeliane operanti nel settore della logistica del trasporto marittimo. Questi obiettivi indicano un collegamento con la strategia di Teheran che è quella di vendicarsi della pressione israeliana.
Alla fine del 2020, il gruppo PHOSPHORUS ha condotto una campagna di phishing verso politici inviando link ad articoli a tema nucleare che indirizzavano le vittime a un sito di raccolta delle credenziali. Questo attacco è strettamente legato ai rapporti tra Iran e USA in merito all’accordo del 2015 sul nucleare iraniano da cui Trump uscì nel 2018 tornando così a imporre nuove sanzioni nei confronti della Repubblica islamica con lo scopo di indebolirla e di spingerla a scendere nuovamente a patti con i Paesi occidentali.
Non è un caso che PHOSPHORUS abbia affinato il suo targeting ed incrementato gli attacchi quando i colloqui sul nucleare sono ricominciati a Vienna, lo scorso aprile.
RHC: Quanto e in che modo la mappa dei percorsi energetici coincide con gli attacchi informatici? Questa domanda porta alla Siria e al gasdotto che sarebbe dovuto partire dal Qatar per arrivare fino in Europa. Tra attacchi di droni (additati ad Israele), ordigni esplosivi e attacchi alla Rete Siriana per i diritti umani, (attribuiti alla Russia) si tratta di un paese che rimane nel mirino. L’ex capo dell’intelligence dell’IDF ha confermato – in un’intervista al Malam Magazine – un ruolo nell’operazione nel 2020 per assassinare il comandante in capo dell’Iran Qasem Soleimani. “Il nostro principale nemico sono gli iraniani” ha detto il Maggior Generale Tamir Hayman, “abbiamo ostacolato molti modi in cui hanno cercato di contrabbandare armi e denaro, e la ragione di tutto questo è impedire agli iraniani di trincerarsi in Siria”. Dietro l’uccisione di Soleimani, persiste un’alleanza turco-russa-iraniana?
Carlo Mauceli: Abbiamo già abbondantemente affrontato l’argomento ma partendo dalla distruzione della centrale di Natanz in Iran fino ad arrivare all’attacco alla centrale idrica in Florida, appare evidente che le utility sono sempre più nel mirino di sofisticati e pericolosi attacchi cyber.
Un attacco ben riuscito potrebbe far perdere la fiducia del pubblico nei confronti di quella determinata utility e aumentare i dubbi sulla sicurezza di tutti i dispositivi esistenti nella catena del valore.
Sviluppare strategie efficaci per proteggere le reti intelligenti da potenziali violazioni informatiche diventa non solo un imperativo categorico ma un’istanza che presenta un certo carattere d’urgenza.
Oltre a ciò, le utility sono sempre più esposte alla crescita dei dispositivi domestici connessi all’Internet Of Things e, nonostante l’esposizione al rischio non sia quantificabile con esattezza appare chiaro che l’IoT veicoli potenziali minacce di natura cibernetica.
Le differenze variano da paese a paese: in Asia e in Europa, esperti ritengono che il rischio interessi in maggior misura le attività di distribuzione mentre per il Nord America il pericolo maggiore è rappresentato dagli attacchi ai siti di governo. Anche se non esiste un unico percorso per procedere, ci sono alcune mosse che qualsiasi catena di distribuzione aziendale dovrebbe considerare per rafforzare la resilienza e la risposta agli attacchi informatici, fra cui:
Bibliografia
Ucraina. Tra Russia e Occidente. Un’identità contesa (Gaetano Colonna)
Il conflitto russo-ucraino. Geopolitica del nuovo (dis)ordine mondiale (Eugenio Di Rienzo)
Il destino dell’Ucraina. Il futuro dell’Europa (Simone Attilio Bellezza)
Ucraina. La Guerra che non c’è (Andrea Sceresini)
Sandworm: A New Era of Cyberwar and the Hunt for the Kremlin’s Most Dangerous Hackers (Andy Greenberg)
https://www.mimesisedizioni.it/libro/9788857556314
https://www.wired.it/article/russia-ucraina-cyber-guerra/ https://www.ispionline.it/it/pubblicazione/speciale-ucraina-6-mappe-capire-il- conflitto-32979
https://www.ofcs.it/cyber/la-cyberwar-tra-ucraina-e-russia/#gsc.tab=0 https://www.microsoft.com/security/blog/2022/01/15/destructive-malware- targeting-ukrainian-organizations/ https://query.prod.cms.rt.microsoft.com/cms/api/am/binary/RWMFIi
Olivia TerragniRedazione: redazione@redhotcyber.com
© Copyright RED HOT CYBER. PIVA 16821691009
