Argomenti trattati:
Continuano gli scontri, non solo quelli fisici ma anche quelli informatici
Secondo quanto affermato da Viktor Zhora, vicecapo del servizio statale ucraino di comunicazione speciale e protezione delle informazioni, sarebbero novanta i siti ucraini che hanno subito l’attacco dagli hacker russi il 14 gennaio 2022. Quella mattina le 22 organizzazioni ucraine che gestiscono i siti bersaglio dell’attacco hanno trovato sulle loro home page il seguente messaggio di minaccia: “Ucraino! Tutti i tuoi dati personali sono stati caricati sulla rete pubblica. Tutti i dati sul tuo computer saranno cancellati e non saranno recuperabili. Tutte le informazioni su di te diventeranno pubbliche, temi e aspettati il peggio. Questo ti viene fatto per il tuo passato, presente e futuro”. Accanto al messaggio in lingua polacca, russa e ucraina, un’icona con la bandiera di Kiev “bannata” (cybersecurity360.it, 4 febbraio 2022). Solitamente gli hacker richiedono un riscatto in cambio della restituzione di dati, ma questa volta sembra che lo scopo sia unicamente la distruzione dei computer dei nemici. Microsoft ha segnalato che Hermetic Wiper, il virus che gli hacker russi mittenti del messaggio hanno utilizzato è un ransomware: un virus dormiente che porta alla distruzione dell’intero computer. Infatti, a seguito dell’hackeraggio del 14 gennaio, due agenzie governative hanno subito la distruzione di decine di computer. Anche Matthew Olney, direttore di Threat Intelligence e Interdition presso Cisco Systems, sostiene che lo scopo di questi attacchi è quello di danneggiare e non guadagnare soldi. I cyber attacchi da parte della Russia hanno già provocato ingenti danni economici alle compagnie di assicurazioni ucraine. Tuttavia, dal punto di vista legislativo, i danni causati dai cyber attacchi rientrano tra i danni della guerra tradizionale; pertanto, le compagnie assicurative sono costrette a pagare, e temono che ciò che sta accadendo in Ucraina possa espandersi anche al di fuori di essa: se ciò accadesse, sarebbero portare ad incrementare notevolmente i prezzi delle assicurazioni oppure a ridurre la copertura su incidenti informatici.
Cyber attacchi oltre confine
La paura che la cyberwar tra Russia e Ucraina si estenda anche a Paesi esteri è più che legittima. Infatti, l’Ucraina non è stata la sola a subire in questi giorni attacchi hacker: vi è una vera e propria ondata di ransomware distruttivi in arrivo dalla Russia e che ha già colpito diversi Paesi. Lior Div, delegato della società di cybersicurezza Cybereason, ha dichiarato che Stati Uniti, Israele, Germania e altri Paesi hanno subito la distruzione di diversi computer da parte di due gruppi di hacker iraniani, Phosphorus e Moses Staff, i quali si sono avvalsi della metodologia di attacco russa: il ransomware Hermetic Wiper. Esemplificativo della pericolosità del conflitto anche al di fuori dei confini russi e ucraini è il caso Toyota: la società automobilistica ha dovuto sospendere le attività in 14 sedi produttive in Giappone dopo che una sua grande società fornitrice di materiali è stata hackerata. Secondo il quotidiano nipponico Nikkei, si tratterebbe della Kojima Press, che ha sede a Toyoda, frazione di Nagoya, sede principale della Toyota nonché sede del suo grande museo. La Kojima lavora plastica e metalli con sistemi innovativi e produce componenti molto rilevanti per le auto. Il 28 febbraio 2022 il suo sito è risultato improvvisamente offline per diverse ore, con conseguente stop della produzione per due giorni. Si stima che questo attacco graverebbe sulla produzione Toyota di almeno 10 mila vetture in meno rispetto a quelle prodotte l’anno scorso.
La grande società automobilistica, che nel corso del 2008 diventò la prima azienda automobilistica al mondo per numero di veicoli e per fatturato, superando anche la General Motors, già a gennaio di quest’anno ha registrato un calo di produzione del 15% rispetto all’anno precedente, a seguito dei danni economici causati dalla pandemia da COVID-19; ora la Toyota teme che il proseguire dei conflitti la obblighi a chiudere altre sedi estere. È da ricordare che già lo scorso agosto la Toyota aveva iniziato a temere rischi informatici, annunciando di voler effettuare un joint venture con Nissan per fronteggiare gliattacchi informatici, collaborando con aziende tecnologiche come Microsoft, Trend Micro, Ntt Communications e Sompo Japan Insurance.Lo scopo di tale scelta è non solo proteggere la produzione, ma anche i veicoli stessi oggi sempre più connessi.
Un nuovo spillover alle porte?
Gli Stati Uniti temono una potenziale ripercussione oltreoceano del conflitto russo-ucraino, almeno a livello informatico. Il 23 gennaio 2022 il Dipartimento della Sicurezza Nazionale degli Stati Uniti ha annunciato il reale rischio di attacchi alle reti statunitensi da parte della Russia, qualora si considerasse una risposta ad un’invasione russa dell’Ucraina da parte degli Stati Uniti o dell’Organizzazione del Trattato Nord Atlantico. Adam Meyers, il vicepresidente senior di Intelligence della società di cyber sicurezza CrowdStrike, ha avanzato la possibilità che tra le potenziali vittime occidentali non vi siano solo le aziende che hanno rapporti diretti con le aziende ucraine, ma che possa avvenire uno spillover anche su aziende che con l’Ucraina non hanno rapporti diretti. Non è difficile da credere dal momento che è già successo in passato. Numerosi sono stati i cyber attacchi all’Ucraina che hanno la Russia come mittente sospetto; si pensi agli attacchi del 2014, durante le elezioni presidenziali, ai ripetuti attacchi nei confronti dell’infrastruttura elettrica del Paese e al ransomware NotPetya del 2017. Secondo Microsoft Corp., nel 2017 l’attacco tramite NotPetya, un wiper che cancella tutti i dati della vittima, portò con sé il cosiddetto spillover internazionale, ovvero una grave ritorsione su tanti altri Stati: oltre al 70% dei computer infetti ucraini, furono colpiti anche diversi sistemi in più di 60 Paesi, e il Governo USA stimò i danni in 10 miliardi di dollari. Gli Stati Uniti d’America stanno tutelando il proprio dominio cibernetico, specie in ambito finanziario, puntando ad innalzare il livello di cyber security. Anche la BCE è in stato di allerta per la criticità delle tensioni tra Russia e Occidente da un punto di vista di cybersecurity: negli ultimi tempi ha avvisato le banche europee su potenziali rischi cibernetici, con lo scopo di prepararle a fronteggiare possibili azioni informatiche avverse.
La cyberwar di Anonymous contro la Russia
A sostegno dell’Ucraina, contro il Governo russo, si schiera Anonymous, che finora ha colpito 300 siti di compagnie, banche e media statali russi con messaggi pro-Ucraina attraverso data breach, che hanno lo scopo di danneggiare i soggetti colpiti e svelarne informazioni segrete. Ѐ stato colpito anche l’Istituto nucleare russo ore dopo che il premier russo Vladimir Putin ha annunziato il nuclear alert, e pare sia già stata avviata un’attività di traduzione dei documenti dell’Istituto nucleare, secondo quanto affermato da Anonymous in un video diramato il 27 febbraio su numerosi canali social. Nel video il movimento afferma di impegnarsi in una campagna di cyberwar atta a sensibilizzare la popolazione russa al fine di ostacolare le comunicazioni interne governative: lo scopo di Anonymous sarebbe, dunque, danneggiare la Russia sul fronte interno. Sono già stati registrati danni ad alcune emittenti televisive russe, al blocco di vari server di canali di informazione, all’intercettazione di comunicazioni militari, nonché la pubblicazione di 200 GB di e-mail del produttore di armi bielorusso Tetraedr e all’apertura di una pagina web alla quale collegarsi per effettuare attacchi massivi. Anonymous non è la sola organizzazione attiva a sostegno dell’Ucraina. Il 24 febbraio 2022, primo giorno di combattimenti in Ucraina, alcuni account Twitter risalenti al movimento hacktivist avevano pubblicato vari post nei quali esplicitavano la loro volontà di intraprendere una campagna di attacco informatico contro Mosca a sostegno di Kiev. Ai primi annunci erano seguite varie rivendicazioni di attacchi DDos effettuati contro alcuni siti governativi russi e, in particolare, contro il canale Russia Today RT, principale organo di esportazione delle narrazioni russe nel mondo.
È corretto parlare di cyberwar?
Ciò che determina l’efficacia di una cyberwar, definendola tale, è la capacità di impedire al bersaglio di usufruire delle proprie infrastrutture di rete critiche, come quelle energetiche o informatiche, dell’erogazione dei servizi idrici o di carburante, del sistema bancario o aeroportuale. Tuttavia, l’attacco informatico da parte delle truppe hacker russe, preannunciato da parte di numerosi leader e think tank occidentali,non ha avuto tutt’ora seguito, fatta eccezione per il malware identificato come Hermetic Wiper, che ha colpito alcuni istituti di credito ucraini, ma che è stato poi successivamente isolato.
Anche gli attacchi alla Russia da parte di Anonymous sono piuttosto modesti e determinano, piuttosto, una guerra mediatica: sembra che l’obiettivo dell’organizzazione sia quello di avere il predominio sull’opinione pubblica sia in territorio alleato sia in quello nemico. Allo stesso tempo, non è agevole identificare i mittenti degli attacchi: risulta impossibile identificare i gestori degli account Twitter; quanto al collettivo Anonymous, si tratta di un personaggio collettivo e immateriale, vagamente riferito a un gruppo informale anarchico di attivisti hacker, che da dieci anni si battono per le cause della trasparenza e dei diritti civili (si pensi allo schieramento contro lo Stato Islamico a seguito degli attentati in Francia del 2015, contro le politiche di Donald Trump e a favore del movimento BlackLivesMatter dopo l’omicidio di George Floyd nel 2020). Di fatto, ad oggi non si è riscontrata una vera e propria guerra informatica in grado di mettere seriamente in difficoltà le infrastrutture critiche di rete dei contendenti.
La nuova minaccia: Hermetic Wiper
Hermetic Wiper è il nuovo malware con il quale gli hacker russi hanno colpito alcuni istituti di credito ucraini. Sembra che si stia diffondendo anche fuori dall’Ucraina; potenziali veicoli di diffusione del virus sarebbero Discord e Trello.La pericolosità di questo malware risiede nel fatto che è in grado di distruggere non solo tutti i file contenuti nel computer ma anche il computer stesso. Attraverso le pagine del CIRST, è partito un alert per utenti e aziende al fine di evitare perdite importanti di dati.Ad oggi, il malware ha danneggiato gli archivi di alcuni enti governativi e banche, ma senza creare danni importanti: dal momento che questi enti gestiscono importanti dati, dispongono anche di numerose copie di backup, il che limita i danni causati dall’attacco. Discorso diverso vale per i civili o le aziende più piccole, poiché non sempre questi utenti mantengono delle copie di backup sufficientemente recenti.Al momento non sono chiarissime le modalità di attacco e diffusione del malware: a differenza di altri ransomware, finalizzati ad estorcere denaro a chi viene colpito, Hermetic Wiper ha come unico scopo quello di distruggere.
Quanto dovrebbe preoccuparsi l’Italia?
È possibile che l’Italia, in quanto membro della NATO, possa avere un coinvolgimento diretto nel conflitto russo-ucraino. Dato che il nostro Paese dista 2000 km da Donetsk, si potrebbe pensare che la guerra sia lontana. Tuttavia, quando si parla di cyberwar le distanze non valgono più; il pericolo è più vicino di quanto non si creda e i tempi per attrezzarci allo scontro sono molto ristretti. La Russia potrebbe attaccare le organizzazioni italiane per svariati fini: sabotaggio e blocco di sistemi aziendali e di infrastrutture critiche sia pubbliche sia private. Il pericolo è maggiore per le organizzazioni che hanno diretti rapporti con l’Ucraina, ma è reale per tutte le aziende che si trovano nel perimetro di sicurezza nazionale cibernetica. Si presume che il nuovo malware Hermetic Wiper abbia già raggiunto qualche utente italiano. Lo si deduce dal fatto che l’ACN (Agenzia per la Cybersicurezza Nazionale), l’organismo deputato a coordinare le difese informatiche dell’Italia in caso di fenomeni di cyberwarfare nei confronti delle infrastrutture critiche di rete italiane, il 14 febbraio 2022 ha pubblicato il bollettino “Misure di protezione delle infrastrutture digitali nazionali dai possibili rischi cyber derivanti dalla situazione Ucraina” sul sito del CIRST-Italia (Computer Emergency Response Team-Italia). L’ACN ha fornito alcune raccomandazioni utili alle aziende italiane per innalzare i livelli di cyber security delle infrastrutture digitali. Tuttavia, i sistemi informatici che concorrono alla sicurezza del Paese, sia pubblici sia privati, sono tra loro molto eterogenei; ne consegue che non vi può essere una direzione univoca da intraprendere. Infatti, il bollettino pubblicato dall’ACN si limita a tracciare una serie di pratiche utili a prevenire i danni. Secondo quanto affermato da alcuni esperti, come riportato da Cyber Security 360, in Italia sono spesso ignorate le misure di sicurezza basilari, il che ci porta ad una condizione di fragilità nei confronti di questa nuova minaccia. È necessario, pertanto, diffondere consapevolezza cyber presso le aziende e far sì che lavorino su un livello di cybersecurity base. Già da qualche anno le istituzioni italiane hanno introdotto iniziative di governance della cybersecurity: dal Framework Nazionale per la Cyber Security e la Data Protection agli obblighi previsti dal Perimetro Nazionale di Sicurezza Cibernetica (PNSC), istituito con decreto-legge n. 105 del 21 settembre 2019 e oggetto di una serie di decreti attuativi. Non si tratta di grandi misure, ma di quelle che sono considerate da tempo “buone pratiche”. Per quanto detto dagli esperti, l’attuale livello di preparazione delle aziende e delle pubbliche amministrazioni italiane per fronteggiare cyberattacchi risulta essere molto basso. Tuttavia, la capacità di opporre resistenza ad attacchi mirati varia molto, anche fra aziende dello stesso settore. Si potrebbe pensare che attacchi sofisticati come Stuxnet (o il russo NotPetya), il worm impiegato tra il 2009 e il 2010 per sabotare centrali nucleari in Iran, vengano solitamente utilizzati verso poche organizzazioni particolarmente critiche; questo perché richiedono uno sforzo notevole per essere sviluppati e messi in atto, e l’utilizzo di risorse “preziose”. Infatti, la diffusione di Stuxnet ha infatti reso pubbliche le vulnerabilità 0-day che utilizzava, le quali hanno così perso efficacia, impedendo agli autori del malware di continuare a sfruttarli a lungo. Si tratta di uno sforzo che ha senso sostenere solo per determinati bersagli. Per tutti gli altri, al momento, basta molto meno. Ma come insegna il caso NotPetya, anche un malware sofisticato quando sfugge dal controllo può colpire tutti, anche aziende minori.
Fonti:
https://www.punto-informatico.it/cybersecurity-alzare-difese/
https://www.iphoneitalia.com/784088/hermetic-wiper-malware-guerra